tigranat

Безопасность моего интернет-магазина

Рекомендуемые сообщения

tigranat    8

Друзья, мне прислали вот такое письмо счастья. Прошу разъяснить, насколько это правда. Как обезопасить сайт?

 

Вообщем проводили мониторинг и обнаружили что ваш сайт вызывает подозрение.
Провели тестовую атаку, и сразу выявили слепую инъекцию. (blind sql injection).

Что это такое?
Это возможность выполнения произвольного кода на стороне сервера где расположен ваш сайт, а именно в базе данных.
Произвольный код выполняется путем внедрения в запрос (через входящие параметры), системных операторов и функция, которые влияют на запрос и результат.

Какие последствия могут быть?

Ну это не смертельно, если не считать того, что:

1) С помощью sql injection легко слить (скачать) вашу базу данных
2) С ее же помощью можно залить веб-шелл (код, набор цифр и букв, конвертированный в base 64, который при определенных условиях преобразуется в такие же PHP скрипты (на php собственно и написан ваш сайт)), так же с помощью которого можно вертеть вашим сайтом как только угодно.
3) С помощью веб-шелла залить эксплоиты и эксплуатировать ваш сайт как хочешь.
4) Эксплуатация в качестве рекламной площадки.
5) Эксплуатация в качестве площадки для рассылки email/спама.
6) Эксплуатация в качестве слива информации конкурентам.

Если вас интересует, то пишите, будем рады пообщаться, обсудить, разъяснить все по данной "дыре".

P.S. Не заказывайте сайты у непроверенных веб студий и не устанавливайте сами cms-ки, т.к. в большинство веб-студии набирают по объявлениям людей, которые даже не понимают что такое информационная безопасность. А в движках, присутствуют везде бек-доры (черные ходы). Тем более в скаченных самописных модулях.

Евгений, команда rsa-team.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 379

Скорее всего развод

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexDW    764

 

Вообщем проводили мониторинг и обнаружили что ваш сайт вызывает подозрение.

обожаю подобные письма!

жаль только что давно уже их не получаю..

то ли из-за отстрела спама, то ли из моих ответов в стиле "Вообщем идите на йух!!!" :-D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу