Внимание! Вся размещенная на сайте информация приведена исключительно в образовательных целях.
Автор сайта не преследует цели нанесения вреда другим сайтам. Вся вина за злонамеренное использование информации лежит на лицах, ее использовавших.
Истинная цель данного проекта - научить защищаться от атак на web-сайты.
Защитите свой сайт: Система безопасности web-сайтов geneGuard: скачать (бесплатно)
ЗАДАНИЕ ДЛЯ СТУДЕНТОВ, ИЗУЧАЮЩИХ ЗАЩИТУ WEB-САЙТОВ!
Подробнее о методах защиты: Доклад на 8 научно-практической конференции "Информационные технологии в управлении и образовании" (презентация: скачать)
Уязвимая форма или сервис Видео-атака Видео-объяснение Механизм проведения атаки Как защититься
1. Уязвимая форма входа на сайт (login) Вход на сайт без знания пароля Механизм работы уязвимости Подробное описание атаки с исходными кодами страниц и sql-запросами Описание методов защиты
2. Уязвимый список пользователей Раскрытие списка логинов в процессе подготовки Подробное описание атаки с исходными кодами страниц и sql-запросами Описание методов защиты
3. Уязвимый список пользователей Раскрытие имен всех таблиц и столбцов БД в процессе подготовки Подробное описание атаки с исходными кодами страниц и sql-запросами Описание методов защиты
4. Уязвимое скачивание файла Скачивание любого файла в процессе подготовки Подробное описание атаки с исходными кодами страниц Описание методов защиты
5. Уязвимая форма поиска в процессе подготовки в процессе подготовки Подробное описание атаки с исходными кодами страниц Описание методов защиты
6. Уязвимый шаблон универсальной страницы в процессе подготовки в процессе подготовки Подробное описание атаки с исходными кодами страниц Описание методов защиты
7. Уязвимая форма загрузки файла на сервер в процессе подготовки в процессе подготовки Подробное описание атаки с исходными кодами страниц Описание методов защиты
Другие образовательные проекты автора: Автоматизированная обучающая система "Аргус-М" | Для связи с автором пользуйтесь разделом Контакты сайта www.argusm.com
Вопросы, которые будут рассмотрены в этом курсе:

1. Откуда берутся уязвимости? Опубликована первая заметка из цикла.

2. Как уязвимый код попадает на сайт? Основные источники появления уязвимостей: CMS, дополнительные формы и плагины, собственный уязвимый код. Внедрение уязвимого кода через вспомогательные средства.

3. Основные типы атак. SQL-инъекция, PHP(*)-инъекция, CSS-скриптинг. На что направлены данные атаки. Краткое объяснение принципа работы и механизма возникновения уязвимости. Простейшие сканеры на обнаружение уязвимостей данных типов.

4. Другие типы атак и уязвимостей. Уязвимая форма скачивания файла с сайта (счетчик скачивания). Уязвимая форма загрузки файлов на сайт (загрузка изображений).

5. SQL-инъекция. Подробно о механизме работы атаки. Вероятные места обнаружения уязвимых участков кода. Основные формы и способы использования атаки типа SQL-инъекция. Возможные результаты, получаемые с помощью атаки данного вида. Способы защиты. Способы обхода защиты.

6. PHP-инъекция. Подробно о механизме работы атаки. Вероятные места обнаружения уязвимых участков кода. Основные формы и способы использования атаки типа PHP-инъекция. Возможные результаты, получаемые с помощью атаки данного вида. Способы защиты. Способы обхода защиты.

7. CSS-скриптинг. Подробно о механизме работы атаки. Вероятные места обнаружения уязвимых участков кода. Основные формы и способы использования атаки типа CSS-скриптинг. Возможные результаты, получаемые с помощью атаки данного вида. Способы защиты. Способы обхода защиты.

8. Универсальные методы защиты. Автоматические системы обнаружения и блокирования атак. Принципы их работы. «Черный список» и «белый список». Плюсы и минусы. Пример реализации системы по принципу «черного списка». Выявление и устранение недостатков. Модификация фильтра для придания ему большей гибкости.