77  /  96

Безопасность крупного проекта

Просмотров: 1353 (Статистика ведётся с 06.02.2017)
Дата последнего изменения: 25.09.2015

Важной задачей для владельцев веб-проектов является качественная и надежная защита от хакерских атак, взлома и кражи хранящейся на сайте информации.

Само по себе API системы Bitrix Framework взломоустойчиво. Потенциально опасный код возникает при интеграции, в кастомных страницах, компонентах и модулях. Обычно разработчику не хватает опыта аудита и взлома кода. Написание устойчивого к взлому кода требует не только глубоких теоретических знаний, но и многолетней практики.

Комплекс защитных мероприятий проектов, работающих на системе Bitrix Framework, реализуется с помощью модуля Проактивная защита. Модуль имеет следующие инструменты для обеспечения безопасности:

Данные инструменты страхуют разработчика, значительно снижают последствия ошибок и усложняют взлом. Но, несмотря на это, они не всегда позволяют устранить сам источник уязвимости. Для этого необходимо использовать инструмент аудита безопасности PHP-кода, который доступен в разделе Безопасность на странице Монитор качества:

В основе теста по проверке безопасности кода лежит статический taint-анализ. Запустив данный тест, вы сможете просмотреть в отчете найденные потенциальные уязвимости (при наличии) и тем самым усилить защиту проекта от взлома.

Инструмент идентифицирует следующие возможные уязвимости:

  • XSS-атаки (Cross-site scripting);
  • SQL-инъекции;
  • выполнение произвольного php кода;
  • выполнение произвольных системных команд;
  • инъекции в заголовок ответа (HTTP Response Splitting);
  • File Inclusion.

Проводить мониторинг состояния проекта с точки зрения безопасности помогает сканер безопасности. С его помощью вы можете выполнить внешнее сканирование окружения проекта, найти потенциальные уязвимости в коде, проверить настройки сайта и убедиться в правильности настроек всех систем безопасности.

Также для обеспечения высокого уровня безопасности вашего проекта следует придерживаться следующих правил:

  • закрыть и постоянно мониторить закрытость снаружи критически важных портов всех серверов;
  • проверять контрольные суммы файлов серверов;
  • проверять настройки PHP;
  • проверять все, что посетитель загружает к вам на сайт.

Список ссылок по теме:

Выстраиваем систему противодействия DDoS-атакам - доклад на конференции FailOver Conference Украина.

О DDoS на Web-кластер - доклад на FailOver Conference.


1
Курсы разработаны в компании «1С-Битрикс»

Если вы нашли неточность в тексте, непонятное объяснение, пожалуйста, сообщите нам об этом в комментариях.
Развернуть комментарии