Экспертные панели

Задай свой вопрос экспертам!

Портал по информационной безопасности SecurityLab.ru предлагает своим читателям уникальную возможность задать вопросы ведущим экспертам по информационной безопасности и получить на них квалифицированные ответы.

Список вопросов


Аудит безопасности сайта

Цитировать ]
Время: 30.07.2010 17:23:18
От кого: (Zaratustra) Владимир
Категория: Безопасность Web приложений

Добрый день!
Работаю в IT, однако от создания сайтов - человек довольно далёкий. Понадобилось создать ресурс. Сваял его в быстром темпе на joomla. Хотелось бы понять какие в нём дыры есть и закрыть самые большие и типовые. Какой софт для аудита вы могли бы порекомендовать? По-возможности с хорошой документашкой или хелпом. Из прошлых вопросов нашел - xspider, возможно что-то еще? И возможно есть какие-то типовые грабли в плане безопасности у всех пользователей joomla?

Цитировать ]
Время: 30.07.2010 19:02:34
От кого: (dmitry_vr) Дмитрий Евтеев
Категория: Безопасность Web приложений

Наиболее опасные баги в самой CMS joomla уже нашли и закрыли. В последних релизах, если они и остались, то информация в паблик не поступала. Поэтому, можно в этом отношении быть более или менее спокойным при условии, что Вы используете последний релиз этой CMS. Основная угроза реализации атак не в joomla, а в ее плагинах. Последние полгода в бак-треки каждый день попадает информация об уязвимостях в плагинах joomla. И тут действительно нужно быть аккуратным, т.е. стараться минимизировать число установленных плагинов. В качестве инструмента, который может определить уязвимые плагины, можно использовать http://code.google.com/p/cms-explorer/. В качестве дополнительного (бесплатного) сканера безопасности веб-приложений, можно использовать http://w3af.sourceforge.net/.
Для защиты сервера, рекомендуется использовать стойкие к перебору пароли во всех компонентах системы (CMS, СУБД, ОС, etc). Минимизация привилегий везде. Например, joomla не должна работать с учетной записью СУБД, которой разрешен доступ к файловой системе (eq root), а веб-сервер не должен работать от рута. Закройте файрволом все порты, кроме порта, на котором работает веб-сервер. Используйте защищенные конфигурации. Чтобы понять, какие конфигурации нужно использовать, рекомендую почитать следующие ресурсы:
http://devteev.blogspot.com/2009/04/web.html
OWASP - http://www.owasp.org/
PHP - http://ru2.php.net/manual/ru/security.php
Материалы SecurityLab (Защита web-сервера)
http://www.securitylab.ru/contest/301949.php
http://www.securitylab.ru/analytics/243752.php
http://www.securitylab.ru/analytics/216405.php
http://www.securitylab.ru/analytics/240126.php
http://www.securitylab.ru/analytics/216402.php
http://www.securitylab.ru/analytics/216358.php
http://www.securitylab.ru/analytics/216322.php
http://www.securitylab.ru/analytics/216298.php
http://www.securitylab.ru/analytics/216295.php
http://www.securitylab.ru/analytics/216289.php

Кроме того, в качестве превентивной защиты можно использовать web application firewall, например http://www.modsecurity.org/. Безусловно, он не спасет от всех возможных угроз, однако даже с правилами по умолчанию в значительной степени затруднит действия атакующего.
Используйте системы мониторинга (например, http://sagan.softwink.com/download/sagan-current.tar.gz, http://code.google.com/p/apache-scalp/) и контроля изменений в системе (например, http://sourceforge.net/projects/tripwire/).
И последняя рекомендация. Своевременно устанавливайте все обновления во всех компонентах системы (CMS, СУБД, ОС, etc).

Цитировать ]
Время: 30.07.2010 19:41:02
От кого: (Zaratustra) Владимир
Категория: Безопасность Web приложений

Спасибо большое, за подробный и понятный ответ!
У меня в голове теперь немного разложилось все по полочкам.
Буду читать потихоньку и делать, время до открытия пока позволяет


                                                                                                                                                                                                                                               

Блоги
11.02.2012
Бухгалтеры под ударом
Вот вам и оборотная сторона борьбы с троянами, которые воруют деньги через клиент-банк. Сачков говор ...


10.02.2012
В чужой монастырь со своим поиском
Приходилось слышать, как самоуверенные иностранцы заявляли о поддержке в своём продукте русского язы ...


10.02.2012
Концептуальные взгляды на деятельность Вооруженных сил Российской Федерации в информационном пространстве
Алексей Лукацкий тут нашел очень интересный документ, который лично для меня значительно интереснее ...


10.02.2012
О сильных паролях замолвите слово: Введение
Данный пост не предполагает обсуждение техник придумывания и запоминания безопасных паролей, а напра ...


10.02.2012
Профсоюзный контроль
Наверное, ни для кого не секрет, что подавляющее большинство профсоюзных организаций в нашем государ ...


10.02.2012
МинОбороны РФ разработало стратегию кибервойны
Мы (включая меня) все время критикуем Россию за отсутствие стратегии ведения кибервойн.Однако в конц ...


09.02.2012
Лицензирование ТЗКИ усложнит жизнь операторам персональных данных
© Коллаж РИА НовостиВышедшее недавно постановление правительства РФ о лицензировании деятельности по ...


09.02.2012
Trademark
Вот тут некоторые говорят "репутация бренда". А ещё более некоторые – даже пытаются её измерят ...


09.02.2012
Еще немного про лицензирование
Продолжаю тему, поднятую в предыдущем посте.  Думаю, что мы услышим еще немало самых разных мне ...


09.02.2012
Почему у многих чиновников почта на gmail?
На днях я давал комментарий для одного издания по поводу взлома почты Якеменко и один из вопросов зв ...