Расскажите пожалуйста о тестировании сайта на ошибки.

[BeatBox]

Расскажите пожалуйста о тестировании сайта на ошибки.

Здравствуйте,
у меня к Вам такой вопрос - немогли бы Вы рассказать о том, как нужно тестировать свой сайт? (на РНР).
Как можно уменьшить возможность взлома до минимума? Читал топики
http://phpclub.ru/talk/showthread.php?s=&threadid=47282&rand=61
http://phpclub.ru/talk/showthread.php?s=&threadid=22476&rand=28
но там раздел не для новичков и поэтому я абсолютно ничегон не понял.. скачал несколько программ, но неполучаеться ими пользоваться.

Если несложно - обьясните поподробнее.. Не обязательно рассказывать как пользоваться каждой программой.. но все-таки хотлось бы защитить свой сайт по максимуму.. так ак хоть я и ламер но сделал его довольно-таки неплохо, и уверен что поптыки взлома будут постоянные

-~{}~ 04.04.05 02:56:

может быть даже кто-нибудь сможет рассказать или описать действия взломщика?

 

[Стас]

BeatBox
Действия взломщика?... Я не знаю, честно говоря, какие там действия. Скорее всего, в запросах идет что-то "не то". К примеру index.php?module=subjects&func=listpages&subid=[SQL]... Или еще как. Смотришь на логи сервера и если что-то "не то замечаешь", пробуешь у себя такой же запрос (и POST и GET) сделать. Если тебе откроется информация о конфиге или пассворды, то закрывай эту дыру.
Пы.Сы.
Все это- имхоистое имхо.

 

[Vladson]

Действия простые, если стоит двиг Ёпен-сорц то в нете ищутся дыры и ломается, если самописный ищутся слабые места в скрипте хорошо ли проверяются параметры которые передаются через массив $_GET если и тогда всё крепко проверяются версии РНР, Арасhe на хосте и так для всех компонентов и ищутся дыры там, короче взломать можно всё, главное взять по больше кувалду

 

[neko]

BeatBox
никакие логи смотреть ненадо
надо взять в руки браузер или телнет клиент попытаться свой сайт взломать
по результатам взлома -- внести правки в код
ничего больше чем это, ты сделать не сможешь

 

[specialist]

Автор оригинала: neko
BeatBox
никакие логи смотреть ненадо
надо взять в руки браузер или телнет клиент попытаться свой сайт взломать
по результатам взлома -- внести правки в код
ничего больше чем это, ты сделать не сможешь

Основные советы по "взлому" собственного сайта?
То есть что в первую очередь попробывать?

 

[neko]

то что по твоему личному, как создателя, мнению является наиболее уязвимыми местами
т.е. надо разумно использовать свои знания о внутренней конструкции

 

[BeatBox]

Спасибо всем за советы.
Радует хотя бы то что движок самописный.

А как можно вообще пробоват взломать свой сайт?
Например я сделал так что если хоть в каком-нить месте на сайте появляеться в адресе строка 'union select' то выбрасывает на главную страницу. Также постарался убрать всевозможные сообщения б ошибке (тоесть не вывод сообщения.. а например все старницы ошибок у меня ведут к 404 )

Также в ближайшее время буду делать реврайт все ссылок, чт по-моему увеличит безопасность, так как нельзя увидеть структуру ссылки исходной.

Что ещё посоветуете?

 

[fixxxer]

Мощно.

 

[Мутник]

BeatBox

если хоть в каком-нить месте на сайте появляеться в адресе строка 'union select' то выбрасывает на главную страницу

Это твоя самая главная защита?

 

[BeatBox]

Мутник

ну вообще у меня стоит модуль безопастности какойто там точно нескажу.

а как ещё можно защититься?

 

[Мутник]

BeatBox

писать граммотно....
и опыту набираться.

 

[specialist]

BeatBox
возможно modsecurity под апач ....

 

[BeatBox]

Может ещё какие совете будут?

 

[Мутник]

BeatBox
а еще можно все это бросить и пойти продавцом в магазин работать... параллельно спрашивая у покупателей: "А как правильно нужно продавать?"

 

[BeatBox]

Мутник
я же не у посетителей сайта спрашиваю как мне сайт защитить а у программистов.

 

[Romashov]

Пользователю ограниченные действия и ограничение области значений данных.