Как проверить сайт на уязвимости

Чем больше мы работаем над сайтом, тем больше нам его жалко и когда сайт начинает раскручиваться, появляются разные недоброжелатели, которые хотят его взломать. Чтоб не дать завладеть админ панелью вашего сайта, необходимо соблюдать безопасность при написании/редактировании скрипта, и т.д.

Способы взлома сайта

В этом посте, рассмотрим те способы, которые я знаю и так сказать самые популярные.

1 – Google hacking старая тема, но еще работает, меня так недавно взломали. Обязательно прочтите статью, проверьте сайт в выдаче и убедитесь, что гугл не засунул свой нос туда, куда не следует. Если найдете что-то интересное в выдаче (БД, бэкап, и т.д.) Перейдите на сервер, и обязательно удалите.

2 – SQL инъекция мощная штука, с помощью которой ежедневно сайты ломают пачками.

И так, будем проверять сайт. К примеру у вас сайт.ру, и он имеет стр. такого вида – сайт.ру/?статья=1

Так вот где мы имеем — ?статья=1 в конец URLа подставляем одинарную кавычку (‘), если Вы увидели ошибку, значит отсутствует фильтрация входящих параметров и ваш сайт уязвим, если нет, то все хорошо. Не стоит рано радоваться, если к примеру при запросе ?статья=1’ ошибки не было, она может быть у другого модуля или компонента. Вам стоит проверить все модули, например сайт.ру/?контакты, сайт.ру/?галерея=3, сайт.ру/?комментарий=258 и так далее.

3 – XSS Уязвимости образовываются так же из-за нехватки фильтрации.

Для проверки нам понадобиться вставить во все поля ввода на сайте

<script>alert(»)</script>

Или

«><script>alert(»)</script>

Если багов нет, это хорошо. Вообще если Вы пользуетесь популярной CMS, и регулярно обновляете её, тогда вам бояться нечего, главное не ставить модули не понятного происхождения и все будет ок.

Статья получилась не большая, но проверить свой сайт обязательно стоит. Естественно есть еще уйма способов взломать сайт, но я перечислил самые простые способы которыми пользуются скрипткиди.

Комментариев: 1
  1. Александр

    Попробуйте онлайн сканеры уязвимостей. Это лучшее решение, когда есть вероятность взлома, а времени нет.
    Например, это acunetix.com, metascan.ru — удобные saas сервисы, отчёт читабельный

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: