Как обезопасить от взлома Вашего сайта

Дата: Пт, 04.12.09, 10:49 | Сообщение # 1

Гильдия:Мужчина

Сообщений: 963

Репутация: 24

Статус: Offline

Этой темой хочу начать ряд публикаций о защите сайтов от всемовозможных способов взлома. Узнав как хакеры могут взломать сайт, мы сможем предпринять нужные меры по защите. Вот самые элементарные способы защиты
# Не заходить в панель управления с чужого компьютера, интернет кафе, института, школы и т.д.
# Если все же зашли с чужого компьютера, то никогда не сохранять пароль с помощью функции сохранения паролей браузера. Всегда нажимать кнопку "Выход" перед закрытием браузера.
# Не давать пароли никому. Если, кому-то дали, то всегда ожидайте, что в один прекрасный день ваш сайт взломают.
# Использовать разные пароли для всего (почты, панели управления, пользователя-админа и т.д.).
# Не использовать легкие пароли (123456, 123qwe, qwerty, password, mypass и т.д.). Ваши пароли должны иметь такой вид: jDk9eu8kd (т.е. случайный набор символов).
# Не давать возможности писать новости, сообщения в блогах, каталоге статей и везде, где можно использовать HTML простым пользователям. Помните, что ваш сайт нужен только ВАМ, никто из простых пользователей не будет на нем писать что-то хорошее. Если у вас есть друзья, которые хотят помочь вам с вашим сайтом перенесите их в другую группу (например, "Проверенные") и позвольте этой группе добавлять на сайт информацию.
# Не назначайте администраторами и модераторами людей, которых вы плохо знаете. Ведь если человек окажется бестолковый и потеряет или засветит свой модераторский пароль, то хулиганы обязательно им воспользуются и навредят вашему сайту.
# Старайтесь управлять сайтом через панель управления. Если вы еще неопытный пользователь (а сайты ломают только у неопытных), то желательно у группы "Администраторы" отключить возможности редактирования данных через сайт.

Нашел в нете один способ взлома. Я ее не использовал и использовать не буду. А всем админам советую быть бдительными и прежде чем ввести пароль задуматься не обман ли это. Читаем и делаем выводы:

Для начала нажно зарегистировать хост с поддержкой php (например http://mysite.phphost.net ) . После регистрации льем на фтп скрипт и ставим права на пустой .txt файл, например : passwords.txt (сюда будут присылаться пассы пользователей похаканного сайта), и на файл smile.gif. Также скачайте любой смайлик в расширении .gif (типа cool.gif).
Затем откройте блокнот, да простой блокнот и напишите следующее:
Дальше должен быть код скрипта.
Как только вы напишите всё - сохраните файл под названием smile, потом поменяйте расширение на gif.
Теперь выбирайте любой юкозовский сайт, например http://target.ucoz.ru/ слева юкозовских сайтов как обычно, у большинства есть мини-чат справа. Так вот - для начала зарегистируйтесь на сайте, потом в мини чате напишите логин, а в содержании сообщения напишите следующее:

Code

[IMG]http://mysite.phphost.net/smile.gif[/IMG]

И нажмите ОК. Если после этого в миничате вместо сообщения появился смайлик - значит радуйтесь, т.к. сайт - уязвимый. После этого у всех кто будет заходить на данную страницу, (в этом примере это http://target.ucoz.ru/ ) будет появлятся форма в которую нужно будет ввести логин и пароль. У вас при входе на сайт такая форма будет появлятся тоже. И все, введеные логины и пароли в эту форму будут отсылатся в пустой файл passwords.txt, который вы создали в самом начале и залили на фтп.

Думаю теперь надо основательно подумать над доступами пользователей

Шагать в ногу со временем не хватает либо времени, либо ног