Как да осигуря максимална защита на сайта си

[ThEKiNgG]

Мисля че се подразбира от заглавието.

[K_O_L_E_V]

От какво точно да го защитаваш ?

[minus273dot15]

Много обширен и сложен въпрос. Вероятно ако ни дадеш линк към сайтът, ще е по-лесно...

Като цяло трябва да се вземе под предвид двата фактора - сигурност на сървъра и сигурност на сайта. Пропуск в една от двете точки спомага изключително много за пробив в другата.

Питаш конкретно за сайт, а не за сървър, така че ще нахвърлям малко мисли в тази насока. Приемаме, че пробива няма да бъде server side или свързан с него.

Това обуславя няколко типа атаки, зависещи от начина по който е изграден сайта. Ето ти най-често използваните:

1) LFI/RFI - Local File Inclusion/Remote File Inclusion са методи за изпозлване на уязвим код, който да форсира зареждането на злонамерен скрипт.

Демострация за уязвимост: http://www.rto.nato[антигугъл].int/main.asp?topic=main.asp
Име на организацията: Research & Technology Organization - NATO
Вид на уязвимост: LFI
Степен на уязвимост: Пълен достъп до сайта и сървъра
Открил уязвимостта: Arrz

2) Инжекции - Съществуват безобразно голям брой видове инжекции. PHP, ASP, Perl, SQL, Java и т.н., а те от своя страна се делят на още повече подвидове. Същнсотта при тях е да се форсира изпълняването на команда, която обикновен потребител няма право да извърши. Например заявка към базата данни за показване на администраторският акаунт и паролата му.

Демострация за уязвимост: http://www.blizzard[антигугъл].com.ua/article.php?id=-142+union+select+1,2,3,concat_ws%280x3a,version%28 %29%29,5,6,7,8+--+
Име на организацията: Blizzard Corporation/Ukraine Official Distributor/
Вид на уязвимост: SQL Injection
Степен на уязвимост: Пълен достъп до сайта
Открил уязвимостта: djodji

3) XSS(cross site scripting) - Позволява изпълнението на скритове, който са вмъкнати от потребителска страна. Често се отнася към инжекциите, понеже принципа му на действие е подобен, но начина му на използване е различен. Въпреки, че може да бъде използван като стандартна инжекция(пасивен XSS), основната му сила е в активната част.

Уязвим сайт: http://buzzroom.nasa.gov/
Демострация за уязвимост: В полето "What`s happening?" въвеждаме JS, от типа на: "><script>alert(document.cookie)</script>
Име на организацията: NASA
Вид на уязвимост: XSS
Степен на уязвимост: Phishing, Joke
Открил уязвимостта: Мarshall

Това са основните методи за атака, от които трябва да защитиш сайта си приоритетно. Останалите са близки, свеждат се до тях или не са толкова често използвани(не претендирам за изчерпателност - допълвайте ме ако имате желание).

Но по-конкретно по темата не може да се говори, докато не споделиш кой е сайта или поне каква е структурата му и платформата му. Предполагам примерите ще ти дадат някаква идея в каква посока евентуално имаш уязвимости...

ПП. Демострациите просто показват, че сайтът е уязвим, но не показват и не предоставят възможност за нанасяне на вреди, aко човекът няма нужните познания. Младите хакерчета ще се наложи да се потрудят

[Sexer]

Абе с една дума ти трябват добри php знания .... защото от там стават всички фалове. Ако разбираш добре от php ще можеш и по добре да се защитиш от дупки в сървъра.Другото вече е от хостинга....ако те имат добри защити ще си още по добре защитен : ) ама винаги знай че няма не пробиваеми защтити , такаче релакс : )