Безопасность сайта зависит от многих факторов, но самый главный это правильно написанный код. Основными уязвимостями являются XSS и SQL Injection. Хороший программист редко допускает такие ошибки. Но если есть большой проект, то где-то можно не доглядеть, людям свойственно ошибаться. И здесь сканер окажет неоценимую услугу. Рекомендую вам проверить сайт на уязвимости.

Данный сканер не служит инструментом для взлома, он не подбирает параметры в адресной строке, пытаясь пробить оболочку. Принцип его действия другой: сканер проверяет непосредственно PHP код и выдает отчет сканирования, указывая, в каком именно месте код уязвим. О том, что такое XSS и SQL Injection написано много, и я не буду заострять на этом внимание, как и на том, как защитится от этих уязвимостей.

На данный момент сканер имеет версию 0.2.0 . В этой версии сканер отслеживает $_GET, $_POST, $_REQUEST, $_COOKIE и $_SERVER параметры. Проверка производится также при присваивании значений другой переменной, или константе (отслеживаются foreach, operator = и difine). В данной версии не отслеживается вхождение параметров в функции (хотя сами функции отслеживаются). Предусмотрены поля для ввода функций, на которые сканеру стоит обратить особое внимание и функций, которые используются для экранирования, или которые возвращают безопасные данные. Если вы не уверены, то оставьте эти поля пустыми. Данные поля нужны для тонкой настройки режима сканирования и не обязательны. Есть также поле для ввода файловых расширений отличных от *.php , например как в drupal (*.inc и *.module). Сканирование подразделяет результаты на три категории: Errors, Warnings и Notice (сделано по аналогии с PHP). Внимание нужно обращать на Errors, именно в ней содержатся строки уязвимого кода(XSS и SQL Injection). Те 95% кода, который бы стоило проверять вручную, просматривая десятки страниц, сканер отфильтровывает. Остается только устранить найденные уязвимости в категории Errors. И проверить то, что не удалось отследить. Речь идет о Warnings и Notice. В них содержаться строки кода, в которых сканер не смог найти уязвимость, но и классифицировать, как безопасные, тоже не смог.

В заключение хочу сказать, что для защиты сайта от взлома подойдут все возможности, особенно если они эффективны и не трудоемки. С XSS Сканером это просто.

Виталий, разработчик.

Мой блог находят по следующим фразам


Подпишись на обновления блога по Сайтовед по RSSRSS, RSS по EmailEmail, twitter hennertwitter!


Интересные посты на "Сайтоведе":

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>