Защита с нуля написанного своего cms

Статус
В этой теме нельзя размещать новые ответы.
что такое шелл

Люди добрые ответьте не знающему человеку что такое шел и как с ним бороться, пожалуйста пример с кодами если можно я только что создал свое тврение хотел бы его как можно лучше защитить
 
Шелл

Mr.Emm написал(а):
to cernet
*** скрытое содержание ***
Нажмите для раскрытия...
т.е если я правильно понял если к тебе на сайт заливают файл image.php вместо картинки и потом в браузере набирают yoursait.com/folder/image.php то это шел атака/ так как предотвратить подобные атаки, ведь тогда получается даже можно уйму способов найти та как тогда обезопасить свой сайт. Посоветуйте пример с кодом атаки и защиты самое главное ато пишу свою смс, не хочу чтобы из него решито делали. кто чем может помогите я же создаю а не разрушаю так что у меня мышление не хакерское.
 
cernet написал(а):
кто чем может помогите я же создаю а не разрушаю так что у меня мышление не хакерское.
Нажмите для раскрытия...

Без хакерского мышления тебе никогда не стать хотя бы сколько-нибудь нормальным специалистом по безопасности. Это все равно как участвовать в боевых действиях против вооруженной армии, не умея при этом стрелять и рассказывая что ты в душе пацифист и брать оружие в руки тебе противно.

Насчет image.php - там выше уже был пример, как от этого защищаться. Банально проверять расширения загружаемых файлов, этого достаточно. Или, если не проверяешь, то тогда запретить php-handler в папке с юзерскими файлами.

Остается еще экзотический способ протащить шелл к тебе на сервер через log poisoning, но это на практике редко где осуществимо - слишком многое должно совпасть. Дефолтных настроек не достаточно.

А так - шеллы на сайты в 99% случаев протаскиваются или по ftp, украв/подобрав пароль, или через какие-либо из известных дырок, которые были перечислены выше в этом топике. Сам по себе шелл - это не дыра, а только ее следствие. Способ удержаться надолго в хакнутой системе.
 
venetu написал(а):
Без хакерского мышления тебе никогда не стать хотя бы сколько-нибудь нормальным специалистом по безопасности. Это все равно как участвовать в боевых действиях против вооруженной армии, не умея при этом стрелять и рассказывая что ты в душе пацифист и брать оружие в руки тебе противно.
Насчет image.php - там выше уже был пример, как от этого защищаться. Банально проверять расширения загружаемых файлов, этого достаточно. Или, если не проверяешь, то тогда запретить php-handler в папке с юзерскими файлами.
Остается еще экзотический способ протащить шелл к тебе на сервер через log poisoning, но это на практике редко где осуществимо - слишком многое должно совпасть. Дефолтных настроек не достаточно.
А так - шеллы на сайты в 99% случаев протаскиваются или по ftp, украв/подобрав пароль, или через какие-либо из известных дырок, которые были перечислены выше в этом топике. Сам по себе шелл - это не дыра, а только ее следствие. Способ удержаться надолго в хакнутой системе.
Нажмите для раскрытия...
А вот скажи я слышал что использование ajax технологий при программирование исключает возможность взлома сайта по sql иньекций это правда или это ....
 
cernet написал(а):
А вот скажи я слышал что использование ajax технологий при программирование исключает возможность взлома сайта по sql иньекций это правда или это ....
Нажмите для раскрытия...

Да, еще верстка дивами очень помогает. Универсального способа нет, но если следовать ВСЕМ рекомендациям - сайт не взломают.
 
само по себе, использование ajax при программирование, не исключает возможность sql-инъекций... если интересно подробнее почитать про безопасность в ajax, смотри тут

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху