Статьи из рубрики «Безопасность» RSS

Безопасность, о которой все так много говорят

Серьёзная уязвимость в osCommerce 2.2 RC 2a

Сегодня один из моих клиентов пожаловался, что его online-магазин (на базе osCommerce) в очередной раз взломали и записали закодированный файл q_boot.php в каталог images. Хотя с osCommerce я сталкивался только один раз в жизни (подчищал вирус наподобие этого), меня этот случай очень заинтересовал: уязвимость, которая позволяет злоумышленнику залить на сервер произвольный файл — это очень серьёзно. Далее »

Автор: Vladimir, опубликовано в: Безопасность, комментариев: 8
18
Дек
2009

Скажи «Нет!» взломщику: часть 2

Продолжение статьи Скажи «Нет!» взломщику.

Прошлый раз мы использовали swatch и iptables для защиты от нехороших ботов, пытающихся сделать наш компьютер частью ботнета. У приведённого способа был существенный недостаток: IP-адреса блокировались навсегда. Это плохо, так как IP-адреса можно подделывать.

Tamdiu discendum est, quamdiu vivas, поэтому сегодня рассмотрим вариант с блокированием атакующего на заданный промежуток времени. Далее »

Автор: Vladimir, опубликовано в: Linux, Безопасность, комментариев: 1
8
Дек
2009

Безопасный логин в WordPress с использованием nginx

WordPress, начиная с версии 2.6, имеет улучшенную поддержку работы с HTTPS.

У администратора есть две возможности:

  1. Использование HTTPS для работы в панели управления (wp-admin).
  2. Использование HTTPS только для входа в систему.

Первое достигается путём добавления строки

[-]
View Code PHP
define('FORCE_SSL_ADMIN', true);

в wp-config.php, второе — путём добавления строки

[-]
View Code PHP
define('FORCE_SSL_LOGIN', true);

Добавляем одну из этих двух строк в wp-config.php и проблема решена? Но в действительности всё не так, как на самом деле :-)
Далее »

Автор: Vladimir, опубликовано в: WordPress, Безопасность, комментариев: нет
5
Дек
2009

Простой DoS для PHP

Копался сегодня во внутренностях PHP, и обнаружил такую вещь: функция zend_hash_sort() (она вызывается из функций типа usort() и прочих) сортирует не сам массив (в терминах Zend Engine), а массив (в терминах языка C) указателей на элементы массива (в терминах Zend Engine), а потом по отсортированному C-массиву пересоздаёт PHP-массив. Далее »

Автор: Vladimir, опубликовано в: PHP, Безопасность, комментариев: 3
19
Окт
2009

Модуль поддержки tcpwrappers для nginx

TCP Wrappers — система контроля доступа, используемая для ограничения доступа к серверам на UNIX-подобных операционных системах (Linux, BSD). Контроль доступа может осуществляться, например, по имени хоста (полному или частичному), адресу, подсети. Подробности приведены здесь.

TCP Wrappers очень удобно использовать с программами для защиты от червей (BlackHosts, DenyHosts, Fail2ban), в частности, для защиты от HTTP-сканирования.

Огромным достоинством TCP Wrappers является возможность динамической конфигурации списков контроля доступа (что избавляет от необходимости перезапускать защищаемый сервис) и простота файлов конфигурации (это субъективно).

К сожалению, nginx не поддерживает TCP Wrappers из коробки. К счастью, это можно исправить. Далее »

Автор: Vladimir, опубликовано в: C/C++, Администрирование, Безопасность, комментариев: 1
10
Окт
2009
Вперёд »