«Дыры» в сайтах: что это и почему твой аккаунт могут украсть, даже если ты ничего не делал?
Привет! Ты наверняка слышал, что сайты «взламывают». Но представляешь, часто для этого даже не нужно быть хакером-сверхразумом. Достаточно найти «дыру» — это сленговое название уязвимостей.
И они бывают очень разными. Одни — прямые и грубые, как вышибание двери. Другие — хитрые и косвенные, как если бы злоумышленник уговорил тебя самого открыть ему дверь, потому что она несовершенна (например, нет надежного замка).
Давай разберем самые частые «дыры», чтобы ты понимал, о чем речь, когда читаешь, что какой-то сайт «поломали».
Прямые угрозы: Ломаем в лоб
XSS (Межсайтовый скриптинг)
Что это? Злоумышленник внедряет на страницу сайта свой опасный HTML или JavaScript-код.
Цель? Чаще всего — украсть твои куки (файлы с данными авторизации). Получив их, он может зайти на сайт под твоим аккаунтом, как будто это ты.
Как защищаются? Программисты должны экранировать весь текст, который ты оставляешь на сайте (в комментариях, в профиле). Проще говоря, превращают символы < и > в безобидные сущности < и >. Для этого есть специальная функция — htmlspecialchars.
Цель? Чаще всего — украсть твои куки (файлы с данными авторизации). Получив их, он может зайти на сайт под твоим аккаунтом, как будто это ты.
Как защищаются? Программисты должны экранировать весь текст, который ты оставляешь на сайте (в комментариях, в профиле). Проще говоря, превращают символы < и > в безобидные сущности < и >. Для этого есть специальная функция — htmlspecialchars.
SQL инъекция (SQL Inj)
Что это? Внедрение злого SQL-кода (язык для работы с базами данных). Представь, что вместо логина вводишь команду «отдай все пароли».
Цель? Получить данные из базы (логины, пароли, почты) или просто «положить» сайт.
Как защищаются? Не доверять вводу пользователя! Использовать специальные инструменты (как PDO или функции типа mysqli_real_escape_string), которые нейтрализуют такие команды.
Цель? Получить данные из базы (логины, пароли, почты) или просто «положить» сайт.
Как защищаются? Не доверять вводу пользователя! Использовать специальные инструменты (как PDO или функции типа mysqli_real_escape_string), которые нейтрализуют такие команды.
Косвенные угрозы: Проблемы в самой системе
Бывает, что код сайта сам по себе не уязвим, но архитектура несовершенна. Например, сайт не использует токены или не стоит SSL-сертификат. И вот что получается:
CSRF (Подмена форм)
Что это? Ты авторизован на сайте (например, в банке). Ты переходишь на другой, зловредный сайт, и он в фоне отправляет запрос от твоего лица на сайт банка «перевести все деньги на счет Х». Банк думает, что это ты, потому что ты уже авторизован.
Как защищаются? Используют CSRF-токены — одноразовые секретные коды, которые встраиваются в каждую форму. Без этого кода действие не выполнится.
Как защищаются? Используют CSRF-токены — одноразовые секретные коды, которые встраиваются в каждую форму. Без этого кода действие не выполнится.
MitM (Атака «посредника»)
Что это? Кража или модификация твоего интернет-трафика. Если ты сидишь в открытой Wi-Fi сети, злоумышленник может «подслушать» все, что ты отправляешь и получаешь.
Как защищаются? Иметь хороший SSL-сертификат (тот самый замочек в адресной строке). Он шифрует соединение между тобой и сайтом, и даже если трафик перехватят, расшифровать его будет практически невозможно.
Как защищаются? Иметь хороший SSL-сертификат (тот самый замочек в адресной строке). Он шифрует соединение между тобой и сайтом, и даже если трафик перехватят, расшифровать его будет практически невозможно.
Clickjacking (Подмена кликов)
Что это? Похоже на CSRF, но им не является. На прозрачную кнопку «Лайк» накладывается невидимый iframe с сайтом, где ты авторизован, с кнопкой «Удалить аккаунт». Ты думаешь, что ставишь лайк, а на самом деле жмешь на «Удалить».
Как защищаются? Сайты могут запрещать встраивать свои страницы в чужие фреймы с помощью специальных заголовков.
Как защищаются? Сайты могут запрещать встраивать свои страницы в чужие фреймы с помощью специальных заголовков.
Итог: Что делают хорошие программисты?
Помимо защиты от конкретных атак, они всегда:
• Внимательно выставляют права доступа (chmod) на файлы на сервере, чтобы никто посторонний не мог их изменить.
• Крайне аккуратно используют eval() — функцию, которая выполняет код как строку. Это опасно!
• Аккуратны при подключении файлов, особенно если имя файла зависит от твоих данных (например, от куков). Иначе можно заставить сайт запустить чужой, зловредный скрипт.
Надеюсь, теперь тебе стало немного понятнее, какой сложный и важный труд — делать сайты не только красивыми, но и безопасными. Будь осторожен в сети!
Комментарии 0
Пока нет комментариев
Извините, для вас комментирование недоступно
Ко всем записям
