Дорогой друг, он и так тебе сказал элементарные вещи.....Все перечисленное нужно делать всегда и независимо от того, есть у тебя Система защиты или нет.....Это как не забыть положить в каждую папку пустой файл index.html....
насчет хакера ты явно погорячился)))
я скорее любитель дилетант.
на самом деле гугл на запрос безопасность сайта/безопасность веб сервера выдает ОГРОМНОЕ количество инфы.
к тому же я в предыдущем посте все написал вроде ж. что там может быть непонятно? все что я написал обсуждалось в том числе и на этом сайте. Попробуйте сами погуглить разобраться, вникнуть, т.к. не понимая что и зачем делаешь толку не будет, проверено!
а по поводу системы безопасности могу сказать одно:
1. Кто хостится - требовать от хостера хотя бы элементарных средств защиты.
2. Выставлять ПРАВИЛЬНЫЕ права на папки и файлы, т.к. права 777 на все ни к чему хорошему не приводят, а так же правильные владельцы файлов и каталогов. Ибо если владелец файла пользователь под которым работает веб сервер это по меньшей мере не гуд.
3. Защищать админку нормально, лучше выносить ее на поддомен, пароли нормальные, хтаксцесс и т.п.
4. Удалять не используемы компоненты, удалять ненужные строки в хтаксцесс.
5. Менять префикс таблиц.
6. На рабочем сайте отключать все сообщения об ошибках майскуэл и иже с ним.
7. 403 и 404 ошибки хотябы - делать перенаправление.
Дык трындеть, ведь, не мешки ворочать. Помощников здесь редко когда докричишься (за исключением тех, кого по пальцам посчитать можно), а как обосрать что-то - так завсегда очередь.
Сорри я помогать не буду, ибо это камень преткновения, по мнению Светланки я ее оскорбил аналогичным постом, в свое время! поэтому в данную тему я стараюсь влазить очень осторожно!
maxisoft, fuze[drums], Гадкий- вы бы помогли feba7, хотя бы дельным советом.
ведь проблема безопасности для чайников становится все критичней, кроме нее никто этого не делает.
Я, когда закончила девятый класс, увязалась за папой (он летел в командировку по своим делам). Летели мы на вертолете Ми-8, летели долго. Эта машина летит со скоростью 200-220 км/ч, вся гудит, трясется, виляет хвостом - короче, очень прикольно после самолета.
Прилетели мы в какую-то танковую часть. У них там страшная глушь и скука. Прилетел вертолет - Событие с большой буквы. Пока правак бегал в диспетчерскую подавать заявку на завтра, командир выясняет у местных о гостинице, борттехник дядя Саша чехлит борт, закрывает заглушками воздухозаборники, швартует лопасти....ну, короче, как обычно.
К нам подваливает группа танкистов во главе с майором и просят посмотреть технику. Бортач кивает и продолжает заниматься свими делами. Танкисты долго осматривают борт, издают разные восклицания и междометия. Потом майор обращается к дяде Саше с интересным заявлением:
- Я все понимаю. Я понимаю, как вертолет летит. Я понимаю, как он висит. Но я не понимаю, как он без кардана по земле ездит.
По лицам танкистов видно, что именно этот вопрос их интересует больше всего. А надо сказать, дяда Саша у нас в гарнизоне славился как человек с юмором. Он смотрит так на майора и говорит на полном серьезе:
- Как это без кардана? Кардан на вертолете есть!
Естественно, на лицах танкистов недоверие. Они сами только что заглядывали вертолету под колеса и ничего не увидели. Носовое колесо там самоустанавливающееся, а основные стойки шасси пирамидального типа - хорошо видно, что кроме полуоси и подкоса (которые одновременно являются баллонами высокого давления ) там ничего нет.
Дядя Саша берет отвертку и приглашает всех желающих по одному подняться наверх, под самый несущий винт. Открывает им лючок и предлагает в него заглянуть.
Каждый, кто заглядывает, отшатывается, и спускается с вертолета с совершенно дикими глазами. Я тоже залезла посмотрела - да, карданный вал - с крестовинами, шарнирами Гука и всеми атрибутами. Танкисты как были с оловянными глазами, так и разошлись.
Я у дяди Саши спрашиваю:
- А почему этот кардан так высоко?
А он мне отвечает:
- Понимаешь, Свет, через этот вал от главного редуктора вентиллятор охлаждения двигателей приводится во вращение...
- А как же вертолет по земле рулит?
- Так за счет тяги винта...
Кстати, теперь-то я знаю, что вертолет рулит даже двумя способами: "на ручке" и на "шаге"
Мораль сей басни такова: прежде чем становиться в позу, и заявлять, цитирую:"защита на дурака, притом абсолютного" нужно спросить себя - уж не кардан ли я здесь искал?
Я могу сказать, что искал мой друг в моих файлах. Он пытался подобрать пароль к логину, который состоит из пустого стринга. А потом у него, видимо, айпишники кончились.
Но!Представить себе юзера, который залогиниться на сайте под пустым стрингом, признаюсь, я не смогла, когда обдумывала алгоритм защиты три месяца назад...Да и сейчас не могу.
ну да а еще можно раз уже разболтал! просто генерировать запрос с параметрами логин и пароля! и действием логин эффект примерно такой же!, а если еще сделать глобальный перебор IP то можно просто завалить полностью сайт в плане авторизации и тем самым нанести вред его посещению.
ну первое это удалить форму авторизации, из шаблона, которая выводится кликом ссылки авторизация , что находится в самом верху, или заблокировать её появление, после блокировки IP
второе , это сделать реальную блокировку пользователя, которого брутфорсят, но как сами понимаете, это не есть хорошо
успехов вам
ну а вообще самая лучшая защита от брутфорса, это пароль типа такого "iuuUT^&6gn^Y)*&R^%Ffhdgd(&E^*&f35g46uyRdcy"
ладно, раз феба не снизойдёт до разговора со мной, расскажу как обходится защита
в общем вводим логи и не верный пароль
система нас посылает
но мы вводим упорно дальше
система нас посылает, но между посылами заставляет ждать всё больше и больше времени
посылает до тех пор пока не выскочит страшная табличка, что вы заблокированы!
страница перезагружается и чёрт подери, пропадает форма авторизации
да ну и фиг с ней
меняем IP
и повторяем заново перебор пароля
но мы не ждём когда страница с предупреждением о не верном пароле, будет перезагружаться, а тупо жмём стрелку броузера "назад"
в итоге нам пофигу на фремя ожидания
потом нам пофигу на все страшные таблички о блокировке
но опять же главное чтобы страница не сама вернулась на главную, а после каждой попытки мы сами её возвращали стрелкой "вернутся назад" в меню броузера....
а теперь случилось страшное и мы проморгали момент редиректа на главную
ситема сама нас туда пребросила и о ужас, опять нет формы ввода пароля
да ну и фиг с ней
мы вводим в строке броузера , находясь на сайте разумеется
Код PHP:
javascript:auth()
и о чудо!!!
выводится опять форма авторизации!
ну вот вам простор для фантазии
как предотвратить проход по этим тропинкам
защита на дурака, притом абсолютного
человек с мозгами и ничего не смыслящий в хакерстве додумается в 5 секунд как обойти вашу защиту
лично я не хакер))
я скорее любитель дилетант.
на самом деле гугл на запрос безопасность сайта/безопасность веб сервера выдает ОГРОМНОЕ количество инфы.
к тому же я в предыдущем посте все написал вроде ж. что там может быть непонятно? все что я написал обсуждалось в том числе и на этом сайте. Попробуйте сами погуглить разобраться, вникнуть, т.к. не понимая что и зачем делаешь толку не будет, проверено!
--------
а теперь для чайников, хотя бы элементарные вещи - на ПРИМЕРАХ, плиз ?
а по поводу системы безопасности могу сказать одно:
1. Кто хостится - требовать от хостера хотя бы элементарных средств защиты.
2. Выставлять ПРАВИЛЬНЫЕ права на папки и файлы, т.к. права 777 на все ни к чему хорошему не приводят, а так же правильные владельцы файлов и каталогов. Ибо если владелец файла пользователь под которым работает веб сервер это по меньшей мере не гуд.
3. Защищать админку нормально, лучше выносить ее на поддомен, пароли нормальные, хтаксцесс и т.п.
4. Удалять не используемы компоненты, удалять ненужные строки в хтаксцесс.
5. Менять префикс таблиц.
6. На рабочем сайте отключать все сообщения об ошибках майскуэл и иже с ним.
7. 403 и 404 ошибки хотябы - делать перенаправление.
ведь проблема безопасности для чайников становится все критичней, кроме нее никто этого не делает.
Прилетели мы в какую-то танковую часть. У них там страшная глушь и скука. Прилетел вертолет - Событие с большой буквы. Пока правак бегал в диспетчерскую подавать заявку на завтра, командир выясняет у местных о гостинице, борттехник дядя Саша чехлит борт, закрывает заглушками воздухозаборники, швартует лопасти....ну, короче, как обычно.
К нам подваливает группа танкистов во главе с майором и просят посмотреть технику. Бортач кивает и продолжает заниматься свими делами. Танкисты долго осматривают борт, издают разные восклицания и междометия. Потом майор обращается к дяде Саше с интересным заявлением:
- Я все понимаю. Я понимаю, как вертолет летит. Я понимаю, как он висит. Но я не понимаю, как он без кардана по земле ездит.
По лицам танкистов видно, что именно этот вопрос их интересует больше всего. А надо сказать, дяда Саша у нас в гарнизоне славился как человек с юмором. Он смотрит так на майора и говорит на полном серьезе:
- Как это без кардана? Кардан на вертолете есть!
Естественно, на лицах танкистов недоверие. Они сами только что заглядывали вертолету под колеса и ничего не увидели. Носовое колесо там самоустанавливающееся, а основные стойки шасси пирамидального типа - хорошо видно, что кроме полуоси и подкоса (которые одновременно являются баллонами высокого давления
Дядя Саша берет отвертку и приглашает всех желающих по одному подняться наверх, под самый несущий винт. Открывает им лючок и предлагает в него заглянуть.
Каждый, кто заглядывает, отшатывается, и спускается с вертолета с совершенно дикими глазами. Я тоже залезла посмотрела - да, карданный вал - с крестовинами, шарнирами Гука и всеми атрибутами. Танкисты как были с оловянными глазами, так и разошлись.
Я у дяди Саши спрашиваю:
- А почему этот кардан так высоко?
А он мне отвечает:
- Понимаешь, Свет, через этот вал от главного редуктора вентиллятор охлаждения двигателей приводится во вращение...
- А как же вертолет по земле рулит?
- Так за счет тяги винта...
Кстати, теперь-то я знаю, что вертолет рулит даже двумя способами: "на ручке" и на "шаге"
Мораль сей басни такова: прежде чем становиться в позу, и заявлять, цитирую:"защита на дурака, притом абсолютного" нужно спросить себя - уж не кардан ли я здесь искал?
Я могу сказать, что искал мой друг в моих файлах. Он пытался подобрать пароль к логину, который состоит из пустого стринга. А потом у него, видимо, айпишники кончились.
Но!Представить себе юзера, который залогиниться на сайте под пустым стрингом, признаюсь, я не смогла, когда обдумывала алгоритм защиты три месяца назад...Да и сейчас не могу.
и вся любовь)
"есть один моментик, который Светланка, пока не до закрыла,"
в ты вщял и разболтал как сломать ее игрушку. Однозначна "ГАДКИЙ"!любая блокировка клиента обходится на раз
второе , это сделать реальную блокировку пользователя, которого брутфорсят, но как сами понимаете, это не есть хорошо
успехов вам
ну а вообще самая лучшая защита от брутфорса, это пароль типа такого "iuuUT^&6gn^Y)*&R^%Ffhdgd(&E^*&f35g46uyRdcy"
в общем вводим логи и не верный пароль
система нас посылает
но мы вводим упорно дальше
система нас посылает, но между посылами заставляет ждать всё больше и больше времени
посылает до тех пор пока не выскочит страшная табличка, что вы заблокированы!
страница перезагружается и чёрт подери, пропадает форма авторизации
да ну и фиг с ней
меняем IP
и повторяем заново перебор пароля
но мы не ждём когда страница с предупреждением о не верном пароле, будет перезагружаться, а тупо жмём стрелку броузера "назад"
в итоге нам пофигу на фремя ожидания
потом нам пофигу на все страшные таблички о блокировке
но опять же главное чтобы страница не сама вернулась на главную, а после каждой попытки мы сами её возвращали стрелкой "вернутся назад" в меню броузера....
а теперь случилось страшное и мы проморгали момент редиректа на главную
ситема сама нас туда пребросила и о ужас, опять нет формы ввода пароля
да ну и фиг с ней
мы вводим в строке броузера , находясь на сайте разумеется
выводится опять форма авторизации!
ну вот вам простор для фантазии
как предотвратить проход по этим тропинкам
Спасибо!
Буду думать, как переписать js. Проблема наверняка в нем, потому что писалось на скорую руку.
человек с мозгами и ничего не смыслящий в хакерстве додумается в 5 секунд как обойти вашу защиту
лично я не хакер))
хоть забрутфорсся