Безопасность и Мониторинг

Дорогие друзья, те из Вас, кто имел возможность ознакомиться с нашей курьезной историей, могли обратить внимание на тот факт, что мы не указали в ней никаких имен. Героев же этой новости знает уже, пожалуй, весь мир. Некие румынские хакеры TinKode и Ne0h взломали сайты MySQL.com и Sun.com. Наиболее интересно в данной истории то, что взлом был осуществлен с помощью одной из тех самых SQL-инъекций (SQL Injection), эффективная борьба с которыми входит в список важнейших задач проекта Find-XSS.net!

    SQL injection (SQL-инъекция или внедрение SQL-кода) - это один из самых опасных способов взлома сайта. Взлом с помощью SQL injection основан на внедрении в запрос к базе данных произвольного SQL-кода. Самой распространенной причиной возникновения атаки типа SQL injection является некорректная обработка входных данных, передаваемых в SQL-запросы. Допустим, сервер использует входной параметр id, передаваемый через строку GET-запроса типа http://www.somesite.com/?id=123, для поиска записи в таблице базы данных с информацией о пользователе с user_id равным 123. Допустим также, что PHP-скрипт отвечающий за построение SQL-запроса выглядит следующим образом:

    Данный инструмент предназначен для помощи в поисках уязвимостей XSS и SQL Injection. Сервис дает возможность проверять PHP файлы, а также ZIP архивы до 10mb. Для VIP пользователей (зарегистрированных) предоставляется детальный отчет сканирования. Результатом работы сканера будет вывод названия файла в котором найдена потенциальная уязвимость, а также пронумерованные строки небезопасного кода в этом файле, уязвимый параметр и тип уязвимости.

Статус Error с 99% точностью говорит о том, что в данном месте есть XSS или SQL Injection уязвимость.
Строка кода с таким статусом может выглядеть например так:

echo $_GET['name'];

В такой ситуации при передаче в адресной строке параметра name таким образом &name=<strong> вы выделите болдом весь текст следующий за echo на сайте. Примеры могут быть и страшнее, вот один из них:

Принцып действия изменен начиная с версии 0.3.0
>Статус Warning предупреждает о возможной уязвимости. В частности он предупреждает о потенциальных ошибках таких как например присваивание переменной значения например $_GET или $_POST без проверки на XSS или SQL Injection. Кто то может сказать - но я проверяю эту переменную каждый раз при ее дальнейшем использовании. Такой подход не оптимальный, лучшим решением является проверка непосредственно при получении параметра один раз, и дальнейшего использования его во всей программе не задумываясь об уязвимости. Приведу пример:

Отменен начиная с версии 0.3.0
Статус Notice может говорить о коварной уязвимости, хотя случается это редко. По сути речь идет о передаваемых в функцию параметрах. Конечно не все функции производят отображение контента и не все функции производят запись в базу данных, что уменьшает риск XSS или SQL Injection. Но в тех случаях когда функции делают именно это, хакер может найти лазейку. Вот пример таких функций: