Безопасность и Мониторинг

Уважаемые пользователи Find-XSS.net, сегодня мы расскажем Вам об основных способах защиты сайта от XSS и SQL injection. Не секрет, что именно этот вопрос наиболее сильно интересует посетителей нашего ресурса. Отметим, главное - обнаружить имеющиеся на сайте уязвимости, все остальное не представляет особой сложности. Фактически речь сейчас пойдет о нескольких функциях, которые экранируют параметры, полученные от пользователя, таким образом, что данные параметры становятся абсолютно безопасны. 

Дорогие друзья, в этой статье мы постараемся не только ответить на крайне непростой вопрос "как получается так, что хакеры взламывают сайты?", но также и предложить свое решение этой весьма серьезной проблемы. Действительно, как же так получается, что коварные взломщики получают доступ к чужим сайтам? Бесспорно, не самую последнюю роль в этом играет постоянное совершенствование технологий взлома, но, тем не менее, не стоит забывать и про другую, не менее важную причину. 
Какую именно? - спросите Вы. 
Вышеупомянутая причина кроется в излишней самоуверенности некоторых программистов, считающих, что они никогда не допускают ошибки при программировании, отсутствии знаний о существовании уязвимостей и их опасности, а также и элементарной лени и нежелании исправлять недочеты в выполненной работе. Да, именно так - немалая часть вины за взлом сайтов зачастую лежит именно на разработчиках сайтов.

Дорогие друзья, сегодня у нас есть для Вас две важные новости. Первая новость связана с обновленной версией XSS-сканера, а вторая - с переходом сервиса на платный режим. Начнем, пожалуй, со второй новости.
 
Переход сервиса на платный режим подразумевает под собой следующее. Пользователь по-прежнему имеет доступ к бесплатной демо-версии сканера, позволяющей получить общий отчет проверки, содержащий данные о количестве обнаруженных Errors (XSS и SQL Injection), а также количестве Warnings (начиная с версии 0.4.0 к Warnings нужно относиться с особым вниманием, как и к Errors). Более того, в общем отчете будут присутствовать 2 строки полного отчета. Отметим, что размер ZIP-архива, загружаемого в сканер для проверки, остался прежним - до 10мб.

важаемые пользователи Find-XSS.net, представляем Вашему вниманию обновленную версию сканера и предлагаем Вам ознакомиться с списком улучшений, произошедших в ней. В частности, изменению подверглись как ядро сканера, так и сама концепция предоставления услуги.
 
Давайте ознакомимся с изменениями, произошедшими в ядре сканера.
 
- Вывод отчетов сканирования стал более информативным.
 
- В сканер был внесен функционал отслеживания массивов при передаче в них экранированных параметров. До этого отслеживались только переменные и имена массивов (без привязки к индексам).
 
- Улучшен алгоритм отслеживания параметров в if блоках.
 
- Добавлено отслеживание индексов массивов, заданных константой, что значительно улучшило результаты сканирования.

Дорогие друзья, те из Вас, кто имел возможность ознакомиться с нашей курьезной историей, могли обратить внимание на тот факт, что мы не указали в ней никаких имен. Героев же этой новости знает уже, пожалуй, весь мир. Некие румынские хакеры TinKode и Ne0h взломали сайты MySQL.com и Sun.com. Наиболее интересно в данной истории то, что взлом был осуществлен с помощью одной из тех самых SQL-инъекций (SQL Injection), эффективная борьба с которыми входит в список важнейших задач проекта Find-XSS.net!

Дорогие друзья, мы рады предложить Вашему вниманию новый дизайн нашего проекта, получивший кодовое название "silver". Разработка и создание "silver" является заслугой дизайнера Аркадия. Пользуясь представленной возможностью, еще раз выражаем ему огромную благодарность за проделанный труд. Теперь внешний вид проекта Find-XSS.net соответствует качеству предлагаемых нами сервисов. Если у Вас есть какие-нибудь мысли или соображения по дальнейшему изменению дизайна нашего сайта, просим Вас оставлять их на форуме. Отметим, что в целях сохранения истории развития проекта мы публикуем предыдущие версии дизайна, хотя, конечно, их качество значительно уступает "silver".

Уважаемые пользователи Find-XSS.net, представляем Вашему вниманию обновленную версию (0.3.1-0.3.3) XSS-сканера. Если в версиях 0.3.1 - 0.3.2 изменения произошли только в оптимизации ядра, то в новой версии было существенно обновлено само ядро сканера. Также данная версия характеризуется и другими не менее важными изменениями. Так, в отчете, получаемом пользователем после завершения сканирования, добавилось имя переменной, делающей код уязвимым. Это заметно помогает при отладке. Статусы Warning появляются в отчете сканирования на 90% реже - напомним, появление Warning связано с ситуациями, в которых сканер не только не смог отследить, но также и не смог классифицировать код как безопасный. Количество и релевантность найденных уязвимостей увеличились на 10-20%.

В самом начале этой истории мы бы хотели обратить Ваше внимание на тот факт, что в силу вполне понятных причин наш сканер пользуется огромной популярностью у владельцев сайтов, созданных на основе CMS с открытым кодом. А вот и сама история - некоторое время назад один из владельцев такого сайта воспользовался нашим сервисом и, обнаружив на своем проекте огромное количество уязвимостей, с определенной долей негодования написал об этом на форуме разработчика CMS. По всей логике разработчикам следовало бы провести соответствующую проверку и устранить эти уязвимости (а всего нашему сканеру удалось обнаружить 700 XSS-уязвимостей и SQL-инъекций) и поблагодарить своего клиента за то, что он вовремя поставил их в известность. Однако, вопреки здравому смыслу разработчики (имена мы называть не будем), даже не удосужившись проверить прав или неправ их клиент, пришли к интересному умозаключению, согласно которому, ни один из представленных в сети сканеров не способен обнаружить уязвимости в их CMS. В свою очередь мы не стали тратить свое время на форумные баталии и доказательство их неправоты. Тем не менее, нам искренне жаль и таких излишне самоуверенных разработчиков, и их доверчивых клиентов.