Безопасность крупного проекта

Важной задачей для владельцев веб-проектов является качественная и надежная защита от хакерских атак, взлома и кражи хранящейся на сайте информации.

Само по себе API системы Bitrix Framework взломоустойчиво. Потенциально опасный код возникает при интеграции, в кастомных страницах, компонентах и модулях. Обычно разработчику не хватает опыта аудита и взлома кода. Написание устойчивого к взлому кода требует не только глубоких теоретических знаний, но и многолетней практики.

Комплекс защитных мероприятий проектов, работающих на системе Bitrix Framework, реализуется с помощью модуля Проактивная защита. Модуль имеет следующие инструменты для обеспечения безопасности:

• Проактивный фильтр (WAF) и веб-антивирус, которые защищают снаружи от имеющихся уязвимостей в коде, допущенных интегратором.
• Панель безопасности, журнал вторжений, одноразовые пароли, защита сессий и контроль активности, которые позволяют выстроить инфраструктуру защиты.
• Защиту административной части и шифрование данных, которые позволяют строго регламентировать сети, считающиеся безопасными, и исключить целый класс потенциальных рисков, связанных с возможностью перехвата информации в канале передачи.

Данные инструменты страхуют разработчика, значительно снижают последствия ошибок и усложняют взлом. Но, несмотря на это, они не всегда позволяют устранить сам источник уязвимости. Для этого необходимо использовать инструмент аудита безопасности PHP-кода, который доступен в разделе Безопасность на странице Монитор качества:

В основе теста по проверке безопасности кода лежит статический taint-анализ. Запустив данный тест, вы сможете просмотреть в отчете найденные потенциальные уязвимости (при наличии) и тем самым усилить защиту проекта от взлома.

Инструмент идентифицирует следующие возможные уязвимости:

• XSS-атаки (Cross-site scripting);
• SQL-инъекции;
• выполнение произвольного php кода;
• выполнение произвольных системных команд;
• инъекции в заголовок ответа (HTTP Response Splitting);
• File Inclusion.

Проводить мониторинг состояния проекта с точки зрения безопасности помогает сканер безопасности. С его помощью вы можете выполнить внешнее сканирование окружения проекта, найти потенциальные уязвимости в коде, проверить настройки сайта и убедиться в правильности настроек всех систем безопасности.

Также для обеспечения высокого уровня безопасности вашего проекта следует придерживаться следующих правил:

• закрыть и постоянно мониторить закрытость снаружи критически важных портов всех серверов;
• проверять контрольные суммы файлов серверов;
• проверять настройки PHP;
• проверять все, что посетитель загружает к вам на сайт.