Сигурността на онлайн приложенията е от първостепенно значение за тяхното безпроблемно функциониране и съхраняването на информацията, която съдържат. Ако приложенията не са максимално подсигурени и администраторът, който ги управлява, не спазва поне минимални изисквания за сигурност може да бъде направен злонамерен пробив с катастрофални в някои случаи последствия.
По-долу сме се постарали да опишем най-често допусканите грешки, свързани със сигурността, както и вариантите за избягването им.
1. Използване на лесни за налучкване пароли или използване на една и съща парола за login на различни места.
Няколко съвета при избора на подходяща парола >>>
2. Прихванати пароли, посредством неоторизиран достъп до e-mail кутия, в която се съдържат данни за достъп до акаунта/сървъра.
Данните за достъп до e-mail кутиите трябва да се съхраняват прилежно и отговорно, тъй като чрез неоторизиран достъп до e-mail кутия може да се направят редица злонамерени действия, включително и да се компрометира по всякакви начини собственика на съответната mail кутия.
3. Наличие на злонамерен и шпионски софтуер на локалните компютри, от които се достъпва хостинг акаунта.
Ако на даден компютър има инсталиран злонамерен и шпионски софтуер може всякаква чувствителна информация да бъде записана (прихваната) и след това изпратена към недоброжелатели без знанието на администратора на компютъра.
За да не се стигне до подобна ситуация, трябва компютрите да се поддържат, чисти от подобен вид шпионски приложения и вируси, да се сканират периодично с антивирусна програма, особено компютрите, от които се осъществява достъп до акаунта. По този начин ще се елиминира възможността за запис и злоупотреба с лични и конфиденциални данни, като потребителски имена, пароли и други, които в последствие могат да бъдат използвани за достъп до акаунта.
4. Пропуски в CMS системите
Едни от най-масово използваните CMS системи са Joomla!, OS Commerce, e107, WordPress, Drupal и др. Посредством пролуки в такива приложения се разполагат PHP скриптове, shell файлове и др., които дават пълен достъп до съдържанието на акаунта на всеки, без необходимост от потребителско име и парола. В последствие, посредством тези скриптове, се модифицира съдържанието в акаунта, добавят се чужди файлове, злонамерен код, вируси, троянски коне и т.н..
За да се избегнат подобни последствия трябва всички инсталирани php системи на акаунта, както и използваните от тях модули и компоненти, винаги да се обновяват до последна версия. При последните актуални версии на системите откритите пропуски са отстранени и системите са подсигурени срещу неоторизиран достъп.
5. Наличие на незащитени Upload форми и галерии, които позволяват разполагането на скриптове със зловреден код – shell файлове.
Ако на акаунта има страници, през които могат да се качват файлове от всякакъв тип, без ограничения и без да е необходима оторизация (потребителско име и парола за достъп), е задължително те да бъдат премахнати или защитени. Трябва да се прегледат всички файлове, които са разположени в директориите на тези форми и галерии, като там не би трябвало да присъстват файлове от типа на .php, .txt или други формати, които не са в снимков формат. Проверката на качваните файлове не трябва обаче да бъде само по разширение, например да могат да се качват файлове само .jpg, .png, .bmp и др, а трябва да се прави проверка дали съответния файл отговаря на посоченото разширение. Двойната проверка е задължителна, тъй като може даден .php файл да бъде преименуван на .jpg, но след като бъде качен на сървъра да бъде стартиран като .php файл, независимо от неговото разширение.
6. Вмъкване (include) на файлове, които се подават като параметър през URL адрес, без да се прави коректна проверка дали файлът, който се вмъква, е от същото приложение.
При тези случаи злонамерено лице може да вмъкне (include) произволен файл или адрес, след което и да получи пълен достъп до акаунта.
По принцип не е добра практика, директно да се вмъкват (include) файлове, чието име се подава като параметър в адреса. Едно от решенията е, вместо това да се създаде таблица, в която с ID-та са описани файловете, които ще се вмъкват, като в адреса се подава ID-то на файла, а вътрешно в скрипта е определено кой файл трябва да се включи.
По този начин няма как да се подаде друг файл, освен този, които е дефиниран.
Ако по някаква причина трябва да остане подаването на файл в URL адреса трябва да се добави и проверка, дали файлът се намира в хостинг акаунта и да се вмъква само ако е изпълнено това условие.
За съжаление начините за пробив в сигурността на приложенията не се изчерпват само с описаните по-горе. Съществуват и други възможности за злоупотреби, като Cross-site scripting (XSS), SQL Injection, използване на Social engineering, sniffing на мрежата и др. Те обаче се срещат значително по-рядко, така че при спазване на посочените по-горе препоръки, съдържанието на акаунта е значително по-подсигурено и възможността за неоторизиран достъп е сведена до минимум.
