Как взломать сайт. Виды взлома и защита от них.
Как взломать сайт. Виды взлома и защита от них.
Хотите узнать, как взломать сайт? Или же наоборот, узнать, как можно защититься от взлома? Каждый день происходит взлом сайтов, которые удаляются или мошенники требуют выкуп. Как говорится, последний смеется тот, кто делает BackUp.
Некоторые виды атак не дадут вам доступ к административной панели или хостингу, но они могут существенно навредить сайту.
Не смотря на то, что создать сайт стало намного проще, чем это было десять лет назад, всё равно далеко не каждый разработчик знает, как защитить свой сайт. Существует много способов взломать сайт, давайте же разберемся, какие они, и как защитить сайт от взлома.
Методы взлома сайта:
- DDOS
- SQl Injection
- XSS(CSS)
- CSRF
- BackDoor
- Clickjacking
- MITM
- ZeroDay Atack
- SPAM
- Uploads
Это не все методы взлома сайта, однако именно они являются самыми распространенными. Никогда не стоит пренебрегать защитой своего сайта. Особенно стоит об этом задуматься, если у вас крупный проект, который рано или поздно будет подвержен атаке. Дочитайте до конца и узнайте, как взломать сайт или защитить свой проект от атак.
Как взломать сайт – методы и защита от них!
Первый вид атаки, DDOS, он не даст вам доступа к управлению сайтом, однако есть возможность обвалить сайт, что может принести много вреда. Если у вас сайт с большим трафиком, то вам конечно же не хочется потерять несколько дней в пустую. А то и позиции в поисковых системах.DDOS – распределённая атака типа «отказ в обслуживании». Сетевой ресурс выходит из строя в результате множества запросов к нему, отправленных из разных точек. Обычно атака организуется при помощи бот-нетов.
Длительность отказа сайта зависит от длительности атаки и от вашей подготовки к такому виду защиты. Как правило, хостинг предоставляет защиту от DDOS, однако это не значит, что вы можете расслабиться. Данная защита может защитить от нескольких тысяч запросов, которые посылают на ваш сайт бот-неты, а если их будет больше?
Лучших способ защиты – подключение CloudFlair. Они дают возможность бесплатно пользоваться ресурсом, ускоряют загрузку сайта, а также кэшируют страницы. Делается всё за пару минут и не требует материальных вложений.
SQL Injection – этот вид атаки уже устарел и его редко где можно встретить. Суть заключается в том, что в формы обратной связи посылается запрос, который никак не обрабатывается и выдает нужную информацию. Например, в блок комментариев написать запрос
drop table users
, таблица пользователей будет очищена.Защита от данного вида взлома проста, это использовать подготовленные запросы. Они не изменяются никак, а только берут аргументы. PDO можно использовать во многих языках, никогда не используйте аргумент SET NAMES, используйте кодировку в DSN строке(первый аргумент PDO). Также стоит ограничивать доступ пользователей к БД. Также всегда стоит делать резервное копирование базы данных, чтобы не попасть в неприятную ситуацию.
XSS(CSS)– (Cross-Site Scripting) – данный вид атаки всё также осуществляется через user input. Целью данной атаки являются пользователи, а не базы данных. Как правило используют javascript или iFrame. C помощью данного вида атаки можно перехватить cookie пользователя и зайти на его аккаунт без знания пароля и логина. Особенно опасной эта уязвимость является для коммерческих сайтов или интернет-атак. Взломать сайт без защиты от XSS очень легко, через те же комментарии.
Защита от XSS атак может быть разной, например фильтрация вывода из user input. Легче всего будет поставить Twig или Blade, защита от данного вида атак там грамотно реализована из “коробки”.
CSRF – (Cross-Site Request Forgery) – достаточно вредная атака, которая может навредить людям. Создается frame и на атакованном сайте по клику в любой области будет происходить действие, которое может навредить пользователям. Например может быть отправлено сообщение от вашего имени какому-то знакомому с просьбой переслать денег.
Защититься от CSRF очень просто, достаточно добавить CSRF токен для формы в нужном вам месте. Он сохраняется на момент сессии.
MITM – (Man-In-The-Middle) – очень распространенный вид атаки, о котором слышал уже наверное каждый. Суть атаки заключается в том, что человек по середине, он же и выступает в роли хакера, перехватывает ваши пакеты и подменяет их. Например, вы отправляете одно сообщение вашему другу, а оно приходит уже другое. Как взломать сайт с помощью MITM? Очень просто, а значит и защититься очень просто! Достаточно добавить на ваш сайт SSL или TLS с принудительной загрузкой сайта с защищенным протоколом. Если сайт может быть загружен с протоколом HTTP значит взломать его с помощью MITM реально.
Clickjacking – С помощью фрейма, который абсолютно прозрачен перенаправляют пользователей на сторонние ресурсы. Таким образом люди его не видят, создается кнопка, которая привязана к курсору и при любом клике на сайте будет происходить заданное хакером действие. Вариантов защиты от данной атаки взлома сайта много, однако самая эффективная – использовать <
noscript
>.Brute Force – перебор паролей с заданным логином или почтой. Как правило перебор не слепой, используются слитые базы паролей. Защититься можно легко, поставить каптчу или поставить лимит на количество неверных попыток входа.
ZeroDay – уязвимость нулевого дня. Заключается она в том, что после релиза была допущена ошибка и с помощью нее можно взломать сайт. Для того, чтобы с вами такого не произошло всегда обновляйте используемые технологии.
Backdoor – на сайт внедряются зашифрованные скрипты, которые по отдельности дают доступ к ресурсу и как правило они себя копируют, чтобы было сложнее избавиться от них. Проверяйте код на такие скрипты, не устанавливайте сторонние плагины, которые не прошли проверку и всё будет хорошо.
Uploads– взломать сайт с помощью загрузки файлов можно, если нет проверки на форматы и содержимое. Таким образом можно загрузить скрипт в аватарку и запустить его на сайте по ссылке аватарки. Требуется ставить лимит на файлы, а также менять размер фотографий, минимально, однако это уже не даст возможности обмениваться злоумышленникам зашифрованным с помощью стеганографии текстом.
Также вы можете поддержать нас, просто поделившись статьей в социальных сетях.
Telegram
Подписывайтесь на официальный Telegram канал сайта Make Info.
спасибо
полезный материал!
спасибо
Спасибо, отличная статья! По поводу защиты csrf, xss и так далее – лучше конечно проверять свой сайт периодически, мониторить после каждой доработки и обновлений плагинов. Онлайн сканеры безопасности вроде metascan.ru или acunetix.com находят подобные дыры и составляют отчет, как это исправить. Рекомендую всем кто заботиться о защите сайта
Спасибо, полностью с Вами согласен, Олег. Но я больше сторонник использования скриптов и инструментов, про множество которых написано на сайте.
спасибо
5
спасибо,
хороший материал!
в любое время
можем
Спасибо