Наиболее опасные дыры во многих PHP-скриптах возникают не столько из-за самого языка, сколько из-за кода, написанного без учета соответствующих требований безопасности. Как следствие, вы всегда должны выделять время на исследование разрабатываемого участка кода, чтобы оценить потенциальную угрозу от ввода переменной с нестандартным значением.

Пример 1. Потенциально опасное использование переменных

<?php
// удалить файлы из домашней директории пользователя...
// а может, еще что нибудь?
unlink ($evil_var);

// записать в лог-файл выполняемое действие... 
// может быть, даже /etc/passwd?
fwrite ($fp, $evil_var);

// выполнение тривиальных действий... или rm -rf *?
system ($evil_var);
exec ($evil_var);

?>

Вы должны тщательно проверять ваш код и быть абсолютно уверены в том, что все данные, передаваемые веб-браузером, проверяются надлежащим образом. Попробуйте ответить для себя на следующие вопросы:

• Будет ли данный скрипт воздействовать исключительно на предполагаемые данные?

• Правильно ли будут обработаны некорректные или нестандартные данные?

• Возможно ли использование скрипта не предусмотренным способом?

• Возможно ли его использование в сочетании с другими скриптами в негативных целях?

• Будет ли каждая транзакция корректно логирована (протоколирована)?

Ответив на эти вопросы во время написания скрипта, а не после, вы, возможно, предотвратите последующую доработку скрипта в целях повышения его безопасности. Начиная разработку с этих вопросов, вы не гарантируете полную безопасность вашей системы, но сможете значительно повысить её.

Вы также можете предусмотреть отключение таких конфигурационных опций, как register_globals, magic_quotes и некоторых других, которые могут приводить к сомнениям относительно происхождения или значения получаемых переменных. Использование при написании кода режима error_reporting(E_ALL) может помочь, предупреждая вас об использовании переменных до инициализации или проверки (что предотвратит работу с данными, отличныи от ожидаемых).

PHP.SU

Природой любоваться никогда не устану!) Предлагаю очередную подборку фотографий:



Смотреть дальше

Использование глобальных переменных (Register_Globals)

Наверное, наиболее спорным моментом в разработке PHP стала замена значения по умолчанию для опции register_globals с ON на OFF в версии 4.2.0. Большинство пользователей доверились разработчикам, даже не зная, что это за опция и как она влияет на работу PHP. Эта страница документации призвана показать, как эта настройка сочетается с вопросами безопасности при разработке приложений. Следует понимать, что сама по себе эта опция никак не влияет на безопасность, угрозу представляет некорректное использование предоставляемых ею возможностей.

Читать далее...

Пингвины – вероятно одни из самых восхитительных существ на земле. Это было даже неоднократно подчеркнуто в кино и мультфильмах. Вот несколько интересных фактов о пингвинах. Но прежде всего скажем, кто такие пингвины? Пингвины относятся к семейству птиц. Хотя все мы знаем, что птицы превосходно летают, пингвины, как полагают, являются одним из немногих типов, которые не способны к полету. Однако они являются превосходными пловцами и водолазами.

Они даже плавают с такой скоростью, как большинство других рыб, и используют этот навык для добычи пищи. Поскольку их крылья не приспособлены к полету, то они используются как плавники и вместе с торпедной формой тела пингвины могут развивать большую скорость. Однако из-за этого они медленно перемещаются по земле, ковыляя в разные стороны. Так же пингвины являются хорошими родителями. Однако роль матери и отца отличается от большинства птиц, так как отец обычно тот, который проводит большую часть времени, заботясь о яйце, и нагревая его, пока не вылупится птенец. А матери отправляются на охоту для добычи пищи для обоих.
Так как пингвины, как известно, являются жителями Антарктиды, которая является очень холодным местом, то держать яйца в тепле очень важно. Обычно, отцы помещаю яйцо между ног и прикрывают его своим животом, что дает яйцу необходимое тепло и не дает ему замерзнуть. Отцы обычно толпятся вместе, что бы им самим не было холодно. Хотя пингвины живут около океана, они пьют пресную воду. У них имеется специальная железа позади их клювов, которая способна фильтровать соленую воду. Они также едят снег и лед, так как в них содержится пресная вода. Пингвины окружены множеством хищников. Некоторые из их главных противников это дельфины, касатки, поэтому пингвины очень осторожны. Еще интересный факт о пингвинах, то, что они для общения используют язык знаков. Они качают головами или махают крыльями, что бы что-либо сообщить.
Это только несколько из многих очаровательных и интересных фактов о пингвинах. Но, даже отталкиваясь только от этих фактов, мы можем сказать, что пингвины действительно одно из самых замечательных существ на Земле.

Смотреть дальше

Пингвины – вероятно одни из самых восхитительных существ на земле. Это было даже неоднократно подчеркнуто в кино и мультфильмах. Вот несколько интересных фактов о пингвинах. Но прежде всего скажем, кто такие пингвины? Пингвины относятся к семейству птиц. Хотя все мы знаем, что птицы превосходно летают, пингвины, как полагают, являются одним из немногих типов, которые не способны к полету. Однако они являются превосходными пловцами и водолазами.

Они даже плавают с такой скоростью, как большинство других рыб, и используют этот навык для добычи пищи. Поскольку их крылья не приспособлены к полету, то они используются как плавники и вместе с торпедной формой тела пингвины могут развивать большую скорость. Однако из-за этого они медленно перемещаются по земле, ковыляя в разные стороны. Так же пингвины являются хорошими родителями. Однако роль матери и отца отличается от большинства птиц, так как отец обычно тот, который проводит большую часть времени, заботясь о яйце, и нагревая его, пока не вылупится птенец. А матери отправляются на охоту для добычи пищи для обоих.
Так как пингвины, как известно, являются жителями Антарктиды, которая является очень холодным местом, то держать яйца в тепле очень важно. Обычно, отцы помещаю яйцо между ног и прикрывают его своим животом, что дает яйцу необходимое тепло и не дает ему замерзнуть. Отцы обычно толпятся вместе, что бы им самим не было холодно. Хотя пингвины живут около океана, они пьют пресную воду. У них имеется специальная железа позади их клювов, которая способна фильтровать соленую воду. Они также едят снег и лед, так как в них содержится пресная вода. Пингвины окружены множеством хищников. Некоторые из их главных противников это дельфины, касатки, поэтому пингвины очень осторожны. Еще интересный факт о пингвинах, то, что они для общения используют язык знаков. Они качают головами или махают крыльями, что бы что-либо сообщить.
Это только несколько из многих очаровательных и интересных фактов о пингвинах. Но, даже отталкиваясь только от этих фактов, мы можем сказать, что пингвины действительно одно из самых замечательных существ на Земле.

Смотреть дальше

С точки зрения безопасности вывод сообщений об ошибках несет в себе как плюсы, так и минусы.

Одна из стандартных методик, применяемых в атаках - ввод некорректных данных с последующим анализом содержания и характера сообщений об ошибках. Это дает взломщику возможность проверить скрипты и данные сервера на наличие потенциальных дыр. Например, если взломщик получил некоторую информацию о странице на основании отправки формы, он попробует предопределить некоторые передаваемые значения или модифицировать их:

Читать далее...

С точки зрения безопасности вывод сообщений об ошибках несет в себе как плюсы, так и минусы.

Одна из стандартных методик, применяемых в атаках - ввод некорректных данных с последующим анализом содержания и характера сообщений об ошибках. Это дает взломщику возможность проверить скрипты и данные сервера на наличие потенциальных дыр. Например, если взломщик получил некоторую информацию о странице на основании отправки формы, он попробует предопределить некоторые передаваемые значения или модифицировать их:

Читать далее...

Здесь вы можете видеть работы разных авторов.

Поле, дом...Красивые пейзажи. Глаза отдыхают и радуется душа, глядя на это всё...

Приятного просмотра всем


Смотреть дальше

Вступление

На сегодняшний день базы данных являются ключевыми компонентами большинства веб-приложений, позволяя предоставлять на сайтах динамический контент. Поскольку в таких БД может храниться очень точная или конфиденциальная информация, вы должны обеспечить хорошую защиту данных.

Для извлечения или сохранения любых данных вам необходимо открыть соединение с базой данных, отправить верный запрос, извлечь результат и закрыть соединение. В настоящее время наиболее распространенный стандарт общения - структурированный язык запросов (SQL). Всегда следует помнить о возможности атаки посредством SQL-запроса (SQL-инъекция).

Очевидно, что сам по себе PHP не может защитить вашу базу данных. Этот раздел документации рассказывает об основах безопасного доступа и управления данными в PHP-скриптах.

Запомните простое правило: максимальная защита. Чем больше потенциально опасных участков системы вы проработаете, тем сложнее будет потенциальному взломщику получить доступ к базе данных или повредить ее. Хороший дизайн базы данных и программных приложений поможет вам справиться с вашими страхами.

Читать далее...

По дороге шли человек, лошадь и собака. В них попала молния и испепелила, но они не заметили, что умерли и продолжали путь дальше. Вдруг перед ними появились красивые ворота с мраморным порталом и сад за ними, человек спросил у стражника, охраняющего ворота: «что это за место и можно ли здесь напиться воды?». Стражник ответил: «Это Рай, но животным вход сюда запрещен, если ты хочешь, то можешь оставить животных за воротами, сам же сможешь утолить свою жажду и навсегда остаться жить в этом прекрасном саду!». Человек не захотел расставаться с лошадью и собакой и решил продолжить свой путь, хоть жажда и мучила его. Вскоре они встретили другой сад, ворота этого сада были похожи на калитку и их никто не охранял……….в глубине сада под деревом лежал стражник. Человек спросил у него: «что это за место и можно ли здесь напиться воды?». Стражник ответил: «конечно можно, прямо пред вами источник, напейтесь из него. А находитесь вы сейчас в Раю». Тогда человек удивленно сказал:
-Но ведь Рай был за воротами мраморного портала!
-Это был Ад, - спокойно ответил стражник.
-Почему же вы не запретите им называться чужим именем?
-Они оказывают нам большую услугу.ТАМ ОСТАЮТСЯ ТЕ, КТО СПОСОБЕН ПРЕДАТЬ ДРУЗЕЙ.

ХА-ХА-ORG

Смотреть дальше

PHP является одним из важных моментов в вопросе безопасности сервера, поскольку PHP-скрипты могут манипулировать файлами и каталогами на диске. В связи с этим существуют конфигурационные настройки, указывающие, какие файлы могут быть доступны и какие операции с ними можно выполнять. Необходимо проявлять осторожность, поскольку любой из файлов с соответствующими правами доступа может быть прочитан каждым, кто имеет доступ к файловой системе.

Поскольку в PHP изначально предполагался полноправный пользовательский доступ к файловой системе, можно написать скрипт, который позволит читать системные файлы, такие как /etc/passwd, управлять сетевыми соединениями, отправлять задания принтеру, и так далее. Как следствие вы всегда должны быть уверены в том, что файлы, которые вы читаете или модифицируете, соответствуют вашим намерениям.

Читать далее...

Еще со времен наскальной живописи, интерьеры жилищ отражали социальный статус, физические и психологиче ские потребности своих обитателей. Чем дольше существует человечество, тем больше менялись те скромные пещерки под воздействием быта и творческой мысли людей. В результате этой эволюции изменились не только элементы жилого пространства, но и жилище в целом, что в свою очередь демонстрирует безграничное стремление нашего вида к творчеству.

Ниже представлена коллекция фотографий 20-ти наиболее сюрреалистичных, причудливых, странных и интересных домов планеты. Кто знает, может быть, они вдохновят вас на создание своего проекта? (20 фотографий)

Смотреть дальше

Если PHP установлен как модуль Apache

Когда PHP используется как модуль Apache, он наследует права пользователя, с которыми был запущен веб-сервер (обычно это пользователь 'nobody'). Это влияет на обеспечение безопасности и реализацию авторизации. Например, если вы используете базу данных, которая не имеет встроенного механизма разграничения доступа, вам прийдется обеспечить доступ к БД для пользователя 'nobody'. В таком случае зловредный скрипт может получить доступ к базе данных и модифицировать ее, даже не зная логина и пароля. Вполне возможна ситуация, когда веб-паук неверными запросами страницы администратора базы данных уничтожит все данные или даже структуру БД. Вы можете избежать такой ситуации при помощи авторизации Apache или разработав собственную модель доступа, используя LDAP, файлы .htaccess или любые другие технологии, внедряя соответствующий код в ваши скрипты.

Достаточно часто используются такие настройки безопасности, при которых PHP (имеется ввиду пользователь, с правами которого выполняется Apache) имеет минимальные привелегии, например отсутствует возможность записи в пользовательские директории. Или, например, отсутствует возможность работать с базой данных. При этом система безопасности не позволяет записывать как "хорошие", так и "плохие" файлы, аналогично позволяет производить как "хорошие", так и "плохие" транзакции.

Распространенной ошибкой является запуск Apache с правами суперпользователя или любое другое расширение полномочий веб-сервера.

Расширение привилегий веб-сервера до полномочий угрожает работоспособности всей системы, такие команды, как sudo, chroot должны выполняться исключительно теми, кто считает себя профессионалами в вопросах безопасности.

Существует несколько простых решений. Используя open_basedir, вы можете ограничить дерево доступных директорий для PHP. Вы так же можете определить область доступа Apache, ограничив все веб-сервисы не-пользовательскими или не-системными файлами.

PHP.SU

Если PHP установлен как модуль Apache

Когда PHP используется как модуль Apache, он наследует права пользователя, с которыми был запущен веб-сервер (обычно это пользователь 'nobody'). Это влияет на обеспечение безопасности и реализацию авторизации. Например, если вы используете базу данных, которая не имеет встроенного механизма разграничения доступа, вам прийдется обеспечить доступ к БД для пользователя 'nobody'. В таком случае зловредный скрипт может получить доступ к базе данных и модифицировать ее, даже не зная логина и пароля. Вполне возможна ситуация, когда веб-паук неверными запросами страницы администратора базы данных уничтожит все данные или даже структуру БД. Вы можете избежать такой ситуации при помощи авторизации Apache или разработав собственную модель доступа, используя LDAP, файлы .htaccess или любые другие технологии, внедряя соответствующий код в ваши скрипты.

Достаточно часто используются такие настройки безопасности, при которых PHP (имеется ввиду пользователь, с правами которого выполняется Apache) имеет минимальные привелегии, например отсутствует возможность записи в пользовательские директории. Или, например, отсутствует возможность работать с базой данных. При этом система безопасности не позволяет записывать как "хорошие", так и "плохие" файлы, аналогично позволяет производить как "хорошие", так и "плохие" транзакции.

Распространенной ошибкой является запуск Apache с правами суперпользователя или любое другое расширение полномочий веб-сервера.

Расширение привилегий веб-сервера до полномочий угрожает работоспособности всей системы, такие команды, как sudo, chroot должны выполняться исключительно теми, кто считает себя профессионалами в вопросах безопасности.

Существует несколько простых решений. Используя open_basedir, вы можете ограничить дерево доступных директорий для PHP. Вы так же можете определить область доступа Apache, ограничив все веб-сервисы не-пользовательскими или не-системными файлами.

PHP.SU

Смотреть дальше

Возможные атаки

Использование PHP как бинарного CGI-приложения является одним из вариантов, когда по каким-либо причинам нежелательно интегрировать PHP в веб-сервер (например Apache) в качестве модуля, либо предполагается использование таких утилит, как chroot и setuid для организации безопасного окружения во время работы скриптов. Такая установка обычно сопровождается копированием исполняемого файла PHP в директорию cgi-bin веб-сервера. CERT (организация, следящая за угрозами безопасности) CA-96.11 рекомендует не помещать какие-либо интерпретаторы в каталог cgi-bin. Даже если PHP используется как самостоятельный интерпретатор, он спроектирован так, чтобы предотвратить возможность следующих атак:

• Доступ к системным файлам: http://my.host/cgi-bin/php?/etc/passwd

  Данные, введенные в строке запроса (URL) после вопросительного знака, передаются интерпретатору как аргументы командной строки согласно CGI протоколу. Обычно интерпретаторы открывают и исполняют файл, указанный в качестве первого аргумента.

  В случае использования PHP посредством CGI-протокола он не станет интерпретировать аргументы командной строки.

• Доступ к произвольному документу на сервере: http://my.host/cgi-bin/php/secret/doc.html

Читать далее...

Смотреть дальше

«Движок» PHP

Языки программирования бывают двух видов: интерпретируемые и компилируемые. А каким языком является PHP? Для того, чтобы ответить на этот вопрос, нам необходимо разобраться в терминологии.

Программа, переводящая код, написанный на одном языке программирования, на другой называется транслятором. Компилятор – это тоже транслятор. Он переводит код, написанный на языке высокого уровня, в машинный код. В результате процесса компиляции создается двоичный исполняемый файл, который уже можно запускать без компилятора.

Интерпретатор – это совершенно другая категория. Интерпретатор не переводит код, а исполняет его. Интерпретатор анализирует код программы и исполняет каждую его строку. Каждый раз при исполнении такого кода, необходимо пользоваться интерпретатором.

По производительности интерпретаторы значительно уступают компиляторам, поскольку двоичный код выполняется намного быстрее. Зато интерпретаторы позволяют полностью контролировать программу во время ее исполнения.

Что касается PHP, то он не является ни компилятором, ни интерпретатором. PHP представляет собой нечто среднее, между компилятором и интерпретатором. Попробуем в этом разобраться и рассмотрим, как PHP обрабатывает код.

Читать далее...