Защита блога от несанкционированного доступаВы никогда не задавались вопросом: почему чаще всего ломают либо самописные движки, либо очень популярные Open Source CMS. Подумайте, и ответьте и на такой вопрос: в Вашей системе точка входа infdex.php?  Или такой: в Вашей системе административная панель находится тут http://sitename/admin или тут http://sitename/administrator/ , может быть тут http://sitename/apanel/? Продолжать дальше смысла не имеет, так как Вы уже догадались, я хочу поговорить о стандартах. Эта статью я также отнес к безопасности, не просто так,  натолкнул меня на нее просмотр логов, попыток взлома ресурса, за который я, как программист, отвечаю.

Что же такого я увидел? Попытаю Вас еще немного. Как вы считаете, кто чаще всего взламывает сайты? Супер хакеры, с семью пядями во лбу или горе программисты, которые верно подобрали sql инъекцию?

Ответ будет другой: сайты взламывают программы!

Множество софта заточено под то, чтобы обшаривать интернет, как пауки сканировать ссылки, находить сайты. Изучать их, по косвенным признакам находить версию и название системы. А дальше в ход вступает простая база багов данной системы, доступная кстати, на официальном сайте разработчиков в виде баг репортов.

Сканер проверяет одну уязвимость за другой, проверяет все не обновленные, не залатанные дырки. Это неприятная и совсем неблагодарная для человека работа, у всех людей вместе взятых на земле на нее бы ушли годы. А Pentium 3 справляется с ней за ночь.

Однако, если дырок не найдено, и разработчики CMS системы не зря едят свой хлеб, то в дело вступают другой класс программ: буртфорсеры. Информацию о том, куда и что посылать им любезно предоставляете Вы, не убирая из html упоминаний о названии CMS. 

Теперь нужно наверно вспомнить, что логин на Вашем любимом блоге такой: admin или administrator, или какой-нибудь броский vadim, тоже не предел безопасности. Нет? Но скорее всего, что-то рядом?!

На одном весьма полезном ресурсе, посвященном безопасности в сети http://comp-security.net/ прочитал, что у хакеров есть базы с популярными паролями. Слиты они с популярных ресурсов. Вспомнить хотя бы недавний угон хакерами базы фотошопа (да есть еще программисты, которые хранят в базе пароли). qwerty и 12345 тут во главе списка, но не стоит думать, что если у Вас 12345q, то его там нет. Он на 100001 позиции, но брутфорсу ведь все равно. Рано или поздно он до нее доберется. 

К чему этот пост? Система, которая стояла на моем ресурсе, была написана не мной и писала ее начинающая на тот момент самоучка-программистка. Как в других системах называют точку входа, она тогда еще не знала и вход в административную панель у нее начинался не на 'a'.

В итоге, сотни и тысячи логов с прозвонкой слабых мест, попытки найти хотя бы админку. И ничего. 

Да, если за дело возьмется человек, то он найдет сотню дырок в ее коде, но еще раз повторюсь, если Ваш сайт никому не заказывали и не платили за взлом, то ломать его будет (и уже в данный момент ломает) какой-нибудь бот. И если хоть что-то, что я написал выше относится к Вашему сайты, то стоит задуматься. Для начала, смените пароли на рандомные. Key Pass Вам в помощь. А уж логин admin и administrator - это прямое приглашение погостить на сайте. 

Безопасность интернет сайта часто зависит не от высокого уровня программиста, а от того насколько сложный пароль придумывает пользователь 

 

 

Рассказать друзьям

Добавить комментарий


Защитный код
Обновить

Комментарии   

0
Саныч
# Саныч 21.03.2014 21:04
Ещё можно папку с админкой назвать хэшем т.е то что сгенерирует функция md5 использовать в качестве имени.

И менять это имя каждый сутки кроном и новое название папки отправлять на специально отведённый e-mail. Хотя нет первого пункта хватит вполне. Остальное это уже через чур. Хотя идея конечно интересная.)
0
Саныч
# Саныч 21.03.2014 21:24
Ещё можно ограничить количество попыток на ввод пароля. Если пароль введён не верно 3 раза блокировать админку полностью на 15 минут. Получается на один час 12 попыток на ввод правильного пароля. Для брутфорса это ничто подобрать пароль будет не реально если конечно пароль не 123456.

Для особо наглых время блокировки можно увеличить в два раза.
0
Leroy
# Leroy 23.03.2014 20:00
да, кстати. очень действенный способ