Сервис защиты сайтов - Тестеры нужны

SV
На сайте с 03.11.2008
Online
1346
#61
Top for the good:
а что насчет мониторинга файлов движка сайта на изменени

Ты хочешь пустить кого-то на свой сервер? Нда.. понятия безопасности вообще отсутствует.

Юзай скрипт и спи спокойно.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
TF-Studio
На сайте с 17.08.2010
Offline
321
#62

Можно спокойно пустить кого-то на свой сервер.

Есть такая задумка.

Открытый и понятный код - будет предрасполагать к этому )

Собирать лишь хеши по крону и отправлять на сервер.

Пока над реализацией думаю.

Эта ступень защиты, по идеи, будет гораздо эффективнее.

Всё ещё лучший способ заработка для белых сайтов: GoGetLinks (https://www.gogetlinks.net/?inv=fahbn8).
SV
На сайте с 03.11.2008
Online
1346
#63
TF-Studio:
Пока над реализацией думаю.

Так это 100500 раз обсуждали. (завтра поищу топики)

Пускать никого не надо (ибо это дыра).

Отправка хешей и инфы о составе файлов - небольшая, но всё же потенциальная уязвимость. Я бы это не сливал никакому сервису.

TF-Studio
На сайте с 17.08.2010
Offline
321
#64

в чем именно дыра тут?

Отправляем исключительно хеш файла.

Заранее исключаем не нужные директории...

SV
На сайте с 03.11.2008
Online
1346
#65
TF-Studio:
в чем именно дыра тут?

Как минимум, если эта инфа попадает к злоумышленнику - она открывает ему глаза на используемый двиг и модули.

TF-Studio
На сайте с 17.08.2010
Offline
321
#66

двиг итак можно спокойно узнать в 99% случаев.

TF-Studio
На сайте с 17.08.2010
Offline
321
#67

А что если не хранить имена, а просто снимать снимок системы и проверять.

В случае нового файла - уведомлять.

пути/имена - хранить хеш

SV
На сайте с 03.11.2008
Online
1346
#68
TF-Studio:
двиг итак можно спокойно узнать в 99% случаев.

1. Я бы процент уменьшил до 60-70. Ибо фрейворки всякие, не считая самописов с паблик-модулями (CKEditor\MCE\етс, пхп-файл-менеджеры и много чего ещё)

2. Модули (инфы о которых нет на морде). Модули с дырами.

Вот см. самое простое, на вскидку. Имеется где-то зарытый древний тимтумб. По хешу злодей сразу увидит и его наличие и путь к нему. А ведь кроме тимтумба есть ещё масса всякого разного ;).

Ещё. Даже в паблик двигах возможно перемещение критических файлов (админки например). А при перехвате злоумышленником инфы с путями\хешами...

TF-Studio:
а просто снимать снимок системы и проверять.

Что имеешь ввиду? Каким образом?

TF-Studio:
В случае нового файла - уведомлять.

Как определишь новый, если нет инфы о предыдущем состоянии? (А если есть - значит она передаётся. Значит что? Значит потенциальная дыра).

И опять же - определение (палево) путей.

---------- Добавлено 17.07.2013 в 11:46 ----------

SeVlad:
завтра поищу топики

Первый обещанный. Ты должен его помнить ;) (читать желательно весь, до конца)

АПД. Второй.

И, думаю, пока достаточно.

TF-Studio
На сайте с 17.08.2010
Offline
321
#69

БД

хеш (полного пути + название)

хеш (содержимого файла)

Храним в неявном виде.

скрипт на сервере - отправляет тоже хеш названия, если его нету в базе - значит новый файл.

можно использовать сложные хеши, но это пока не принципиально.

при первом сканировании (и обновлении) собираем все файлы и передаем только хеши.

Согласен, пока не идеально все, если меня похакают (а это может произойти с любым, ибо написать 100% неуязвимую систему нельзя), то злоумышленник, спустя какое-то время, может получить данные о структуре сайта.

это - я думал, как доп функционал, основной приоритет - поиск последствий.

SV
На сайте с 03.11.2008
Online
1346
#70
TF-Studio:
скрипт на сервере - отправляет тоже хеш названия, если его нету в базе - значит новый файл.

Чот я тут не понял - хеш чего? Всего состояния? Или нового файла?

Если первое - имеем слив инфы. Если второе - так тут вообще работа по определению "новизны" производится непосредственно на сервере клиента. Про нагрузку опустим, но для этого нада ж инфа о пред. состоянии. Тянуть её с внешнего сервиса? Хранить у себя? Если последнее, то явно что не в базе, а в файлах. Заметь маленькую деталь - в файлах, которые 90% оставят открытыми для паблика ;)

TF-Studio:
я думал, как доп функционал, основной приоритет - поиск последствий.

Дык я к тому, что ты лучше занимайся основным, не отвлекайся на потенциально опасные хотелки.

Во всяком случае можно облагородить* упоминавшийся скрипт (автор дал добро). Или же свой написать. И давать его клиентам как доп фичу.

*например сделать его с "админкой" и разными настройками оповещения и сканирования.

ЗЫ. Если пропустил. Я в пред. посте обещалку выполнил и ссылок добавил.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий