Как быстро найти и устранить проблемы безопасности
DESCRIPTION
Как быстро найти и устранить проблемы безопасности. Думбравану Вадим руководитель проектов Шаромов Денис руководитель отдела техподдержки. Безопасный проект. Безопасное веб-приложение Безопасный пользовательский код Проактивная защита Безопасное окружение (кто?) ОС Веб-сервер СУБД - PowerPoint PPT PresentationTRANSCRIPT
Как быстро найти и устранить проблемы безопасности
Думбравану Вадимруководитель проектов
Шаромов Денисруководитель отдела техподдержки
Безопасный проект
Безопасное веб-приложение
Безопасный пользовательский код
Проактивная защита
Безопасное окружение (кто?)
ОС
Веб-сервер
СУБД
Memcached
Сторонние скрипты
Проактивная защита
Проактивный фильтр (Web Application FireWall)
Веб-антивирус
Технология одноразовых паролей (OTP)
Защита сессий
Защита редиректов от фишинга
Стоп-листы
Контроль целостности скриптов
«Облачный» сканер безопасности
Выполняет внутреннее сканирование окружения проекта
Выполняет проверку настроек сайта, к примеру, включен ли WAF, установлен ли пароль к БД и т. д.
Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.
Запускает внешнее сканирование.
Локальные тесты
example.ru
Сканер безопасности
Часть локальных тестов работает изнутри
Другая часть готовит окружение и подключается через веб сервер
Локальные тесты
Права на файлы и папки проекта
Временная папка загрузки файлов
Папка хранения сессий
Общие сессии разных проектов (новые версии не подвержены)
Выполнение скриптов в папке upload
Проверка AllowOverride none в папке upload
Статический анализ
Сервис
Внешние тесты
example.ru
Сканер безопасности
1c-bitrix
Облачный сканерКлюч
Сервер очередей
Задание
Задание
Внешние тесты
Закрыт Directory Index
Уязвимости php-cgi/fpm
Закрытые статусные страницы Apache и nginx
Временные файлы dbconn.php (.bak, .old и пр.)
Доступность phpMyAdmin
Системы контроля версий
phpinfo
Результат
Статистика
Всего сканирований: 20381
Из них успешных: 17533
Из них уникальных доменов: 5408
Всего найдено проблем: 3003
Из них исправлено: 687
Критичных: 860/316
Менее критичных: 874/235
Некритичные: 1269/136
Спасибо за внимание! Вопросы?