Безопасность и масштабируемость данных

Безопасность и масштабируемость данных

От пользовательской безопасности к Google Cloud

Виды атак и взломов

• Пользовательские• DDoS (инфраструктура)• Уязвимости в коде• Непродуманная защита сайта

«Какие-то хакеры вскрыли почту Демократической партии США»

Пользовательские

ПользовательскиеДвухфакторная авторизация

Инфраструктурные атаки (DDoS)

Инфраструктурные атаки (DDoS)

Инфраструктурные атаки (DDoS)

1. Отключаем через IPTables все неиспользуемые порты (FTP, SSH), открываем только IP админа2. Nginx: лимит подключений с одного IP3. Лимиты hashlimit4. Отключаем пинг сервера5. Анализируем состояние сервера: Happyapps.io, Anturis.com

CloudFlare plugin https://ru.wordpress.org/plugins/cloudflare/

Уязвимости в коде

1. Отсутствие защиты от Brute-Force (перебор сочетаний логин-пароль)2. Слабая проверка или отсутствие проверки входных данных3. Отсутствие проверки XSS-атак4. Отсутствие проверки CSRF-атак (межсайтовая подделка запросов)

Brute-force

1.Если агент использует cookie, пишем ему в сессию инкремент попыток, считаем время между попытками, если время короткое и попыток много – записываем ip в список заблокированных2. Если клиент не использует cookie…

2.1 Если нет cookie – пишем сразу его в таблицу БД (время + IP)2.2 Анализируем его по данной таблице

Входные данные ($_POST и $_GET)

1. Число – intval()2. Sanitize & escape WP -

https://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data3. Библиотека HTMLPurifier - http://htmlpurifier.org/

CSRF-атаки (межсайтовая подделка запроса)

Content Security PolicyПолитика безопасности сайтов, разработанная Mozilla, Google, Operahttps://content-security-policy.com/https://ru.wordpress.org/plugins/wp-content-security-policy/

script-src 'self' www.google-analytics.com ajax.googleapis.com;Header set Content-Security-Policy "default-src 'self';"

Безопасность БД и масштабируемость

Google Cloud Services - https://cloud.google.com/

Безопасность БД и масштабируемость

Безопасность БД и масштабируемость