Embed Size (px)
Citation preview
Взломать нельзя защитить
// КИБ+РИФ 2016
Григорий Земсков, компания «Ревизиум»
Чтобы защитить сайт от взлома, нужно знать, как
сайт могут взломать
Варианты взлома сайтов
Варианты взлома сайтов
Атаки и взлом через веб— эксплуатация уязвимостей:
— в скриптах CMS
— плагинах и модулях
— доработках
— брутфорс админ-панелей сайтов
Нецелевые атаки— начинаются, как только сайт появился в
поисковой выдаче
— никогда не прекращаются
— выборка сайтов на основе SERP (GHDB)
— два вида атак: сканирование и эксплуатация уязвимостей
Как выглядит «разведка»?
Как выглядит атака?
Защита от веб-атак— обновление CMS и плагинов
— минимизация плагинов
— доработки опытными разработчиками
— проксирование трафика, WAF
— антибрутфорс плагины и сервисы (fail2ban, Login LockDown)
Если CMS неуязвима?— взломают сайт через соседний по аккаунту— перехватят доступы через WI-FI в кафе, украдет
троян на компьютере, уведут через «фишинг» или взломанный email
— «сбрутят» пароль от FTP/SSH— внедрят вирусный код через phpmyadmin в базу
данных — сам веб-мастер установит зараженный
компонент— «рутанут» сервер VPS/хостинга
Найти пароль в Google
Взлом не через веб— перехват (кража) доступов
— брутфорс атака на FTP/SSH/панель хостинга
— взлом сайта через соседние сайты на аккаунте
— компрометация сервера хостинга
Защита от взлома— грамотный выбор хостера — изолированное размещение сайтов — ограничение по IP, двухфакторная
аутентификация— регулярная смена паролей— работа по безопасному каналу (VPN)— нет FTP, да - SFTP или хотя бы FTPS— минимизация доступных функций в панели
Бывает, что виноват подрядчик— недобросовестный подрядчик (веб-
мастер, программист, контент-менеджер) оставляет «закладки»
— подрядчик устанавливает зараженные компоненты (nulled, не покупает)
— утечка доступов к хостингу/сайту у подрядчиков
— социальная инженерия / фишинг
Безопасная работа с подрядчиками— управлять доступами (сразу менять после
завершения работ, предоставлять минимальные привилегии на минимальный срок)
— аудит после проведения работ
— инструктаж подрядчиков
— работа по договору
Общие рекомендации— выработать политику безопасности
— технические меры защиты
— организационные меры защиты
— информирование подрядчиков/персонал, контроль за исполнением
— уязвимостью часто бывает сам человек— безопасность - это процесс— только комплексный подход гарантирует
безопасность
