Weitere ähnliche Inhalte Ähnlich wie Εισαγωγή στην Ασφάλεια Ιστοχώρων (20) Εισαγωγή στην Ασφάλεια Ιστοχώρων2. Γειά
σας,
είμαι
ο
Νίκος
Διονυσόπουλος
γνωστός
ως
ο
προγραμματιστής
των
Akeeba
Backup,
Admin
Tools
και
πολλών
άλλων
επεκτάσεων
για
το
Joomla!
http://akeeba.info/me
16. Ενημερώστε,
χθες!
Ο
χτεσινός
κώδικας
είναι
το
αυριανό
κενό
ασφαλείας
http://akeeba.info/basic-security
24. Οπτικό
αποτύπωμα
Πίστευε
και
μη,
ερεύνα
tm
pl=
offl
ine
tp =1
http://akeeba.info/ninja template =ja_purity
25. Οπτικό
αποτύπωμα
RewriteCond %{QU
ERY_STRING} (^|
&)tmpl=(componen
t|system) [NC]
RewriteRule .* -
[L]
RewriteCond %{QU
ERY_STRING} (^|&
)t(p|emplate|
mpl)= [NC]
RewriteRule .* -
[F]
http://akeeba.info/ninja
28. Η
PHP
έχει
μεγάλο
στόμα
RewriteCond %{QU
ERY_STRING} =PH
P[a-f0-9]{8}-[a-
f0-9]{4}-[a-f0-9
]{4}-[a-f0-9]{4}
-[a-f0-9]{12}
[NC]
RewriteRule .* -
[F]
http://akeeba.info/ninja
31. Ο
Τυφλός
Ελέφαντας
nicholas@teapot:~/blindelephant$ ./BlindElephant.py mysite.com joomla
Loaded /home/nicholas/projects/3rdparty/blindelephant/trunk/src/build/lib.linux-x86_64-2.6/blindelephant/
dbs/joomla.pkl with 33 versions, 3696 differentiating paths, and 122 version groups.
Starting BlindElephant fingerprint for version of joomla at http://joomla.ubuntu.web
Hit http://joomla.ubuntu.web/media/system/js/validate.js
Possible versions based on result: 1.5.17, 1.5.18
Hit http://joomla.ubuntu.web/includes/js/joomla.javascript.js
Possible versions based on result: 1.5.17, 1.5.18
Hit http://joomla.ubuntu.web/media/system/js/caption.js
Possible versions based on result: 1.5.17, 1.5.18
Hit http://joomla.ubuntu.web/media/system/js/openid.js
Possible versions based on result: 1.5.17, 1.5.18
Hit http://joomla.ubuntu.web/templates/rhuk_milkyway/css/template.css
Possible versions based on result: 1.5.17, 1.5.18
Fingerprinting resulted in:
1.5.17
1.5.18
Best Guess: 1.5.18
http://akeeba.info/ninja
32. Ο
Τυφλός
Ελέφαντας
RewriteRule ^ima
ges/stories/.*.
(jp(e?g|2)?|png|
gif|bmp|css|js|s
wf|ico)$ - [L]
RewriteCond %{HT
TP_REFERER} .
RewriteCond %{HT
TP_REFERER} !^ht
tps?://(www.)?
example.com [NC]
RewriteCond %{RE
QUEST_FILENAME}
-f
RewriteRule .(j
p(e?g|2)?|png|gi
f|bmp|css|js|
swf|ico)$ - [F]
http://akeeba.info/ninja
34. Περισσότερη
προστασία
f re e! 2 0€
The Master Admin Tools
.htaccess Professional
http://akeeba.info/master-
http://akeeba.info/atpro
htaccess
Hinweis der Redaktion Απλά μια εισαγωγή\nΠράγματα που όλοι πρέπει να κάνουν\n\nNext: Εγώ\n 30χρονος Μηχ. Μηχ/κος => προγρ/της\nPHP για > 10 χρόνια\nΠρογρ/της των Akeeba Backup και Admin Tools\n\nNext: Τσακ Νόρρις\n Τι έγινε;\nΤι θέλει ο Τσακ Νόρρις στο site σας;\nΜπορεί να πλακώσει όλους τους χάκερ και να τρέξουν μακριά; ΟΧΙ\n\nΕπόμενο: Ασφάλεια είναι...\n Κάν’το δυσκολότερο, όχι αδύνατο\n\nNext: Μεταξύ site και hacker\n Τι μπαίνει ανάμεσά μας;\n\nΕπόμενο: Στρώματα\n ΤΠ: Διάχειριση από πάροχο\nΔΓ: mod_security, suPHP\nΔΤ: Βασική προστασία\nJ: Βασικό φιλτράρισμα\nΕΠ: Υπέυθυνες!\n\nNext: Στρώματα για σήμερα\n ΤΠ: Διάχειριση από πάροχο\nΔΓ: mod_security, suPHP\nΔΤ: Βασική προστασία\nJ: Βασικό φιλτράρισμα\nΕΠ: Υπέυθυνες!\n\nNext: Στρώματα για σήμερα\n ΤΠ: Διάχειριση από πάροχο\nΔΓ: mod_security, suPHP\nΔΤ: Βασική προστασία\nJ: Βασικό φιλτράρισμα\nΕΠ: Υπέυθυνες!\n\nNext: Στρώματα για σήμερα\n ΤΠ: Διάχειριση από πάροχο\nΔΓ: mod_security, suPHP\nΔΤ: Βασική προστασία\nJ: Βασικό φιλτράρισμα\nΕΠ: Υπέυθυνες!\n\nNext: Στρώματα για σήμερα\n ΤΠ: Διάχειριση από πάροχο\nΔΓ: mod_security, suPHP\nΔΤ: Βασική προστασία\nJ: Βασικό φιλτράρισμα\nΕΠ: Υπέυθυνες!\n\nNext: Στρώματα για σήμερα\n ΤΠ: Διάχειριση από πάροχο\nΔΓ: mod_security, suPHP\nΔΤ: Βασική προστασία\nJ: Βασικό φιλτράρισμα\nΕΠ: Υπέυθυνες!\n\nNext: Στρώματα για σήμερα\n ΤΠ: Διάχειριση από πάροχο\nΔΓ: mod_security, suPHP\nΔΤ: Βασική προστασία\nJ: Βασικό φιλτράρισμα\nΕΠ: Υπέυθυνες!\n\nNext: Στρώματα για σήμερα\n ΤΠ: Διάχειριση από πάροχο\nΔΓ: mod_security, suPHP\nΔΤ: Βασική προστασία\nJ: Βασικό φιλτράρισμα\nΕΠ: Υπέυθυνες!\n\nNext: Στρώματα για σήμερα\n ΤΠ: Διάχειριση από πάροχο\nΔΓ: mod_security, suPHP\nΔΤ: Βασική προστασία\nJ: Βασικό φιλτράρισμα\nΕΠ: Υπέυθυνες!\n\nNext: Στρώματα για σήμερα\n ΤΠ: Διάχειριση από πάροχο\nΔΓ: mod_security, suPHP\nΔΤ: Βασική προστασία\nJ: Βασικό φιλτράρισμα\nΕΠ: Υπέυθυνες!\n\nNext: Στρώματα για σήμερα\n Εκτός αρμοδιότητας\nΥπό τον έλεγχό μας\nΓια προγραμματιστές\n\nNext: Βασική Ασφάλεια\n Όλοι ξέρουν ότι πρέπει να γίνουν\nΣυνήθως βαριόμαστε ή τα ξεχνάμε\n\nNext: Backups\n Akeeba Backup ή άλλο εργαλεία για καθημερινά backup\nΔοκιμή επαναφοράς κάθε βδομάδα ή μετά από μεγάλη αλλαγή\n\nNext: Ενημερώσεις\n Άμεση ενημέρωση την ίδια μέρα\nΔείτε το J! VEL\nΕγγραφή στο SalvusAlerting\n\nNext: προστασία admin\n Προστασία με κωδικό\nΜυστική παράμετρος URL (jSecure, Admin Tools Professional, etc)\n\nNext: 777\n Γιατί τα 0777 είναι κακή ιδέα (σπάσιμο από μέσα)\n\nNext: perms\n Χρήση suPHP/mod_itk\nΡίζα 0755 / 0700 (απενεργοποιεί 0777)\nΚατάλογοι 0755, Αρχεία 0644\nΕάν “πρέπει” 0777, βάλε .htaccess\n\nNext: sitting duck\n Default ρυθμίσεις Joomla! = κάνεις την πάπια\nΟι κυνηγοί ΞΕΡΟΥΝ ότι είσαι πάπια\n\nNext: prefix\n Πρόθεμα jos_ επισφαλές\nΧρήση τυχαίου. Admin Tools για αλλαγή.\nΠροσοχή: επεκτάσεις μπορεί να σπάσουν\n\nNext: Super Admin ID\n Default SA ID είναι 62/42. Χρήση από SQLi attacks.\nΜην φτιάξεις νέο χρήστη. Το 63 είναι επισφαλές.\nΔημιουργία “low ID” χρήστη; χρήση Admin Tools\n\nNext: Ninja!\n How the big boys deal with security\nSome tips are over the top\nYou can never be too paranoid w/ security\n\nNext: Visual fingerprinting\n Appending parameters can reveal too much\nUsed to identify your site as a Joomla! site = potential target\nSecurity through obscurity; not THE solution, but it helps\n\nNext: solution\n These rules in my Master .htaccess\n\nNext: PHP has a big mouth\n Appending parameters can reveal too much\nUsed to identify your PHP version\nCan deliver non-Joomla! specific exploits\n\nNext: demonstration\n This is what it looks like\nEach version has a different image!\n\nNext: solution\n These rules are in my master .htaccess\n\nNext: Blind Elephant\n No, you’re not going to the circus; or a safari.\nA blind elephant is after you and will stomp you.\nSee for yourself! (next slide)\n\nNext: BlindElephant run\n Typical blind elephant run\nIt’s not the only fingerprinting script\nThey’re moderately to very accurate\n\nNext: solution\n These rules are in my master .htaccess\n\nNext: More threats\n XSS, RFI, LFI, SQLi, CSRF, Brute force, Phishing/Spamming\n\nNext: more protection\n My master .htaccess is free, reqs expert knowledge, no support\nATPro is easier for site builders, has docs, support\n\nNext: security is a process\n It’s not fire and forget. You have to work on it continuously as your site evolves.\n\nNext: questions\n Ask your questions!\n\nNext: the end\n Thank you for listening\nVisit the URL for the slides in PDF format (next slide)\n\n Thank you for listening\nVisit the URL for the slides in PDF format\n\nTHE END\n