Просмотров: 8573 (Статистика ведётся с 06.02.2017)
Анна Кокина
Сложность урока:
4 уровень - сложно, требуется сосредоточится, внимание деталям и точному следованию инструкции.
1
2
3
4
5
Недоступно в редакциях:
Старт

Трактовка результатов сканера безопасности

Сканер разделен на две части - локальную и внешнюю. Внешнее сканирование позволяет произвести проверку сайта "снаружи". Локальная - отвечает за проверки, которые невозможно/нецелесообразно выполнить “снаружи”, например, настройки сайта или исполнение php/python/perl/etc скриптов в директории хранения загружаемых файлов гораздо эффективнее проверять именно изнутри.


Локальное сканирование

Настройки окружения


Директория хранения файлов сессий доступна для всех системных пользователей

Предположительно в директории хранения сессий находятся сессии других проектов

php/python/perl/etc скрипты исполняются в директории хранения загружаемых файлов

.htaccess файлы обрабатываются Apache в директории хранения загружаемых файлов

Apache Content Negotiation разрешен в директории хранения загружаемых файлов

Настройки PHP


Разрешено чтение файлов по URL (URL wrappers)

Cookies доступны из JavaScript

Не установлен дополнительный источник энтропии при создании идентификатора сессии

Включено использование тегов в стиле ASP

Cookies - не единственное хранилище идентификатора сессии

Включен вывод ошибок

Настройки сайта


Ограничен список потенциально опасных расширений исполняемых файлов

Проактивный фильтр выключен

Защита редиректов выключена

Уровень безопасности административной группы не является повышенным

Включена отладка SQL запросов (\$DBDebug в значении true)

Ошибки, связанные с паролями. Рекомендуется усложнить пароли согласно указаниям сканера.

Пользователи

Эти проверки появились только с версии модуля 14.0.3. Основная их цель - проверить, все ли привилегированные пользователи используют MFA, у всех ли установлен пароль достаточной сложности и так далее.


У некоторых пользователей административной группы установлен слабый пароль

Выключена двухэтапная авторизация

Не все администраторы сайта используют OTP


Внешнее сканирование

Доступен листинг директорий

Открыт доступ к важным сервисам

Инъекция PHP-CGI параметров из строки запроса

Неправильно сконфигурирована связка Nginx + php-fpm

Открыт доступ к служебным "статус" страницам

Найдены временные файлы

Найдены опасные файлы

Доступны настройки PhpMyAdmin

Публичный доступ к файлам контроля версий

Разрешено отображение сайта во фрейме с произвольного домена

Проверяемый сайт отвечает на хост по умолчанию

Найден phpinfo()

Включен Automatic MIME Type Detection для Internet Explorer

Документация по теме:


5


Курсы разработаны в компании «1С-Битрикс»