Вот делаю очередной проект, основным моментом есть высокие требования к безопасности, ну как бы общие принципы безопасности знаю и использую.. может обговорим кто какие методы использует для защиты или у кого есть взлома...как это делают.?Только прошу на гадит в ветку глупыми ответами..
Ответ
В основном, залог успешного взлома - удачное стечение обстоятельств. Это уже было неоднократно доказано на практике. Ну, и без знаний с опытом тоже не обойтись :) Существует масса способов взлома сайтов. Самый, наверное, распространенный - SQLi( SQL Injection ). Данный способ стар, как мир, да и защищаться от него уже давно все научились( SQLi сканеры, безопасные фреймворки и проч. ). Но еще где-то можно встретить данную уязвимость( в основном, на старых сайтах, порталах и т.д ). Еще один способ взлома( его корни уходят в начало 90-х годов ) - это небезызвестный XSS. Несмотря на его "древность", специалисты ИБ заявляют, что 9 из 10 сайтов имеют уязвимости, связанные с внедрением кода( собственно, XSS ). Пользователь @just, как понимаю, не особо знаком с этим видом атаки, так как он упомянул лишь XSS в динамических страницах( "формочки" ). XSS же - это очень обширный вид атак. Взять, к примеру, DOM-Based XSS. Этот вид вообще позволяет внедрять код в статические страницы HTML/JS( в DOM структуру ). Также я хотел бы добавить, что все XSS`ки делятся на пассивные и активные. Об этом неплохо написано здесь В современное время набирают популярность такие атаки, как CSRF( уязвимость протокола передачи гипертекста, корни которой уходят в начало 90-хх ), атаки, основанные на уязвимости в регулярных выражениях, XML атаки. Также не стоит упускать из виду род атак, основанный на уязвимостях в инструментарии( RoR, Yii, WordPress ). Например, в движке WordPress ежемесячно находятся несколько новых уязвимостей, позволяющих положить сайт( а если учитывать многомиллионную аудиторию пользователей WordPress, то и не один сайт )
Комментариев нет:
Отправить комментарий