Уважаемые веб-мастера и разработчики, в этой статье мы постараемся обобщить все возможные способы обнаружения уязвимостей, а также и защиты от них при помощи инструментов от Find-XSS.net. Первое, что мы рекомендуем Вам сделать - выполнить проверку Вашего проекта предлагаемым нами сканером. После этого Вам надо будет устранить все уязвимости, обнаруженные в процессе сканирования. Однако, если у Вас возникнут какие-нибудь проблемы с их устранением, то Вы всегда можете обратиться в нашу службу техподдержки, и мы сами удалим их за умеренное вознаграждение.
Выполнив все указанные выше действия, еще раз проверьте Ваш проект на локальном хосте (localhost) сканером Find-XSS-Fire (или подобным). Обратите внимание - проверять проект следует именно на localhost, поскольку при обычном сканировании Find-XSS-Fire может попросту сломать Ваш сайт! Все обнаруженные уязвимости подлежат обязательному устранению. В этот раз процедура удаления может оказаться более сложной, так как Find-XSS-Fire (и ему подобные сканеры) выдают XSS-вектор, а не просто строку кода, в которой есть уязвимость. Тем не менее, в случае возникновения каких-либо затруднений Вы также можете обратиться в нашу службу техподдержки.
После выполнения предыдущих пунктов непременно проверьте права на папки и файлы при помощи утилиты под названием Find-Info. Крайне важно - неверно выставленные права на папки вкупе с существующей уязвимостью опасны тем, что позволят хакеру залить шелл на Ваш сайт.
Проверьте утилитой Find-Port не открыты ли лишние порты на Вашем сервере - если открыты, то немедленно закройте их. Если Ваш сайт находится на платном хостинге, то обязательно обратитесь в техподдержку хостинга, предоставив сотрудникам службы список сомнительных открытых портов.
Также проверьте Ваш проект утилитой Find-Error, которая покажет наличие (или отсутствие) синтаксических ошибок кода. Подобные ошибки могут привести к отказу отображения страниц Вашего сайта.
При помощи предлагаемого нами HTML-валидатора исправьте ошибочные теги - это поможет правильному ранжированию Вашего проекта поисковыми системами.
Если Вы хотите всегда быть в курсе того, что происходит с Вашим сайтом, то воспользуйтесь нашим новым сервисом под названием Find-Monitoring. За весьма умеренную плату (менее 1-го доллара в месяц), Вы всегда будете знать:
- Доступен ли в настоящий момент Ваш сайт;
- Не залит ли на сайт шелл, и если залит, то в какие именно файлы;
- Подверглись ли несанкционированному изменению структура папок и файлов, их размер или права доступа.
Используя данный сервис, не стоит волноваться за размер трафика и нагрузку на сервер. Каждая проверка, частоту которой, кстати, Вы устанавливаете сами, использует всего 32 байта общего трафика и всего 30-50 миллисекунд времени, что в действительности еще меньше, чем открытие любой страницы Вашего сайта. По любым интересующим Вас вопросам, связанным с предлагаемыми нами сервисами, обращайтесь в нашу службу техподдержки, квалифицированные и вежливые сотрудники которой постараются дать максимально исчерпывающие ответы.
Желаем Вам поменьше проблем с безопасностью Ваших проектов!
С уважением, команда разработчиков Find-XSS.net.
Статья