| |
Дефейс движков сайтов
Михаил Демидов (С.-Петербург)
 Современный вебсайт практически на 99.9% работает под управлением того или иного программного обеспечения, называемого CMS - Content Management System, или, на жаргоне, "движок". Под ним понимается некоторое количество исполняемых вебстраниц, написанных на том или ином языке программирования (преимущественно PHP и Perl), установленных на сервер. Но, как и любое другое программное обеспечение, движок практически всегда в той или иной степени уязвим перед внешними угрозами, проявляющимися в так называемом дефейсе, или, на жаргоне, "взлому". Одно дело, если движок ломает сам вебмастер, который убирает из него, например, копирайт, а другое - когда в движок вторгается хакер, целью которого является изменение внешнего вида сайта, отключение тех или иных функций, а также заполучение информации. В этой статье мы рассмотрим основные ошибки, которые допускают вебмастера при использовании CMS, особенно это актуально для совсем неопытных сайтовладельцев, которые делают первые шаги.
Ошибка первая. Выбор CMS. Конечно же, как театр начинается с вешалки, так и любой дефейс начинается с выявления уязвимостей CMS. Для этого условия большого ума не надо - достаточно неправильно выбрать движок, например, с теми функциями, которые вам не нужны (форум, чат и так далее). Конечно, в некоторых случаях они легко деинсталлируются через Панель администрирования, кто-то просто удаляет ненужные плагины из дистрибутива (в том числе и не вникая в тонкости архитектуры движка), а большинство пользователей довольствуется простой настройкой "Отображать только для администратора". Здесь уже кроется самая главная ошибка - сам файл скрипта функции никуда не исчезает, зато то, что он доступен только для администратора, открывает невероятные возможности для взлома и похищения учетной записи этого самого администратора. Для этого достаточно получить доступ к файлу и внедрить в него нужный код для взлома, а о том, как это делается можно прочитать в литературе, которой в Интернете очень много.
Ошибка вторая. Установка CMS. Мало того, что CMS можно неправильно выбрать, ее можно с тем же успехом и "криво" поставить и настроить. Нет, конечно же, сам сайт будет работать, а вот безопасность подвергнется угрозе. Обычно большинство вебмастеров скачивают из Интернета дистрибутив движка к себе на компьютер, распаковывают его и загружают по FTP на сервер. Установка производится через Интернет. Однако не все вебмастера удосуживаются удалить файлы инсталлятора с сайта или поставить необходимые права на конфигурационные файлы, несмотря на то, что эти пункты четко прописаны в файлах помощи или в самом инсталляторе движка. Разумеется, если после установки новоявленный администратор не идет первым делом в панель управления, а на радостях закрывает браузер и выключает компьютер, взломать такой движок будет проще простого. Конечно, я утрирую, но очень часто вебмастера по халатности не занимаются в первую очередь системными настройками CMS, влияющими на безопасность (пути до папок с определенными атрибутами, авторизация пользователей и т. д.).
|
