SEOFAQ Telegram, маркетинг и SEO Канал SEOFAQT в мессенджере Telegram

Все чатыХочу затронуть тему безопасности сайтов и рассказать пару...

 16  


Хочу затронуть тему безопасности сайтов и рассказать пару случаев из практики.

Случай первый.

Делая регулярную проверку сайта одной страховой компании и просто просматривая страницы в индексе, натыкаюсь на страницу .php (сайт на битриксе). Открываю. На белом фоне одна кнопка, нажимаю, скачивается файл эксель. В файле полторы тысячи строк с данными людей, купившими страховку: фио, адрес, телефон, паспорт и вид страховки. 🤦‍♂️

Случай второй.

Более свежий. Крупная федеральная сеть, больше 200 магазинов по стране. Делаю регулярную техническую проверку. Замечаю, что в разделе отзывов сделали возможность прикрепления фотографии к отзыву.

Сразу же возникает мысль проверить, как работает. Загружаю txt файл, потом загружаю mp3, все загружается без проблем. 🤦‍♂️ Причём даже отзыв отправлять не нужно, все загружается сразу после выбора файла с ПК. То есть при загрузке нет совершенно никакой проверки ни на размер загружаемого файла, ни на тип.

В интернете часто появляются новости, что где-то произошла утечка данных пользователей. Какой-то известный сайт поломали и т.д.

Недавно была новость, что на части сайтов гос.органов пароль в админку admin:admin

Получается, что очень многие сайты сами «отдают» доступы, базу пользователей и прочее.

Если обычный сеошник вроде меня находит эти уязвимости, то что уж говорить про знающего человека или хакера, который задался целью сломать сайт. А он такие вещи сразу видит и подмечает.

Многие озабочены безопасностью своих сайтов, но к сожалению, не обращают внимание на такие банальные вещи. Им кажется, что если сайт взломали, то сделали это как-то особенно.

Например, в описанных мною случаях виноват разработчик(и).

В первом случае кто-то целенаправленно сделал себе такую кнопку, чтобы тырить данные, либо какой-то ЛПР попросил разработчика сделать ему такую кнопку для выгрузки, а страница попала в индекс.

Во втором случае тот, кто делал форму совершенно некомпетентен. Ведь даже самый начинающий программист знает, что для любой формы на сайте нужно делать кучу проверок.

Советы:

📌 Не допускайте индексации служебных разделов, страниц тестовых выгрузок, а лучше закройте их под форму авторизации

📌 По возможности спрячьте админку, чтобы только вы знали ее адрес

📌 Придумайте нормальный логин с паролем, чтобы в нем были буквы, цифры, символы. А вместо логина не обязательно использовать лишь "admin")

📌 Проверьте формы на сайте, что называется "на дурака", чтобы в поле картинки, например, нельзя было загрузить php файл.

📌 Контролируйте разработчиков, менеджеров и другой персонал.

Советы банальны до ужаса, но как показывает практика, многим и они не помешают.

Источник новости https://t.me/seo_bro/107...