Безопасность сайтов: история от SEO бро

Безопасность сайтов: история от SEO бро За жизнь

Хочу затронуть тему безопасности сайтов и рассказать пару случаев из практики.

Случай первый.
Делая регулярную проверку сайта одной страховой компании и просто просматривая страницы в индексе, натыкаюсь на страницу .php (сайт на битриксе). Открываю. На белом фоне одна кнопка, нажимаю, скачивается файл эксель. В файле полторы тысячи строк с данными людей, купившими страховку: ФИО, адрес, телефон, паспорт и вид страховки. 🤦♂

Случай второй.
Более свежий. Крупная федеральная сеть, больше 200 магазинов по стране. Делаю регулярную техническую проверку. Замечаю, что в разделе отзывов сделали возможность прикрепления фотографии к отзыву.

Сразу же возникает мысль проверить, как работает. Загружаю txt файл, потом загружаю mp3, все загружается без проблем. 🤦♂

Причём даже отзыв отправлять не нужно, все загружается сразу после выбора файла с ПК. То есть при загрузке нет совершенно никакой проверки ни на размер загружаемого файла, ни на тип.

В интернете часто появляются новости, что где-то произошла утечка данных пользователей. Какой-то известный сайт поломали и т.д.
Недавно была новость, что на части сайтов гос.органов пароль в админку admin:admin

Получается, что очень многие сайты сами «отдают» доступы, базу пользователей и прочее.

Если обычный сеошник вроде меня находит эти уязвимости, то что уж говорить про знающего человека или хакера, который задался целью сломать сайт. А он такие вещи сразу видит и подмечает.

Многие озабочены безопасностью своих сайтов, но к сожалению, не обращают внимание на такие банальные вещи. Им кажется, что если сайт взломали, то сделали это как-то особенно.

Например, в описанных мною случаях виноват разработчик(и).

В первом случае кто-то целенаправленно сделал себе такую кнопку, чтобы тырить данные, либо какой-то ЛПР попросил разработчика сделать ему такую кнопку для выгрузки, а страница попала в индекс.

Чти:   Проект без трафика и перспектив: сколько еще таких?

Во втором случае тот, кто делал форму совершенно некомпетентен. Ведь даже самый начинающий программист знает, что для любой формы на сайте нужно делать кучу проверок.

Советы:

  1. Не допускайте индексации служебных разделов, страниц тестовых выгрузок, а лучше закройте их под форму авторизации
  2. По возможности спрячьте админку, чтобы только вы знали ее адрес
  3. Придумайте нормальный логин с паролем, чтобы в нем были буквы, цифры, символы. А вместо логина не обязательно использовать лишь «admin»)
  4. Проверьте формы на сайте, что называется «на дурака», чтобы в поле картинки, например, нельзя было загрузить php файл.
  5. Контролируйте разработчиков, менеджеров и другой персонал.Советы банальны до ужаса, но как показывает практика, многим и они не помешают.
    Бро поделился
    https://t.me/seo_bro

Зацени
SEO блог BOLSHAKOF.RU
Ваше мнение