Как быстро найти и устранить проблемы безопасности
DESCRIPTION
Как быстро найти и устранить проблемы безопасности. Думбравану Вадим руководитель проектов Шаромов Денис руководитель отдела техподдержки. Безопасный проект. Безопасное веб-приложение Безопасный пользовательский код Проактивная защита Безопасное окружение (кто?) ОС Веб-сервер СУБД - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/1.jpg)
Как быстро найти и устранить проблемы безопасности
Думбравану Вадимруководитель проектов
Шаромов Денисруководитель отдела техподдержки
![Page 2: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/2.jpg)
Безопасный проект
Безопасное веб-приложение
Безопасный пользовательский код
Проактивная защита
Безопасное окружение (кто?)
ОС
Веб-сервер
СУБД
Memcached
Сторонние скрипты
![Page 3: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/3.jpg)
Проактивная защита
Проактивный фильтр (Web Application FireWall)
Веб-антивирус
Технология одноразовых паролей (OTP)
Защита сессий
Защита редиректов от фишинга
Стоп-листы
Контроль целостности скриптов
![Page 4: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/4.jpg)
«Облачный» сканер безопасности
Выполняет внутреннее сканирование окружения проекта
Выполняет проверку настроек сайта, к примеру, включен ли WAF, установлен ли пароль к БД и т. д.
Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.
Запускает внешнее сканирование.
![Page 5: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/5.jpg)
Локальные тесты
example.ru
Сканер безопасности
Часть локальных тестов работает изнутри
Другая часть готовит окружение и подключается через веб сервер
![Page 6: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/6.jpg)
Локальные тесты
Права на файлы и папки проекта
Временная папка загрузки файлов
Папка хранения сессий
Общие сессии разных проектов (новые версии не подвержены)
Выполнение скриптов в папке upload
Проверка AllowOverride none в папке upload
Статический анализ
![Page 7: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/7.jpg)
Сервис
Внешние тесты
example.ru
Сканер безопасности
1c-bitrix
Облачный сканерКлюч
Сервер очередей
Задание
Задание
![Page 8: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/8.jpg)
Внешние тесты
Закрыт Directory Index
Уязвимости php-cgi/fpm
Закрытые статусные страницы Apache и nginx
Временные файлы dbconn.php (.bak, .old и пр.)
Доступность phpMyAdmin
Системы контроля версий
phpinfo
![Page 9: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/9.jpg)
Результат
![Page 10: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/10.jpg)
Статистика
Всего сканирований: 20381
Из них успешных: 17533
Из них уникальных доменов: 5408
Всего найдено проблем: 3003
Из них исправлено: 687
Критичных: 860/316
Менее критичных: 874/235
Некритичные: 1269/136
![Page 11: Как быстро найти и устранить проблемы безопасности](https://reader036.vdocuments.net/reader036/viewer/2022081507/56815b3f550346895dc91b1e/html5/thumbnails/11.jpg)
Спасибо за внимание! Вопросы?