Обсуждение вопросов безопасности

[Yoskaldyr]

Бред. Даже на самый дохлый сайт сканеры приходят пачками ежедневно для поиска стандартных уязвимостей стандартных движков.

Может я не правильно понял, и обобщил движки до всех фреймворков. Но когда пишут такое

что сайт написан без использования стандартных движков и на нём сделана своя система защиты.
Эта система хромает

то понятно что никакими фреймворками там и не пахнет. А все сплошной набор костылей - работа с базой костыль, фильтрация входных данных - костыль, шаблонизатор (если есть) - костыль.

А так @grigori все правильно расписал и 40$ это действительная только старт.
Да и задача очень расплывчатая. Взять к примеру тот же выбор антиддоса. Он может быть сильно зависеть от того в каком регионе должен быть сайт или какого размера атаки, а может даже зависеть от того какой контент на сайте (не все антиддос фирмы берут под защиту адалт или серые проекты) и т.д. Да и стоимость антиддоса очень сильно может отличаться от того чьими услугами пользоваться.

И еще пытаться защититься от ддоса только настройками сервера не получится. Вернее получится только при самых слабых школоло атаках.

 

[Self Author]

По тому, где искать и сколько стоит - я понял. Спасибо.
Ещё вопрос: каким должен быть критерий оценки специалиста? Ибо вызовется специалист разбираться, введёшь его в курс дела, а он разведёт руками: дескать, ребята, у вас тут всё и так круто, загрубляйте настройки или выключайте защиту и всё будет шоколадно. В лучшем случае денег не возьмёт, а в худшем - ещё заплатить потребует. А мы всю изнанку ему рассказали и результат не получили.

Кстати, с подпиской о неразглашении, работать она будет только если человек лично ножками к нам приедет. Потому что и так трудно будет доказать факт разглашения с его стороны, а если он ещё и где-то далеко или очень далеко (в другом государстве), то это вообще филькина грамота.

 

[grigori]

изнанка сервиса с 5к уников в сутки может быть кому-то интересна только ... нет, в любом случае будет неинтересно, потому что все банально

 

[Self Author]

@grigori, а вот подумайте: я тут для чего всё это пишу? Мне делать нечего? Поговорить не с кем?
Если бы было никому не интересно, то 30 декабря 2015 г. мне бы не пришлось 2 дня сидеть и анализировать логи и искать программный способ защититься от хитрецов, когда я к вечеру 1 января вернул сайт с антиддоса на свои скрипты.
И не было бы переписки с украинским хитрецом, который в течение 2 месяцев пытался написать бот, который бы лазил на наш сайт.

 

[Self Author]

По поводу критериев оценки можете подсказать?

 

[Self Author]

@S.Chushkin, А я и не говорил, что и как защищаю.
Тема была - как найти консультанта. Я не планировал здесь рассказывать, что и главное - как защищается.

 

[damner2]

А такая защита у вас уже есть?

<SCRIPT LANGUAGE="JavaScript">
document.ondragstart = test;
document.onselectstart = test;
document.oncontextmenu = test;
function test() {return false}
</SCRIPT>

Если нет - берите - халява...

 

[AmdY]

Поищите компании по безопасности, свяжитесь с ними, попросите пример отчёта, там увидите что они проверяют как, дают ли рекомедации по исправлению.
Мы в своё время заказывали у csnc точка ch, получили отчёт на 82 листа очень сомнительной полезности вроде уберите информацию о вебсервере или нельзя поле логин подписывать как login.

 

[Yoskaldyr]

Просто по описанию и сообщениям непонятно от чего именно надо защищаться.

1. Если от ддоса, то тогда, что за свои скрипты - это же цирк анти ддос на пхп. От ддоса нельзя защититься на стороне пхп. Если какие-то пхп скрипты помогли, то это был не ддос. Защититься от современного ддоса можно только используя сторонний сервис или мощности хостера если он умеет делать какой-то антиддос. Если школоло ддос, то может и хватит правильной настройки сервера (именно сервера а не написание каких-то пхп скриптов).

2. Если от автоматического агрессивного парсинга, то это тоже скорее всего настройка сервера, хотя может какой-то велосипед на стороне чудодвижка поможет. Просто от парсинга в принципе нельзя защититься - если видит пользователь увидит и бот и сэмулирует любую пользовательскую активность.

3. Если защита от взлома, то повторюсь насчет того что этот чудодвижок скорее всего и есть основная проблема. Хотя может я и зря наговариваю, но думаю если бы там использовались хоть какие-то нормальные компоненты то об этом было бы написано.

для 1 и 2 нужен хороший системный админ с опытом настройки защиты, а для 2 может немного программист если нужна специфическая логика уведомлений о парсинге. для 3 нужен хороший программист который захочет смотреть легаси код и сможет дать адекватный ответ, а не просто "код г-но". Просто очень часто легаси код г-но по объективным историческим причинам.

 

[Yoskaldyr]

С 99% веротностью я нашел сайт топик стартера о котором он говорит (по крайней мере стата такая-же) и теперь 100% уверен что там легаси и большой вероятностью очень сомнительный код. И вот действительно не думаю что он будет кому-то нужен.

 

[antson]

2^32 ип / 10000 потоков * по 1 секунде / 3600 / 24 приблизительно 5 дней
это грубо если искать конкретную уязвимость на сервере.
Доменов побольше , но они не все делегированы. Кому нужно знает как получить список делегированных на полночь скопом.

Так что скан в слепую в логах будет всегда.
Напрягать он может сервак, только в случае, когда у вас много доменов и есть тяжелые главные и только из-за одновременности .
Но тоже справедливо и для поисковых ботов ( можно просить темп сканирования на домен, нет возможности указать на ип)

Так же в логах постоянно сканирование на уязвимости остальных служб сервера.
О не которых вы можете даже не подозревать, например вебморда биоса %)

 

[antson]

на счет грабинга контента. Тут все завязано на соотношение купить официально > затраты на разработку парсера.
Технологии сейчас распознают текст в реальном времени на потоковом видео. Так, что все извращения в основе которых остается плайн текст без криптозащиты просто мелкий гиморой.
На конце цепочки ставиться полноценный броузер в режиме отладки. После отрисовки страницы забирается контент боди . В тяжелых случаях скриншот

 

[Self Author]

@antson, это Вы на что отвечаете?

 

[antson]

@Self Author, защита сайта это комплексная мера. Отбиваться на шареде нет никакого смысла. На впс достаточно грамотного админа и разработчика на пхп, который не пропустить 3 основных проблемы
аплоад в папку проекта, скл уязвимость, xss . (ну если требуется csrf.) В админке самоочевидно, что удаление, редактирование нельзя было сделать гет методом.

Избыточная активность давиться nginx, злыдни автобанятся . В общем грамотный админ отстроит это штатными средствами.

Парсинг в принципе не победим. Только пионеров отсечь.

Серьезная защита начинается со своего физического сервера. Для сайта с посещаемость 5 тысяч уников в сутки такое не оправданная роскошь

 

[Self Author]

@antson, Спасибо, но тема не о том, как защитить, ибо я не говорил, что и от кого. Тема о том, как и где правильно найти специалистов, которые могли бы вникнуть в нестандартную задачу.

 

[antson]

@Self Author, если у кого то, вот Вам вариант http://www.kaspersky.ru/enterprise-security/intelligence-services

и честно говоря я не верю, что у Вас не стандартные проблемы.
Проконсультируйтесь с опытным системным администратором,
который поработал в техподдержке хостингов (на второй линии ).

 

[grigori]

@grigori, а вот подумайте: я тут для чего всё это пишу? Мне делать нечего? Поговорить не с кем?
Если бы было никому не интересно, то 30 декабря 2015 г. мне бы не пришлось 2 дня сидеть и анализировать логи и искать программный способ защититься от хитрецов, когда я к вечеру 1 января вернул сайт с антиддоса на свои скрипты.
И не было бы переписки с украинским хитрецом, который в течение 2 месяцев пытался написать бот, который бы лазил на наш сайт.

видимо, я некорректно выразился.
хакерам интересны деньги и данные, которые можно у вас украсть,
конкурентам может быть интересно что у вас в бизнесе
а у инженеров ваша инфраструктура и ваш бизнес любопытства не вызовет, но им может быть интересно заработать, выполняя для вас работу
у нас свои интересы - архитектура, алгоритмы, фреймворки

 

[Self Author]

@grigori, Спасибо за разъяснение.
Буду искать специалистов.

 

[Vladson]

Тема о том, как и где правильно найти специалистов, которые могли

Там же и также как и любых других специалистов (внезапно)

Смешно было бы искать боксёра в шахматном кружке...