Internet Solutions Fucktory

Статистика   Качественный веб-дизайн глазами пользователя   Веб-дизайн и модели поведения   CAPTCHA   Безопасность в интернете 1   Безопасность в интернете 2  

Безопасность в интернете 2

Программируя безопасные сайты, нужно обращать внимание на некоторые типовые ошибки и уязвимости, т.к. на самом деле все "взломы" делаются не таким уж большим количеством разных способов.

В основном, это "инъекции". Вкратце, это когда данные интерпретируются как программа, которая выполняется и делает какие-то вредоносные вещи.

SQL-инъекции, связанные с тем, что данные вписываются в SQL-запрос и становятся его частью. При этом, поскольку обычно запрос от данных отделен кавычками, хакер подсовывает нам кавычки во входных данных (номере страницы в URL, логине при входе на сайт, тексте сообщения в гостевой и т.д.), так что его "фальшивая" кавычка как бы закрывает, заканчивает данные, так что следующий текст уже интерпретируется как кодовая часть запроса, а не данные. Обрабатывайте все данные, экранируя в них кавычки и ставьте вокруг них кавычки, даже если ожидаете, что от пользователя придут числовые данные (php-функция mysql_real_escape_string).

HTML-инъекции. Если на сайте публикуются тексты, оставленные посетителями, например, гостевая книга или форма обратной связи, видимая админами сайта, хакер помещает туда HTML-текст с какой-нибудь скриптовой гадостью внутри, этот скрипт, если код никак не обрабатывается перед выводом читателю, выполняется на компьютере читателя, где он может заразить его вирусом, украть куки (cookie), сделать из-под его логина какие-то нехорошие вещи на сервере. Заменяйте угловые скобки в коде < > на мнемоники &lt; &gt; (php-функция htmlspecialchars).

Mail-инъекции. На сайтах часто делают форму обратной связи, что отправляет на секретную почту. При этом иногда у посетителя спрашивают его собственную почту, чтобы записать ее в качестве обратного адреса в отправляемых письмах, ну, чтобы можно было ему обратно сразу ответить. Нужно фильтровать символы перевода строки, если хакер сможет их вставить в свой обратный адрес, он сделает инъекцию в заголовки отправляемых писем (которые как раз переводами строк и разделяются) и, к примеру, вписать туда еще тысячу адресов для рассылки, вот им всем и придет спам с вашего сайта в результате.

Звоните нам!

+7 (095) 505-19-05
+7 (095) 506-85-85

Copyright © 2004-2005, дизайн-студия «Internet Solutions Fucktory»
Сайт работает на Managee CMS
Версия: 0.96, время: 0.038, запросов: 9

Managee