Как быстро найти и устранить дыры в безопасности интернет
advertisement
Как быстро найти и устранить проблемы безопасности Думбравану Вадим руководитель проектов Шаромов Денис руководитель отдела техподдержки Безопасный проект Безопасное веб-приложение Безопасный пользовательский код Проактивная защита Безопасное окружение (кто?) ОС Веб-сервер СУБД Memcached Сторонние скрипты Проактивная защита Проактивный фильтр (Web Application FireWall) Веб-антивирус Технология одноразовых паролей (OTP) Защита сессий Защита редиректов от фишинга Стоп-листы Контроль целостности скриптов «Облачный» сканер безопасности Выполняет внутреннее сканирование окружения проекта Выполняет проверку настроек сайта, к примеру, включен ли WAF, установлен ли пароль к БД и т. д. Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа. Запускает внешнее сканирование. Локальные тесты example.ru Сканер безопасности Часть локальных тестов работает изнутри Другая часть готовит окружение и подключается через веб сервер Локальные тесты Права на файлы и папки проекта Временная папка загрузки файлов Папка хранения сессий Общие сессии разных проектов (новые версии не подвержены) Выполнение скриптов в папке upload Проверка AllowOverride none в папке upload Статический анализ Внешние тесты Сервис example.ru 1c-bitrix Ключ Сканер безопасности Сервер очередей Задание Облачный сканер Задание Внешние тесты Закрыт Directory Index Уязвимости php-cgi/fpm Закрытые статусные страницы Apache и nginx Временные файлы dbconn.php (.bak, .old и пр.) Доступность phpMyAdmin Системы контроля версий phpinfo Результат Статистика Всего сканирований: 20381 Из них успешных: 17533 Из них уникальных доменов: 5408 Всего найдено проблем: 3003 Из них исправлено: 687 Критичных: 860/316 Менее критичных: 874/235 Некритичные: 1269/136 Спасибо за внимание! Вопросы?
