LINUX.ORG.RU

Вопросы по безопасности своего сайта


0

0

Возник следующий вопросик:

Друг делает свой сайт. Делает для своего личного удовольствия, профессионалом в сфере IT никоим образом не является, и, поскольку сайт предназначен не для зарабатывания денег, профессионала нанять не может. Хостер предоставил ему стандартный набор: место собственно для сайта, блог, форум, ftp и инструмент управления (cPanel). На данный момент он столкнулся с необходимостью предоставить ряду активных посетителей возможность размещать свои файлы. Не придумано ничего лучше, чем дать каждому из них директорию с возможностью захода через ftp под определенным логином и паролем. ftp-сервер - PureFTP. Не знает ли кто-нибудь - могут ли в такой ситуации возникнуть серьезные проблемы с безопасностью? Secunia дает по PureFTP только одну уязвимость (и та DoS, что, честно говоря, не очень пугает, поскольку на фиг никому его сайт рушить не надо). Но все равно - слегка страшновато. Заранее благодарен а возможные ответы.

главное, не сделать так, что бы пользователи скрипты закакчивали вместо того, что предполагается.

ivlad ★★★★★
()
Ответ на: комментарий от fagot

Присоединяюсь к вопросу. Я туда башевый скрипт вполне успешно проаплоадил и, несмотря на умолчальный запрет на исполнение, 0755 радостно выставил. Я, конечно, не кульхацкер, а, прямо говоря, ламер, и из ftp файлы на исполнение на стороне сервера запускать не умею, но сама возможность проделывать все эти операции настораживает.

genmaxxx
() автор топика
Ответ на: комментарий от genmaxxx

Главное запретить апачу исполнять скрипты из upload директории см. .htaccess

Иначе могут залить перл,пхп,питон.. и .тд. скрипты и выполнить их на серваке

xnix ★★
()
Ответ на: комментарий от xnix

> Главное запретить апачу исполнять скрипты из upload директории см. .htaccess

О, спасибо, за совет. На нужную инструкцию в .htaccess, я полагаю, нашего ламеризма хватит. Еще какие-нибудь грабли возможны?

genmaxxx
() автор топика
Ответ на: комментарий от genmaxxx

>О, спасибо, за совет. На нужную инструкцию в .htaccess, я полагаю, нашего ламеризма хватит. Еще какие-нибудь грабли возможны?

Проверьте ВСЕ скриты на XSS, SQL-inj,php include vuln,fopen(),open()

В том числе и те которые дал пров. (форумы, гост. книги) -- поищите их на www.securitylab.ru

На скрипты надо в первую очередь обращать внимание, а не на сервак хостера, если его сломают ,уже ничего не поможет.

xnix ★★
()
Ответ на: комментарий от xnix

> Проверьте ВСЕ скриты на XSS, SQL-inj,php include vuln,fopen(),open()

> В том числе и те которые дал пров. (форумы, гост. книги) -- поищите их на www.securitylab.ru

> На скрипты надо в первую очередь обращать внимание, а не на сервак хостера, если его сломают ,уже ничего не поможет.

Хм, спасибо. Об этом мы как-то не думали, надо заняться на выходных. Правда, не думали, наверное, потому, что это - проблема хостера, по большей части, (в конфигурации форума и блога друг ничего не менял, своих скриптов не писал). Открытие доступа по FTP для посторонних - первое его изменение в дефолтной конфигурации. Отсюда и нервозность.

genmaxxx
() автор топика
Ответ на: комментарий от fagot

> А как это можно запретить?

Запрещать надо не загрузку исполняемых скриптов, а загрузку любых файлов в те каталоги, откуда апач может их запустить. Зависит от конфигурации апача.

Что касается .htaccess, то, если AllowOverride правильно выставить, то .htaccess может быть даже полезен. ;)

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

> Запрещать надо не загрузку исполняемых скриптов, а загрузку любых файлов в те каталоги, откуда апач может их запустить. Зависит от конфигурации апача.

Ну, насколько, там вообще можно настроить апач (прямого доступа к настройке, как я уже упомянул там нет - только через конфигуратор cPanel), запуск скриптов в каталоге загрузки запрещен.

И благодарю всех откликнувшихся за разъяснения. :)

genmaxxx
() автор топика
Ответ на: комментарий от xnix

Ещё было бы неплохо фильтры поставить в те скрипты, что посылают инфу из браузера по почте. Они тоже м.б. источником неприятностей. Ну и фильтрация html, конечно же ;-)

r_asian ★☆☆
()
Ответ на: комментарий от r_asian

> Ещё было бы неплохо фильтры поставить в те скрипты, что посылают инфу из браузера по почте. Они тоже м.б. источником неприятностей. Ну и фильтрация html, конечно же ;-)

Можно тут чуть подробнее? Естественно, не требую рассказать по пунктам, что и как делать ;), но был бы признателен за наводку на нужные утилиты (литературу, в случае возможности их использования, я думаю найдем сами).

genmaxxx
() автор топика
Ответ на: комментарий от genmaxxx

Да какие тут больно утилиты. Заменяй "нехорошие символы" чем-нибудь, например @ на (at). угловые скобки на квадратные там и пр..

ereg_replace или ~s///g (или чем у тебя ещё движок дышит) тебе в помошь.

Главное - не товеряй тому, что приходит из браузера ;-)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.