Михаил Евгеньевич Флёнов - Web-сервер глазами хакера
3-е издание, переработанное и дополненноеНазвание: | Web-сервер глазами хакера | |
Автор: | Михаил Евгеньевич Флёнов | |
Жанр: | Интернет, Хакерство | |
Изадано в серии: | Глазами Хакера | |
Издательство: | БХВ-Петербург | |
Год издания: | 2021 | |
ISBN: | 978-5-9775-6795-4 | |
Отзывы: | Комментировать | |
Рейтинг: | ||
Поделись книгой с друзьями! Помощь сайту: донат на оплату сервера |
Краткое содержание книги "Web-сервер глазами хакера"
Рассмотрена система безопасности web-серверов и типичные ошибки, совершаемые web-разработчиками при написании сценариев на языках PHP, ASP и Perl. Приведены примеры взлома реальных web-сайтов, имеющих уязвимости, в том числе и популярных. В теории и на практике рассмотрены распространенные хакерские атаки: DoS, Include, SQL-инъекции, межсайтовый скриптинг, обход аутентификации и др. Представлены основные приемы защиты от атак и рекомендации по написанию безопасного программного кода, настройка и способы обхода каптчи. В третьем издании рассмотрены новые примеры реальных ошибок, приведены описания наиболее актуальных хакерских атак и методов защиты от них. Для web-разработчиков и системных администраторов
Читаем онлайн "Web-сервер глазами хакера". [Страница - 28]
идет распределенный, то могут блокироваться целые сети и провайдеры. Из личного опыта видел, как крупный провайдер попадал в черный список, и все его пользователи (даже легитимные) какое-то время не могли загрузить защищаемый алгоритмами Prolexic сайт.
Основы безопасности
49
Akamai — не единственная компания на рынке, которая предоставляет подобный
сервис защиты от DDoS-атак.
Для того чтобы ваша DDoS-атака была успешной, нужно знать реальный IP-адрес,
чтобы можно было направлять трафик на сервера в обход защитных средств, и даже это даст успех только в том случае, если реальные сервера принимают трафик с
любого источника.
Я не знаю нынешние реальные IP-адреса web-серверов Wheel of fortune и не могу
проверить, можно ли к ним добраться напрямую. Надеюсь, что у них стоит сетевой
экран, который принимает трафик только от Akamai, то есть уже проверенный на
отсутствие DDoS-атак.
1.8. Меры безопасности
Проблема безопасности не ограничивается только защитой определенных программ. Можно написать самую безопасную программу, но при этом установить на
сервер ОС с настройками по умолчанию. Всем известно, что настройки по умолчанию далеки от идеала, и благодаря этому web-сервер может быть взломан даже при
отсутствии уязвимых сценариев.
Безопасным должен быть не только каждый участок программы, но и каждый программный пакет, установленный на сервере, сама ОС, конфигурация и все используемое оборудование (в основном это касается сетевых устройств).
Защищать необходимо не только определенные программы, но и ОС, СУБД, сетевое оборудование. Каждая составляющая требует отдельной книги по безопасности. А если учесть, что существует несколько разновидностей ОС и к безопасности
каждой из них нужно подходить со своей стороны, то книг нужно написать еще
больше. Поэтому ограничимся только основными особенностями защиты.
Есть такое выражение, что безопасность — это не продукт, а процесс. Нельзя просто купить какой-то продукт и тут же оказаться в безопасности.
Вместо этого к безопасности нужно относиться как к процессу, бесконечному и
постоянно работающему.
Даже если вы являетесь разработчиком и не связаны с администрированием сервера своей компании или просто web-сайта, я настоятельно рекомендую вам познакомиться с безопасностью ОС, которая используется на вашем сервере. Для Linuxсистем я могу посоветовать прочитать мою книгу "Linux глазами хакера".
Может, вы заметили, что я очень часто ссылаюсь именно на ОС Linux? Дело в
том, что эта ОС преобладает в интернете в качестве серверов. Именно поэтому
мы будем больше внимания уделять этим ОС. Да, в корпоративном секторе можно встретить и множество решений на Windows-платформе, но в целом они уступают по популярности решениям на Linux.
Компания Microsoft делает серьезные шаги для завоевания рынка web-решений, и
в последнее время удается что-то сделать и отвоевать часть рынка, так что все
50
Глава 1
может еще измениться. Облачные технологии Azure показывают хорошие результаты с точки зрения роста в популярности.
Там, где тема касается обеих ОС, я буду затрагивать их обе, но больше внимания все
же буду уделять UNIX-системам и Linux в частности, потому что именно Linux вызывает у меня наибольшую симпатию, и мне кажется, что за ним будущее.
1.8.1. Защита web-сервера
Давайте рассмотрим пример защиты MySQL и Apache в операционной системе
Linux. Мы опустим защиту самой ОС, потому что это отдельная и очень большая
тема, да и весь Apache мы трогать не будем, пусть живет. Итак, защита начинается
с установки и предварительного конфигурирования. В случае с MySQL необходимо
выполнить следующие действия:
СУБД устанавливается с настройками по умолчанию, при которых администраторский доступ разрешен пользователю root и нужно убедиться, что у
всех аккаунтов, которым разрешено подключение, есть пароль, который достаточно сложен, чтобы поддаться простому подбору;
необходимо заблокировать анонимный доступ к СУБД. Подключения должны
осуществляться только авторизованными пользователями;
лучше всего запретить удаленное подключение к СУБД. Например, если к MySQL
обращаются только локально расположенные сценарии, то никто не должен иметь
права подключения с удаленной машины (в настройках MySQL есть --">
Книги схожие с «Web-сервер глазами хакера» по жанру, серии, автору или названию:
Alex Atsctoy - Самоучитель хакера Жанр: Интернет Год издания: 2005 |
Михаил Евгеньевич Флёнов - Web-сервер глазами хакера Жанр: Хакерство Год издания: 2007 |
Михаил Евгеньевич Флёнов - Linux глазами хакера Жанр: Сети Год издания: 2005 |
Коллектив авторов - Python глазами хакера Жанр: Python Год издания: 2022 Серия: Глазами Хакера |
Другие книги из серии «Глазами Хакера»:
Коллектив авторов - Python глазами хакера Жанр: Python Год издания: 2022 Серия: Глазами Хакера |
Ralf Hacker - Active Directory глазами хакера Жанр: Хакерство Год издания: 2021 Серия: Глазами Хакера |
Евгений Зобнин - Android глазами хакера Жанр: Хакерство Год издания: 2021 Серия: Глазами Хакера |
Михаил Евгеньевич Флёнов - Web-сервер глазами хакера Жанр: Хакерство Год издания: 2021 Серия: Глазами Хакера |