Безопасность sw 13

[T0T0 14]

Здравствуйте, кто подскажет как лучше всего настроить sw 13 какие куда права ставить, и как обезопасить его от заливки шеллов и тп, спасибо

[SmileHack 202]

На все только чтение, и удалить админ панель , заливать по необходимости.

[Ksardasok 149]

Переименовать админ панель вполне достаточно, зачем удалять?

[Piton4ik 49]

del

Изменено 20 января, 2015 пользователем Piton4ik

[Ksardasok 149]

Так же нужно выставить только нужные права на каждую таблицу в базе данных.

[T0T0 14]

На все только чтение, и удалить админ панель , заливать по необходимости.

если установить на все только чтение то сайт будет не доступен, на какие именно файлы и папки выставлять такие права? 

[Allex 155]

Так же нужно выставить только нужные права на каждую таблицу в базе данных.

какие именно? а права на файлы и папки

[Specif 245]

Права не спасут.

  

[Specif 245]

если установить на все только чтение то сайт будет не доступен, на какие именно файлы и папки выставлять такие права? 

Сидел на штормах ни раз, все работало с любыми правами.

Права по дефолту стоят верный у стресс веба. 755 вполне достаточно.

Обвязку можно защитить только на уровне web сервера.

Либо очень тщательной настройкой NGINX

 

На данный момент стресс имеет несколько уязвимости:

1. XSS статистики - пофиксить можно ручками - но трепетно и аккуратно - данный межсайтовый скриптинг может использовать любой школьник, только ещё не додумались как.
2.  SQL инъекции в личном кабинете - более безобидная вещь, максимум что сольют базу обвязки, и получат логин и пароль от админки, а далее методом брута подберут путь.
3. XSS уязвимость в unitpay самой папки предлагаемые скрипты.

Правила по установки стресс веба и настройки пользователя можно найти на сайте stressweb.ru

Так же не забываем настроить пользователя в iptables, закрываем доступ из вне, оставляем только доступ для IP сайта.

 

Если мы хорошо проведем настройки в NGINX, то при попадание шелла в нашу обвязку злоумышленник соснет лапу.

Если что-то пошло не так, то максимум что сможет сделать злоумышленник - это слить вашу базу данных не как не повредив её составляющие.

 

Рассмотрим логику поведения:

 

Если злоумышленник имеет доступ к вашей базы данных, но не чего не может сделать, он будет довольствоваться только её начинкой к примеру брут адресов электронной почты, либо продажей игровых ценностей.

Смысла палить и убивать ему ваш сайт совершенно нету, иначе при проверки логов, дырка будет закрыта, что будет очень плохо для него.

Изменено 20 января, 2015 пользователем Specif

[Allex 155]

Права не спасут.

  

 

а что спасет? 

[Specif 245]

а что спасет? 

Выше написал.

[Ksardasok 149]

Сидел на штормах ни раз, все работало с любыми правами.

Права по дефолту стоят верный у стресс веба. 755 вполне достаточно.

Обвязку можно защитить только на уровне web сервера.

Либо очень тщательной настройкой NGINX

 

На данный момент стресс имеет несколько уязвимости:

1. XSS статистики - пофиксить можно ручками - но трепетно и аккуратно - данный межсайтовый скриптинг может использовать любой школьник, только ещё не додумались как.
2.  SQL инъекции в личном кабинете - более безобидная вещь, максимум что сольют базу обвязки, и получат логин и пароль от админки, а далее методом брута подберут путь.
3. XSS уязвимость в unitpay самой папки предлагаемые скрипты.

Правила по установки стресс веба и настройки пользователя можно найти на сайте stressweb.ru

Так же не забываем настроить пользователя в iptables, закрываем доступ из вне, оставляем только доступ для IP сайта.

 

Если мы хорошо проведем настройки в NGINX, то при попадание шелла в нашу обвязку злоумышленник соснет лапу.

Если что-то пошло не так, то максимум что сможет сделать злоумышленник - это слить вашу базу данных не как не повредив её составляющие.

 

Рассмотрим логику поведения:

 

Если злоумышленник имеет доступ к вашей базы данных, но не чего не может сделать, он будет довольствоваться только её начинкой к примеру брут адресов электронной почты, либо продажей игровых ценностей.

Смысла палить и убивать ему ваш сайт совершенно нету, иначе при проверки логов, дырка будет закрыта, что будет очень плохо для него.

1. статистика читает всего 1 переменную с адресной строки которая фильтруется откуда там xss не понятно

2. в кабинете все запросы проходят проверку на иньекции

3. юнитпэй модули не относятся к св так что за их безопасность отвечают разработчики юнитпэй

[unitpay 22]

Сидел на штормах ни раз, все работало с любыми правами.

Права по дефолту стоят верный у стресс веба. 755 вполне достаточно.

Обвязку можно защитить только на уровне web сервера.

Либо очень тщательной настройкой NGINX

 

На данный момент стресс имеет несколько уязвимости:

1. XSS статистики - пофиксить можно ручками - но трепетно и аккуратно - данный межсайтовый скриптинг может использовать любой школьник, только ещё не додумались как.
2.  SQL инъекции в личном кабинете - более безобидная вещь, максимум что сольют базу обвязки, и получат логин и пароль от админки, а далее методом брута подберут путь.
3. XSS уязвимость в unitpay самой папки предлагаемые скрипты.

Правила по установки стресс веба и настройки пользователя можно найти на сайте stressweb.ru

Так же не забываем настроить пользователя в iptables, закрываем доступ из вне, оставляем только доступ для IP сайта.

 

Если мы хорошо проведем настройки в NGINX, то при попадание шелла в нашу обвязку злоумышленник соснет лапу.

Если что-то пошло не так, то максимум что сможет сделать злоумышленник - это слить вашу базу данных не как не повредив её составляющие.

 

Рассмотрим логику поведения:

 

Если злоумышленник имеет доступ к вашей базы данных, но не чего не может сделать, он будет довольствоваться только её начинкой к примеру брут адресов электронной почты, либо продажей игровых ценностей.

Смысла палить и убивать ему ваш сайт совершенно нету, иначе при проверки логов, дырка будет закрыта, что будет очень плохо для него.

 

Прошу вас, опишите уязвимость XSS нашего модуля. Дело в том, что модуль примитивен и поверьте, практически невозможно, что-либо взломать в нем или через него.

[ncsSpawN 45]

Прошу вас, опишите уязвимость XSS нашего модуля. Дело в том, что модуль примитивен и поверьте, практически невозможно, что-либо взломать в нем или через него.

Смысл встраивать унитпей в обвязку, давно написал себе самопис отдельно от сервера.

И обрабатываю все там, информацию же и кнопки реализация через js.

[Specif 245]

Прошу вас, опишите уязвимость XSS нашего модуля. Дело в том, что модуль примитивен и поверьте, практически невозможно, что-либо взломать в нем или через него.

Здравствуйте. 

В личку отпишу, как освобожусь.