SlideShare a Scribd company logo

Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать

Download as PPTX, PDF
R
revisium

Комплексный подход к защите сайтов от различных угроз: защита от веб-атак, от перехвата/кражи доступов, от взлома по вине подрядчиков.

1 of 17
Взломать нельзя защитить // КИБ+РИФ 2016 Григорий Земсков, компания «Ревизиум»
Чтобы защитить сайт от взлома, нужно знать, как сайт могут взломать
— эксплуатация уязвимостей: — в скриптах CMS — плагинах и модулях — доработках — брутфорс админ-панелей сайтов
— начинаются, как только сайт появился в поисковой выдаче — никогда не прекращаются — выборка сайтов на основе SERP (GHDB) — два вида атак: сканирование и эксплуатация уязвимостей
— обновление CMS и плагинов — минимизация плагинов — доработки опытными разработчиками — проксирование трафика, WAF — антибрутфорс плагины и сервисы (fail2ban, Login LockDown)
— взломают сайт через соседний по аккаунту — перехватят доступы через WI-FI в кафе, украдет троян на компьютере, уведут через «фишинг» или взломанный email — «сбрутят» пароль от FTP/SSH — внедрят вирусный код через phpmyadmin в базу данных — сам веб-мастер установит зараженный компонент — «рутанут» сервер VPS/хостинга
— перехват (кража) доступов — брутфорс атака на FTP/SSH/панель хостинга — взлом сайта через соседние сайты на аккаунте — компрометация сервера хостинга
— грамотный выбор хостера — изолированное размещение сайтов — ограничение по IP, двухфакторная аутентификация — регулярная смена паролей — работа по безопасному каналу (VPN) — нет FTP, да - SFTP или хотя бы FTPS — минимизация доступных функций в панели
— недобросовестный подрядчик (веб-мастер, программист, контент-менеджер) оставляет «закладки» — подрядчик устанавливает зараженные компоненты (nulled, не покупает) — утечка доступов к хостингу/сайту у подрядчиков — социальная инженерия / фишинг
— управлять доступами (сразу менять после завершения работ, предоставлять минимальные привилегии на минимальный срок) — аудит после проведения работ — инструктаж подрядчиков — работа по договору
— выработать политику безопасности — технические меры защиты — организационные меры защиты — информирование подрядчиков/персонал, контроль за исполнением — уязвимостью часто бывает сам человек — безопасность - это процесс — только комплексный подход гарантирует безопасность
Григорий Земсков Компания «Ревизиум» ai@revisium.com

Recommended

Современный агрессивный интернет
Современный агрессивный интернетСовременный агрессивный интернет
Современный агрессивный интернет
revisium
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
revisium
 
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
revisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
revisium
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
revisium
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
Mikhail Shcherbakov
 
Samosadny mass csrf attacks via flash ads
Samosadny mass csrf attacks via flash adsSamosadny mass csrf attacks via flash ads
Samosadny mass csrf attacks via flash adsDefconRussia
 
Выбор CMS для вашего сайта
Выбор CMS для вашего сайтаВыбор CMS для вашего сайта
Выбор CMS для вашего сайта
Astra Media Group, Russia
 

Recommended

Современный агрессивный интернет
Современный агрессивный интернетСовременный агрессивный интернет
Современный агрессивный интернет
revisium
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
revisium
 
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
revisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
revisium
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
revisium
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
Mikhail Shcherbakov
 
Samosadny mass csrf attacks via flash ads
Samosadny mass csrf attacks via flash adsSamosadny mass csrf attacks via flash ads
Samosadny mass csrf attacks via flash adsDefconRussia
 
Выбор CMS для вашего сайта
Выбор CMS для вашего сайтаВыбор CMS для вашего сайта
Выбор CMS для вашего сайта
Astra Media Group, Russia
 
КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...
КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...
КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...
ТМ Справа
 
About Web 2.0
About Web 2.0About Web 2.0
About Web 2.0Denis Kajgorodov
 
Где прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий ЗемсковГде прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий Земсков
Yandex
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
PT MIFI Labxss
PT MIFI LabxssPT MIFI Labxss
PT MIFI LabxssDmitry Evteev
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxssyaevents
 
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...
Ruslan Begaliev
 
Improving web application defenses against XSS.
Improving web application defenses against XSS.Improving web application defenses against XSS.
Improving web application defenses against XSS.
Grid Dynamics
 
Экспресс-аудит сайта Agrotechnosouz
Экспресс-аудит сайта AgrotechnosouzЭкспресс-аудит сайта Agrotechnosouz
Экспресс-аудит сайта Agrotechnosouz
Антон Гладкий
 
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Kamskaya
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
AJAX Security
AJAX SecurityAJAX Security
AJAX Security
kappa
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
defconmoscow
 
ModernCMS Presentation
ModernCMS PresentationModernCMS Presentation
ModernCMS Presentation
KadirovCorp
 
Site secure
Site secureSite secure
Site secure
Александр Яныхбаш
 
Se monline
Se monlineSe monline
Se monlineSEMonline .Ru
 
Seopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаSeopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взлома
revisium
 
Как быстро и бесплатно создать сайт для НКО
Как быстро и бесплатно создать сайт для НКОКак быстро и бесплатно создать сайт для НКО
Как быстро и бесплатно создать сайт для НКО
Social Camp2010
 
ярослав рабоволюк
ярослав рабоволюкярослав рабоволюк
ярослав рабоволюкkuchinskaya
 
Stuck in the Middle with You: Exploring the Connections Between Your App and ...
Stuck in the Middle with You: Exploring the Connections Between Your App and ...Stuck in the Middle with You: Exploring the Connections Between Your App and ...
Stuck in the Middle with You: Exploring the Connections Between Your App and ...
Justin Weiss
 
Usage Of Paros & Charles For SSL Debugging
Usage Of Paros & Charles For SSL DebuggingUsage Of Paros & Charles For SSL Debugging
Usage Of Paros & Charles For SSL Debugging
Pradeep Patel
 

More Related Content

What's hot

КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...
КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...
КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...
ТМ Справа
 
Где прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий ЗемсковГде прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий Земсков
Yandex
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxssyaevents
 
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...
Ruslan Begaliev
 
Improving web application defenses against XSS.
Improving web application defenses against XSS.Improving web application defenses against XSS.
Improving web application defenses against XSS.
Grid Dynamics
 
Экспресс-аудит сайта Agrotechnosouz
Экспресс-аудит сайта AgrotechnosouzЭкспресс-аудит сайта Agrotechnosouz
Экспресс-аудит сайта Agrotechnosouz
Антон Гладкий
 
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Kamskaya
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
AJAX Security
AJAX SecurityAJAX Security
AJAX Security
kappa
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
defconmoscow
 
ModernCMS Presentation
ModernCMS PresentationModernCMS Presentation
ModernCMS Presentation
KadirovCorp
 
Site secure
Site secureSite secure
Site secure
Александр Яныхбаш
 
Seopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаSeopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взлома
revisium
 
Как быстро и бесплатно создать сайт для НКО
Как быстро и бесплатно создать сайт для НКОКак быстро и бесплатно создать сайт для НКО
Как быстро и бесплатно создать сайт для НКО
Social Camp2010
 
ярослав рабоволюк
ярослав рабоволюкярослав рабоволюк
ярослав рабоволюкkuchinskaya
 

What's hot (20)

КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...
КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...
КАК ПОВЫСИТЬ ПРОДАЖИ ОТЕЛЯ С ПОМОЩЬЮ САЙТА или 8 ШАГОВ повышения продаж, дост...
 
About Web 2.0
About Web 2.0About Web 2.0
About Web 2.0
 
Где прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий ЗемсковГде прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий Земсков
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
 
PT MIFI Labxss
PT MIFI LabxssPT MIFI Labxss
PT MIFI Labxss
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxss
 
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...
 
Improving web application defenses against XSS.
Improving web application defenses against XSS.Improving web application defenses against XSS.
Improving web application defenses against XSS.
 
Экспресс-аудит сайта Agrotechnosouz
Экспресс-аудит сайта AgrotechnosouzЭкспресс-аудит сайта Agrotechnosouz
Экспресс-аудит сайта Agrotechnosouz
 
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
AJAX Security
AJAX SecurityAJAX Security
AJAX Security
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
 
ModernCMS Presentation
ModernCMS PresentationModernCMS Presentation
ModernCMS Presentation
 
Site secure
Site secureSite secure
Site secure
 
Se monline
Se monlineSe monline
Se monline
 
Seopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаSeopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взлома
 
Как быстро и бесплатно создать сайт для НКО
Как быстро и бесплатно создать сайт для НКОКак быстро и бесплатно создать сайт для НКО
Как быстро и бесплатно создать сайт для НКО
 
ярослав рабоволюк
ярослав рабоволюкярослав рабоволюк
ярослав рабоволюк
 

Viewers also liked

Stuck in the Middle with You: Exploring the Connections Between Your App and ...
Stuck in the Middle with You: Exploring the Connections Between Your App and ...Stuck in the Middle with You: Exploring the Connections Between Your App and ...
Stuck in the Middle with You: Exploring the Connections Between Your App and ...
Justin Weiss
 
Usage Of Paros & Charles For SSL Debugging
Usage Of Paros & Charles For SSL DebuggingUsage Of Paros & Charles For SSL Debugging
Usage Of Paros & Charles For SSL Debugging
Pradeep Patel
 
Charles
CharlesCharles
Charles
Keegan Street
 
Usint Charles Proxy to understand REST
Usint Charles Proxy to understand RESTUsint Charles Proxy to understand REST
Usint Charles Proxy to understand REST
Anatoliy Odukha
 
Charles Proxy, um canivete suíço para o dia a dia de desenvolvimento (testes)
Charles Proxy, um canivete suíço para o dia a dia de desenvolvimento (testes)Charles Proxy, um canivete suíço para o dia a dia de desenvolvimento (testes)
Charles Proxy, um canivete suíço para o dia a dia de desenvolvimento (testes)
Grupo de Testes Carioca
 
Modern Tools for API Testing, Debugging and Monitoring
Modern Tools for API Testing, Debugging and MonitoringModern Tools for API Testing, Debugging and Monitoring
Modern Tools for API Testing, Debugging and Monitoring
Neil Mansilla
 

Viewers also liked (6)

Stuck in the Middle with You: Exploring the Connections Between Your App and ...
Stuck in the Middle with You: Exploring the Connections Between Your App and ...Stuck in the Middle with You: Exploring the Connections Between Your App and ...
Stuck in the Middle with You: Exploring the Connections Between Your App and ...
 
Usage Of Paros & Charles For SSL Debugging
Usage Of Paros & Charles For SSL DebuggingUsage Of Paros & Charles For SSL Debugging
Usage Of Paros & Charles For SSL Debugging
 
Charles
CharlesCharles
Charles
 
Usint Charles Proxy to understand REST
Usint Charles Proxy to understand RESTUsint Charles Proxy to understand REST
Usint Charles Proxy to understand REST
 
Charles Proxy, um canivete suíço para o dia a dia de desenvolvimento (testes)
Charles Proxy, um canivete suíço para o dia a dia de desenvolvimento (testes)Charles Proxy, um canivete suíço para o dia a dia de desenvolvimento (testes)
Charles Proxy, um canivete suíço para o dia a dia de desenvolvimento (testes)
 
Modern Tools for API Testing, Debugging and Monitoring
Modern Tools for API Testing, Debugging and MonitoringModern Tools for API Testing, Debugging and Monitoring
Modern Tools for API Testing, Debugging and Monitoring
 

Similar to Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать

как не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волковкак не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волковOntico
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
 
Андрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьАндрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальность
Yandex
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
Sergey Borisov
 
SerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValSerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerVal
Elitesru
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017
revisium
 
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
 
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Ontico
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
karina krew
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
revisium
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4rit2011
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодняDmitry Evteev
 
Site secure (maxim_lagutin)
Site secure (maxim_lagutin)Site secure (maxim_lagutin)
Site secure (maxim_lagutin)SiteSecure
 
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовОсновные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтов
SiteSecure
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!QA Fest 2015. Юрий Федько. XSS - от простого к сложному!
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!
QAFest
 

Similar to Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать (20)

как не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волковкак не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волков
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
 
Андрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьАндрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальность
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
 
SerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValSerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerVal
 
PT MIFI Labxss
PT MIFI LabxssPT MIFI Labxss
PT MIFI Labxss
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017
 
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
 
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
 
Site secure (maxim_lagutin)
Site secure (maxim_lagutin)Site secure (maxim_lagutin)
Site secure (maxim_lagutin)
 
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовОсновные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтов
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
 
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!QA Fest 2015. Юрий Федько. XSS - от простого к сложному!
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!
 

More from revisium

Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтов
revisium
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
revisium
 
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
revisium
 
Как безопасно работать с файлами по ftp
Как безопасно работать с файлами по ftpКак безопасно работать с файлами по ftp
Как безопасно работать с файлами по ftp
revisium
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
revisium
 
Seopult мастеркласс 2 - мобильный редирект
Seopult мастеркласс 2 - мобильный редиректSeopult мастеркласс 2 - мобильный редирект
Seopult мастеркласс 2 - мобильный редиректrevisium
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
revisium
 

More from revisium (7)

Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтов
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
 
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
 
Как безопасно работать с файлами по ftp
Как безопасно работать с файлами по ftpКак безопасно работать с файлами по ftp
Как безопасно работать с файлами по ftp
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
 
Seopult мастеркласс 2 - мобильный редирект
Seopult мастеркласс 2 - мобильный редиректSeopult мастеркласс 2 - мобильный редирект
Seopult мастеркласс 2 - мобильный редирект
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
 

Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать

  • 1. Взломать нельзя защитить // КИБ+РИФ 2016 Григорий Земсков, компания «Ревизиум»
  • 2. Чтобы защитить сайт от взлома, нужно знать, как сайт могут взломать
  • 3.
  • 4.
  • 5. — эксплуатация уязвимостей: — в скриптах CMS — плагинах и модулях — доработках — брутфорс админ-панелей сайтов
  • 6. — начинаются, как только сайт появился в поисковой выдаче — никогда не прекращаются — выборка сайтов на основе SERP (GHDB) — два вида атак: сканирование и эксплуатация уязвимостей
  • 7.
  • 8.
  • 9. — обновление CMS и плагинов — минимизация плагинов — доработки опытными разработчиками — проксирование трафика, WAF — антибрутфорс плагины и сервисы (fail2ban, Login LockDown)
  • 10. — взломают сайт через соседний по аккаунту — перехватят доступы через WI-FI в кафе, украдет троян на компьютере, уведут через «фишинг» или взломанный email — «сбрутят» пароль от FTP/SSH — внедрят вирусный код через phpmyadmin в базу данных — сам веб-мастер установит зараженный компонент — «рутанут» сервер VPS/хостинга
  • 11.
  • 12. — перехват (кража) доступов — брутфорс атака на FTP/SSH/панель хостинга — взлом сайта через соседние сайты на аккаунте — компрометация сервера хостинга
  • 13. — грамотный выбор хостера — изолированное размещение сайтов — ограничение по IP, двухфакторная аутентификация — регулярная смена паролей — работа по безопасному каналу (VPN) — нет FTP, да - SFTP или хотя бы FTPS — минимизация доступных функций в панели
  • 14. — недобросовестный подрядчик (веб-мастер, программист, контент-менеджер) оставляет «закладки» — подрядчик устанавливает зараженные компоненты (nulled, не покупает) — утечка доступов к хостингу/сайту у подрядчиков — социальная инженерия / фишинг
  • 15. — управлять доступами (сразу менять после завершения работ, предоставлять минимальные привилегии на минимальный срок) — аудит после проведения работ — инструктаж подрядчиков — работа по договору
  • 16. — выработать политику безопасности — технические меры защиты — организационные меры защиты — информирование подрядчиков/персонал, контроль за исполнением — уязвимостью часто бывает сам человек — безопасность - это процесс — только комплексный подход гарантирует безопасность