Вы использовали на вашем сайте модули для защиты от XSS и SQL injection? Или просили проверить код сайта знакомого программиста?Вы проверяли сайт программами-сканерами уязвимостей? Если нет, то взлом вашего сайта был лишь вопросом времени.
Злоумышленники как правило взламывают сайт используя XSS и SQL injection уязвимости в коде сайта. Еслиэто не получается, то производятся попытки взломать программное обеспечение сервера, на котором расположен сайт. Но защититьсяот подобного взлома не в нашей власти - остается лишь положиться на хостинг. А вот проверить код на уязвимости - это какраз то, что вам необходимо сделать. Именно о способе нахождения XSS и SQL injection пойдет речь ниже.
Взломщик используетдля поиска уязвимостей специальные программы. И, как вы понимаете, если проверить сайт такой программой заранее и устранитьобнаруженные уязвимости, то у злоумышленника не останется шансов взломать ваш сайт. Таких программ в интернете много, какплатных так и бесплатных. Достаточно поискать в интернете по запросу "XSS сканер".Одним из самых простых в использовании, но в тоже время очень эффективных, является сканерfind-xss.net . Достаточно просто загрузить в него ZIP архив кода вашего сайта (без музыки, картинок, фильмов и тд.) ичерез несколько секунд вы получите отчет о уязвимостях. Вам останется только поправить код функциями: intval, htmletities,addslashes и им подобными, в зависимости от ситуации. Сам сканер выглядит так:
Поле для ввода функций экранирования оставьтепустым, сканер определяет их автоматически. В поле расширений для файлов указываются нестандартные расширения, как например,для Drupal - это module и inc (через запятую: php,moule,inc). Но и это поле, как правило, менять нет необходимости. Результатсканирования выглядит примерно так:
Как видите в отчете указан файл, переменная и строка кода, в которой есть уязвимость,а также тип уязвимости. Остается только открыть нужный файл и экранировать переменную. Как это делается вы можете прочестьна самом сайтесканера.
Желаю вам не иметь проблем с безопасностью!
Разработчик, Виталий.
(Пока оценок нет)
Загрузка...