Безопасность сайтов: история от SEO бро

Безопасность сайтов: история от SEO бро За жизнь

Хочу затронуть тему безопасности сайтов и рассказать пару случаев из практики.

Случай первый.
Делая регулярную проверку сайта одной страховой компании и просто просматривая страницы в индексе, натыкаюсь на страницу .php (сайт на битриксе). Открываю. На белом фоне одна кнопка, нажимаю, скачивается файл эксель. В файле полторы тысячи строк с данными людей, купившими страховку: ФИО, адрес, телефон, паспорт и вид страховки. 🤦♂

Случай второй.
Более свежий. Крупная федеральная сеть, больше 200 магазинов по стране. Делаю регулярную техническую проверку. Замечаю, что в разделе отзывов сделали возможность прикрепления фотографии к отзыву.

Сразу же возникает мысль проверить, как работает. Загружаю txt файл, потом загружаю mp3, все загружается без проблем. 🤦♂

Причём даже отзыв отправлять не нужно, все загружается сразу после выбора файла с ПК. То есть при загрузке нет совершенно никакой проверки ни на размер загружаемого файла, ни на тип.

В интернете часто появляются новости, что где-то произошла утечка данных пользователей. Какой-то известный сайт поломали и т.д.
Недавно была новость, что на части сайтов гос.органов пароль в админку admin:admin

Получается, что очень многие сайты сами «отдают» доступы, базу пользователей и прочее.

Если обычный сеошник вроде меня находит эти уязвимости, то что уж говорить про знающего человека или хакера, который задался целью сломать сайт. А он такие вещи сразу видит и подмечает.

Многие озабочены безопасностью своих сайтов, но к сожалению, не обращают внимание на такие банальные вещи. Им кажется, что если сайт взломали, то сделали это как-то особенно.

Например, в описанных мною случаях виноват разработчик(и).

В первом случае кто-то целенаправленно сделал себе такую кнопку, чтобы тырить данные, либо какой-то ЛПР попросил разработчика сделать ему такую кнопку для выгрузки, а страница попала в индекс.

Чти:   За что вам платят деньги, или как не быть вечным джуном.

Во втором случае тот, кто делал форму совершенно некомпетентен. Ведь даже самый начинающий программист знает, что для любой формы на сайте нужно делать кучу проверок.

Советы:

  1. Не допускайте индексации служебных разделов, страниц тестовых выгрузок, а лучше закройте их под форму авторизации
  2. По возможности спрячьте админку, чтобы только вы знали ее адрес
  3. Придумайте нормальный логин с паролем, чтобы в нем были буквы, цифры, символы. А вместо логина не обязательно использовать лишь «admin»)
  4. Проверьте формы на сайте, что называется «на дурака», чтобы в поле картинки, например, нельзя было загрузить php файл.
  5. Контролируйте разработчиков, менеджеров и другой персонал.Советы банальны до ужаса, но как показывает практика, многим и они не помешают.
    Бро поделился
    https://t.me/seo_bro

Зацени
SEO блог BOLSHAKOF.RU
Ваше мнение