Можно ли быть уверенным в безопасности веб приложения?

Question

[DiaTM]

Доброго времени суток. Скажите пожалуйста, дают ли эти варианты sqlmap, kali linux, что веб сайт не будет взломан? Или если код плохой, то брешь найдут если захотят?

Answer 1

[roswell]

В полной безопасности приложение существует только на выключенном сервере. Вот тебе пример кода, от которого не спасёт ничто, и даже медицина тут бессильна (пробовали лечить т-щей и электричеством, и холодными компрессами, но тщетно):
eval( $_GET[ 'stupid' ] );
Смех-смехом, но подобных (или загруженных позднее) закладок вот этими руками выковыряно немало. Так что регулярно читайте CVE, публикуйте фиксы, репортите баги, и ни в коем случае не меняйте Wordpress на что-нить более толковое, а то оставите меня без половины зарплаты.

Comments

[DiaTM]

Хех научиться бы безопасно писать на php такой ламанут?

надо дату вывести 1 ноя

1 реализация
<?php if($lost_articles):?>
<?php
$monthes = array(
'01' => 'ЯНВ',
'02' => 'ФЕВ',
'03' => 'МАР',
'04' => 'АПР',
'05' => 'МАЙ',
'06' => 'ИЮН',
'07' => 'ИЮЛ',
'08' => 'АВГ',
'09' => 'СЕН',
'10' => 'ОКТ',
'11' => 'НОЯ',
'12' => 'ДЕК');
$days = array(
'01' => '1',
'02' => '2',
'03' => '3',
'04' => '4',
'05' => '5',
'06' => '6',
'07' => '7',
'08' => '8',
'09' => '9',
'10' => '10',
'11' => '11',
'12' => '12',
'13' => '13',
'14' => '14',
'15' => '15',
'16' => '16',
'17' => '17',
'17' => '17',
'18' => '18',
'19' => '19',
'20' => '20',
'21' => '21',
'22' => '22',
'23' => '23',
'24' => '24',
'25' => '25',
'26' => '26',
'27' => '27',
'28' => '28',
'29' => '29',
'30' => '30',
'31' => '31'
);
?>
<?php foreach($lost_articles as $name):?>

<?php
$date_format = explode("-", $name['date']);
$date_monthe = $monthes[$date_format[1]];
$date_day = $days[$date_format[2]];
?>


<?=$date_day;?>
<?=$date_monthe;?>


2)<?php if($lost_article):?>
<?php
$monthes = array(
'01' => 'ЯНВ',
'02' => 'ФЕВ',
'03' => 'МАР',
'04' => 'АПР',
'05' => 'МАЙ',
'06' => 'ИЮН',
'07' => 'ИЮЛ',
'08' => 'АВГ',
'09' => 'СЕН',
'10' => 'ОКТ',
'11' => 'НОЯ',
'12' => 'ДЕК');
?>
<?php foreach($lost_article as $name):?>
<?php
$date_format = explode("-", $name['date']);
$date_month = $monthes[$date_format[1]];
$date_day = ltrim($date_format[2], '0');
?>

[roswell]

DiaTM: после таких простыней сразу хочется достать бердану, и пристрелить. Чтобы сам не мучался, и других не донимал o)

[Camaro67]

Такие функции, как eval вообще стоит отключать в PHP, если конечно нет крайней необходимости в ее использовании, но такого я еще не встречал.

[roswell]

Camaro67: таких функций уащпе там не должно встречаться, но уж что есть, то есть. Кстати, всякие system(), `` и прочее тоже выше моего понимания.

[Tremo]

roswell: а посоветуйте ресурсы о которых узнаете о новых уязвимостях. Может в твивере на кого подписаны? заранее благодарю

[roswell]

Tremo: https://cve.mitre.org/cve/

Answer 2

[Сергей]

Можно. Если в стальном сейфе на дне морском.

Comments

[xmoonlight]

С подводными беспилотниками - и в этом то уже проблематично быть уверенным: найдут, поднимут на поверхность к людям, они вскроют сейф и профит!)

Answer 3

[Camaro67]

Нет, нельзя. Любое приложение можно взломать, не бывает на 100% безопасных приложений. И количество потенциальных уязвимостей пропорционально равно сложности самого приложения. Но это не значит, что не нужно защищать свои приложения и думать: "смысл тратить время и силы на защиту если все равно взломают". Когда временные и материальные ресурсы превышают пользу от взлома, то взлом становиться по сути бессмысленным.
ИМХО, защищенность приложения равна самому слабому звену в защите и ресурсам, которые потребуется затратить для взлома. А идеальной защиты не бывает, как уже говорил выше: взломать можно все.

Answer 4

[dinegnet]

Разве что методология дает хоть какую то минимальную гарантию. Скажем, программы, основанные на контейнерах с нормальным R/Only - не ломаются уже старыми примитивными способами (см. ниже про Joomla)

И использование современного ПО на всех этапах и его обновление.

Кали-Линукс сам защищен, но ничто не мешает подсадить трояна непосредственно в ваш PHP код, ежели вы используете старую версию Joomla, например.
;)

Answer 5

[Konstantin Malyarov]

Нет, не спасут. Чем проще приложение, тем меньше шансов взлома, однако если есть ошибки, то опытный человек взломает, вопрос через сколько? День, месяц? Некоторые ошибки находят спустя 20 лет после выхода продукта на рынок.

Comments

[roswell]

ну это уж должен быть совсем специфический и совсем дохлый продукт. Типа WinXP o)

Answer 6

[xmoonlight]

Лучший вариант для защиты рядового сайта от большинства видов атак: здесь

Answer 7

[sim3x]

Безопасность приложения - процесс, а не результат
Приложение защитить можно, только вот безопасность софта состоит из многих компонент, часть из которых люди