Вебмайстер
Яндекс для вебмайстрів
Як Яндекс індексує сайти
Сайт на сторінці результатів пошуку
Сервіс «Яндекс.Вебмайстер»
Налаштування індексування
Вміст сайту
Сайт у результатах пошуку
Безпека сайтів
Сервіси Яндекса на вашому сайті

Наскільки це просто

Cтаття "Забезпечення безпеки веб-сайтів" надана Sophos Plc і SophosLabs.

Грудень 2007 р.

У ході підготовки цієї статті автор вирішив дізнатися, наскільки просто знайти приклади витоку даних, і ввів у різні пошукові системи ім'я лог-файлу поширеного FTP-клієнта, яке використовується за замовчуванням. При цьому були виявлені тисячі веб-сайтів, на яких цей, здавалося б, несуттєвий лог-файл FTP знаходився у відкритому доступі (та індексувався без відома адміністраторів). Кожен такий сайт може стати чудовим прикладом втрати даних.

Ось приклад такого лог-файлу (з купюрами):

Примітка. 

99.07.16 08:34 A x:\xxxxxxxx\xxxxxx\xxxxxx\WS_FTP.LOG <--

<ім'я сайту> /export/home/<ім'я користувача>/xxxxxx/xxxxxx WS_FTP.LOG

99.07.16 08:53 A x:\xxxxxxxx\xxxxxx\xxxxxx\home.html -->

<ім'я вузла> /xx/www/xxxxxx-xxx/xxxxhome.html

Із цього уривка можна дізнатися немало корисних відомостей:

  • назва веб-сайту;

  • ім'я користувача сервера під керуванням Linux або BSD;

  • ім'я вузла сервера.

За наведеними даними можна дізнатися таке:

  • ім'я вузла та IP-адресу веб-сервера;

  • віддалений шлях, яким здійснювалося копіювання;

  • локальний шлях, з якого велося копіювання;

Подібні відомості дуже цінні для зловмисника, оскільки наявність імені вузла та імені користувача дозволяє спробувати отримати адміністративний доступ. Крім цього, зловмисник може знайти телефонний номер або адресу електронної пошти компанії, яка надає послуги веб-хостингу, та спробувати отримати пароль методами соціальної інженерії.

Це часто простіше, ніж атака сервера, оскільки багато компаній, що надають подібні послуги, використовують під час передачі облікових даних лише мінімальні заходи безпеки. Причина може полягати в тому, що до них часто звертаються індивідуальні підрядники, які розробляють веб-сайти для третіх сторін, у зв'язку з чим дзвінок із проханням надати облікові дані або скинути пароль є цілком звичайною справою.

Автор статті неодноразово здійснював аналогічні дії (звісно, легально), але лише одна з чотирьох компаній звернулася за дозволом до власника веб-сайту.

Ось так все просто.

До наступного розділу

Оцініть статтю
Дякуємо за ваш відгук!