+7 8352202-471
eMail: info@servis21.ru

Facebook


Если у Вас есть вопросы, связанные с Вашей IT инфраструктурой, обращайтесь к нам! Первая консультация бесплатно.



Новости

 Мы расширили линейку предлагаемых нами продуктов СКБ Контур.

Мы получили сертификат, подтверждающий статус партнера Центра Информационной Безопасности.

Разработали и отладили бизнес-процесс Битрикс24 «Налоги и отчетность» для компании, занимающейся бухгалтерским обслуживанием организаций.

Разработали и отладили бизнес-процесс Битрикс24 «Налоги и отчетность» для компаний, работающих по любой системе налогообложения.

Сегодня наш сертификат партнера-интегратора дополнился компетенцией 1С.


Получить начальную (вводную) информацию по IT вы можете в нашей системе дистанционного обучения


16.06.2016

Безопасность сайта

16.06.2016
С задачей обеспечения безопасности и защиты сайтов рано или поздно приходится сталкиваться владельцу любого действительно работающего и популярного  интернет-ресурса.

 

 

У вас замечательный сайт с высокой посещаемостью и высокой конверсией.

Все идет просто прекрасно:

  • Сайт в топах поисковых машин.
  • Продажи с сайта просто сыплются как из рога изобилия.
  • Солидные клиенты выстроились в очередь.

Но тут происходит нечто странное и неприятное:

  • Вместо вашей титульной страницы на сайте порнографическая картинка или призыв к противозаконным действиям и, как следствие, блокирование сайта.
  • Зарегистрированные пользователи не могут попасть на сайт, так как кто-то изменил их пароли.
  • От вашего имени или от имени ваших зарегистрированных пользователей рассылается спам.
  • На сайте почему-то указан не ваш номер телефона и другие контактные данные, поэтому пользователи обращаются непонятно к кому.
  • Антивирусная защита не позволяет открыть сайт, объясняя это тем, что сайт, вероятно, заражен.
  • Поисковые машины блокируют сайт как небезопасный.
  • Часть клиентов, у кого антивирусная защита не справилась с проблемой, «подхватила» на вашем сайте какую-то «заразу» и, как следствие, получила уже свои неприятности.
  • Вся информация с сайта безвозвратно утеряна и т.п.

 

Вы задаетесь вопросами: Кто виноват? Что происходит? Что делать?

 

Кто виноват?

  • Хакеры, взломавшие сайт, воспользовавшись уязвимостями в его защите.
  • Разработчики сайта, не обеспечившие должный уровень безопасности.
  • Вы, недостаточно серьезно подошедшие к вопросу защищенности вашего сайта.

Что происходит? 

  • Атака, направленная на обход или эксплуатацию уязвимостей в механизмах реализации аутентификации Web-серверов. Уязвимости: возможность подбора аутентификационных данных, небезопасное восстановление аутентификационных данных, недостаточная аутентификация и т.п.
  • Атака, направленная на методы, которые используются Web-сервером для определения прав доступа пользователя к тем или иным функциям и данным. Уязвимости: отсутствие таймаута сессии пользователя, слабое разграничение и ограничение прав пользователей и т.п.
  • Атака на пользователей Web-сервера. Уязвимости: возможность  подмены кода, возможность межсайтового выполнения сценариев, возможность расщепления HTTP-запроса и т.п.
  • Атака, направленная на выполнение кода на Web-сервере. При уязвимостях защиты от этих атак злоумышленник получает возможность модифицировать исполняемые команды на сервере. Уязвимости: выполнение команд операционной системы, внедрение операторов SQL, внедрение операторов LDAP, внедрение серверных сценариев и т.п.
  • Атака, направленная на получение дополнительной информации о Web-приложении. Используя избыточные для работы пользователя данные, злоумышленник может с меньшими трудозатратами скомпрометировать систему. Уязвимости: индексирование директорий,  Идентификация приложений, Утечка информации,  Предсказуемое расположение ресурсов и т.п.
  • Атака, направленная на эксплуатацию функций приложения или логики его функционирования. Приложение может требовать от пользователя корректного выполнения нескольких последовательных действий для выполнения определенной задачи (например, восстановление пароля). Злоумышленник может обойти или использовать эти механизмы в своих целях. Уязвимости: Отказ в обслуживании, Недостаточное противодействие автоматизации, Недостаточная проверка процесса и т.п.

Подробнее о классификации угроз безопасности сайтов

 

Что делать для защиты сайта? 

  • Срочным порядком провести аудит безопасности сайта и выявить его уязвимости.
  • Провести мероприятия по ликвидации уязвимостей сайта.
  • Хотя бы раз в квартал, а лучше раз в месяц, проводить аудит безопасности сайта, так как «хакеры» не дремлют и появляются новые угрозы безопасности сайтов и инструменты их «взлома». 

 

Услуга Защита Сайта

    Введите код с картинки
    Необходимо согласие на обработку персональных данных