Как быстро найти и устранить проблемы безопасности

Думбравану Вадимруководитель проектов

Шаромов Денисруководитель отдела техподдержки

Безопасный проект

Безопасное веб-приложение

Безопасный пользовательский код

Проактивная защита

Безопасное окружение (кто?)

ОС

Веб-сервер

СУБД

Memcached

Сторонние скрипты

Проактивная защита

Проактивный фильтр (Web Application FireWall)

Веб-антивирус

Технология одноразовых паролей (OTP)

Защита сессий

Защита редиректов от фишинга

Стоп-листы

Контроль целостности скриптов

«Облачный» сканер безопасности

Выполняет внутреннее сканирование окружения проекта

Выполняет проверку настроек сайта, к примеру, включен ли WAF, установлен ли пароль к БД и т. д.

Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.

Запускает внешнее сканирование.

Локальные тесты

example.ru

Сканер безопасности

Часть локальных тестов работает изнутри

Другая часть готовит окружение и подключается через веб сервер

Локальные тесты

Права на файлы и папки проекта

Временная папка загрузки файлов

Папка хранения сессий

Общие сессии разных проектов (новые версии не подвержены)

Выполнение скриптов в папке upload

Проверка AllowOverride none в папке upload

Статический анализ

Сервис

Внешние тесты

example.ru

Сканер безопасности

1c-bitrix

Облачный сканерКлюч

Сервер очередей

Задание

Задание

Внешние тесты

Закрыт Directory Index

Уязвимости php-cgi/fpm

Закрытые статусные страницы Apache и nginx

Временные файлы dbconn.php (.bak, .old и пр.)

Доступность phpMyAdmin

Системы контроля версий

phpinfo

Результат

Статистика

Всего сканирований: 20381

Из них успешных: 17533

Из них уникальных доменов: 5408

Всего найдено проблем: 3003

Из них исправлено: 687

Критичных: 860/316

Менее критичных: 874/235

Некритичные: 1269/136

Спасибо за внимание! Вопросы?