Web lapu drošība

[saimon_k]

Okei.

Pēdējā laikā kā redzams arī LV uzdarbojušies visvisādi web lapu lauzēji un defeisotāji.

Studējot PHP un laikus plānojot topošo web projektu manu prātu nodarbina neziņa par sava projekta drošību.

1) Kas ir t.s. 'caurumi'?

2) Kam būtu vērts pievērst uzmanību kodējot web projektu lai būtu drošs, ka ne manu web lapu tāpāt serveri, uz kura hostējos, neviens neizvaros?

[Roze]

1) Caurumi ir programmas kodā pielaistas kļūdas, kas ļauj ar zināmiem paņēmieniem (nekorektu datu ievadi, pārslogošanu, neparedzētiem pieprasījumiem) iegūt tiesības / privilēģijas / nesankcionētu piekļuvi sistēmai un datiem.

 

Visbiežāk attiecībā uz php ir divas lietas. Tā saucamais SQL Injection, kad kādā no nododamajiem parametriem lietotājs var ierakstīt netikai datus, bet veselu SQL kveriju.

Otra ir failu "inklūdošana". Bieži vien no nolasāmajiem URL parametriem tiek noteikts kādus failu includēt un ja nav pietiekama pārbaude, tad iespējams, pamainot šos URL parametrus, nolasīt citus failus vai pat izpildīt komandas, kas protams dod iespēju tālākai "lauzēja" darbībai.

 

2) Tev kā hostinga pakalpojuma pircējām būtu jainteresējas vai taviem datiem (gan fiziskajiem php gan arī datubāzei) tiek veiktas regulāras kopiju izveides un cik ātrs ir reaģēšanas laiks problēmu gadijumā.

Būtu labi ja tiktu izmantots kriptēts pieslēguma veids, proti, telnet / ftp vietā tiktu izmantos ssh un sftp (secure ftp) + ideāli būtu ja pieeja ir tikai no fiksētām iepriekš definētām adresēm.

Ja serveris ir vairāklietotāju tad būtu svarīgi vai php darbojas Safe Modē un vai lietotāji ir atdalīti (jail, chroot).

Noteikti vajadzētu painteresēties par firewalla esamību (vai web (db) serveris ir ārējā tīklā jeb vai tam priekšā ir iekārta / serveris kas to aizsargātu) un darbību (konekciju) logiem.

Ja tas ir tavs personīgais serveris tad papildus visam iepriekšējām ir jāseko arī servera programmatūras atjauninājumiem, tur kritisku "caurumu" gadās krietni vien biežāk nekā php kodos :)