Категория архива: Безопасность

mysqldump всех баз данных без системных таблиц (mysqldump --ignore-database)

mysql-dump[1]Для создания Бекапа всех баз данных без системных таблиц, используйте следующую конструкцию для запуска в консоли сервера:
Читать далее →

Все сайты на базе Drupal 7.32 считаются взломанными

Drupal SQL injectionИстория с выявлением критической уязвимости (CVE-2014—3704) в системе управления web-контентом Drupal получила неожиданное продолжение. Разработчики Drupal опубликовали экстренное заявление, в котором объявили, что все системы на основе Drupal 7, которые в течение семи часов не успели обновить до версии 7.32, следует считать скомпрометированными. 15 октября в 11 часов (GMT) зафиксировано начало автоматизированной массовой атаки на сайты, в результате которой была развёрнута кампания по скрытой установке бэкдоров. Читать далее →

Как хранить IP в БД

1_52550c8237b5a52550c8237b97[1]Как ни странно, но многие разработчики до сих пор хранят ip адрес в базе плейн текстом, что вобщем то совсем непрактично.

На самом деле адрес IPv4 удобно хранить в виде беззнакового int 32. И в этой кратенькой статье я вам расскажу о том, как это делать и какие неоспоримые преимущества это дает. Я думаю, этот материал будет полезен многим. Читать далее →

Проверка данных и Аутентификация

auditOpenEdgeDB[1]Советую вам проверять все, что вводит пользователь, так как для нас любой пользователь может быть злоумышленником. Старайтесь не фильтровать, а валидировать. Другими словами, создавать не черный список, а белый. Читать далее →

Валидации данных в PHP

EMC0309[1]Безопасность данных является очень важным моментом, который часто недооценивается как разработчиками, так и клиентами. Начиная с PHP 5.2.0 производить очистку и валидацию данных (проверку на соответствие определенным критериям) стало проще с введением фильтрации данных. Сегодня мы рассмотрим способы фильтрации, как использовать фильтры и создадим несколько пользовательских функций. Читать далее →

Нагрузочное тестирование web-сервера при помощи siege

showimageSiege умеет выполнять многопоточное нагрузочное тестирование web-серверов по протоколу HTTP (S)/1.0/1.1 методами GET и POST. Утилита симулирует параллельные запросы к веб-серверу на протяжении заданного времени и в конце теста вычисляет следующие показатели: Читать далее →

Как заблокировать входящий трафик с помощью Iptables?

iptables[1]После использование этого каманди все входящие пакеты от 192.168.1.111 ip адреса будут сброшены

iptables -I INPUT -s 192.168.1.111 -j DROP

Также можно указать интерфейс на котором приходят пакеты, для примера eth0 и написать камнду так

iptables -I INPUT -i eth0 -s 192.168.1.111 -j DROP Читать далее →

Атаки на Web-скрипты

e740edde64428a3a3befb6e129c[1]Публикацию статьи о технологии атаки через reverse-ip (lookup-ip) за авторством NSD можно считать началом открытого противостояния администраторов хостингов – и тех, кто желает залезть на смежный сайт соседа. Многие начинающие хостинги вообще не занимаются разделением прав доступа. Затем сисадмин (видимо, после пары тысяч жалоб\дефейсов) прикручивает suphp либо suexec, и какое-то время все работает. Инициатива переходит от одной противоборствующей стороны к другой в ритме выхода нового паблик эксплойта под PHP и выхода патчей. Прошло достаточно времени, чтобы всем, наконец, стало ясно – PHP дыряв, как дуршлаг, и доверять ему нельзя (что, кто-то еще сомневается?). Не сегодня, завтра выйдет адвизори с новым мегабагом, и опять все будут ахать и патчиться – в который уже раз… и уж точно не в последний. Читать далее →

Настройка https в Apache 2

apache318x260[1]Без лишних слов Как продолжение предыдущей статьи: Создание сертификата ssl, пример конфинга Apache2, чтобы вы могли использовать созданные Вами ключи ssl. Всё очень просто.
Читать далее →

Создание сертификата ssl (Ubuntu)

ssl[1]Apache 2 умеет работать по защищенному протоколу https в рамках которого всё передаваемая информация шифруется сервером и клиентом по криптографическому протоколу SSL. Это значит, что даже перехвативший запросы клиента и страницы возвращаемые сервером — не сможет посмотреть содержание этих запросов и этих страниц. Как минимум, все эти данные постоянно оседают у провайдера и если, например, его гнусный сотрудник захочет, то легко узнает те пароли, которые вы отправляете на многие сайты в POST- или GET-запросах. Читать далее →

Запись навигация

 
Top