Приветствую, дорогой читатель!
В этой статье речь пойдет о том, какие существуют способы защиты веб-сайта и как можно определить уровень защищенности, посещаемого веб-сайта.
Необходимость защиты веб-сайтов понятна каждому, стоит отметить, что по статистике ~40% всех хакерских атак приходятся на веб-сайты.
Начнем с того, какие способы защиты веб-сайта существуют и как вообще проверяют защищенность сайта.
1)WAF (Web Application Firewall) – межсетевой экран для приложений, программное или программно-аппаратное средство защиты информации, которое служит для предотвращения атак на веб-приложения.
2) Совершенствование программного кода сайта. Написать код, который не содержит в себе ни одной уязвимости – практически невыполнимая задача, особенно, когда речь идет о сайте с широким функционалом.
3)Соблюдение культуры разработки и простейших правил информационной безопасности. На безопасность сильно влияет то, как пишут код разработчики. Далее в статье будет приведен пример, какой веб-сайт можно считать уязвимым из-за небрежности разработчика. И конечно, традиционное, использование «сильных» паролей и отсутствие прямого доступа к административным страницам веб-сайта.
Владельцы веб-сайтов для проверки защищенности собственного сайта чаще всего пользуются услугами пентестеров, это люди, которые на договорной основе взламывают сайты или инфраструктуру компании. Результатом оказания такой услуги является отчет, в котором указаны все возможные уязвимости сайта. Соответственно, разработчики изучают отчет и корректируют код сайта с учетом тех уязвимостей, которые указаны в отчете.
Теперь перейдем к тому, как пользователю узнать, насколько защищенный сайт он посещает.
1) Существуют платформы для создания сайтов (CMS-платформы), как правило, если сайт создан на такой платформе, то у него по умолчанию есть WAF, что повышает общий уровень защищенности сайта. Чтобы узнать, сделан ли сайт на CMS платформе, необходимо посмотреть исходный код сайта, нажав F12. Можно увидеть следующую строчку:
<meta name="generator" content="Название CMS платформы"> (Например WordPress, Joomla!)
2) Существует довольно хорошее расширение для браузера – “Web Of Trust”. Оно показывает рейтинг сайта. Все подозрительные сайты отмечаются красным, это помогает пользователям избегать возможных неприятностей, в случае посещения данных сайтов.
3) Для людей, которые любят изучать и не спешат скорее воспользоваться веб-сайтом, можно попробовать изучить исходный код сайта. Если на каждом сайте смотреть исходный код, можно увидеть много всего интересного, например комментарии разработчиков, которые содержат либо чувствительную информацию, либо различные шутки, в том числе и нецензурные.
Некоторые разработчики выставляют «наружу» (в программном коде) функции, которые выполняет веб-сайт. Это дает хакеру возможность изучить логику работы функции и нарушить эту самую логику в своих целях