Хочу затронуть тему безопасности сайтов и рассказать пару случаев из практики.
Случай первый.
Делая регулярную проверку сайта одной страховой компании и просто просматривая страницы в индексе, натыкаюсь на страницу .php (сайт на битриксе). Открываю. На белом фоне одна кнопка, нажимаю, скачивается файл эксель. В файле полторы тысячи строк с данными людей, купившими страховку: ФИО, адрес, телефон, паспорт и вид страховки. 🤦♂
Случай второй.
Более свежий. Крупная федеральная сеть, больше 200 магазинов по стране. Делаю регулярную техническую проверку. Замечаю, что в разделе отзывов сделали возможность прикрепления фотографии к отзыву.
Сразу же возникает мысль проверить, как работает. Загружаю txt файл, потом загружаю mp3, все загружается без проблем. 🤦♂
Причём даже отзыв отправлять не нужно, все загружается сразу после выбора файла с ПК. То есть при загрузке нет совершенно никакой проверки ни на размер загружаемого файла, ни на тип.
В интернете часто появляются новости, что где-то произошла утечка данных пользователей. Какой-то известный сайт поломали и т.д.
Недавно была новость, что на части сайтов гос.органов пароль в админку admin:admin
Получается, что очень многие сайты сами «отдают» доступы, базу пользователей и прочее.
Если обычный сеошник вроде меня находит эти уязвимости, то что уж говорить про знающего человека или хакера, который задался целью сломать сайт. А он такие вещи сразу видит и подмечает.
Многие озабочены безопасностью своих сайтов, но к сожалению, не обращают внимание на такие банальные вещи. Им кажется, что если сайт взломали, то сделали это как-то особенно.
Например, в описанных мною случаях виноват разработчик(и).
В первом случае кто-то целенаправленно сделал себе такую кнопку, чтобы тырить данные, либо какой-то ЛПР попросил разработчика сделать ему такую кнопку для выгрузки, а страница попала в индекс.
Во втором случае тот, кто делал форму совершенно некомпетентен. Ведь даже самый начинающий программист знает, что для любой формы на сайте нужно делать кучу проверок.
Советы:
- Не допускайте индексации служебных разделов, страниц тестовых выгрузок, а лучше закройте их под форму авторизации
- По возможности спрячьте админку, чтобы только вы знали ее адрес
- Придумайте нормальный логин с паролем, чтобы в нем были буквы, цифры, символы. А вместо логина не обязательно использовать лишь «admin»)
- Проверьте формы на сайте, что называется «на дурака», чтобы в поле картинки, например, нельзя было загрузить php файл.
- Контролируйте разработчиков, менеджеров и другой персонал.Советы банальны до ужаса, но как показывает практика, многим и они не помешают.Бро поделилсяhttps://t.me/seo_bro
