Pull to refresh
6
0
Дмитрий Белкин @belkin-labs

User

Send message

Черный список IP своими руками

Reading time 14 min
Views 20K
Совсем недавно мною была выложена статья, касающаяся безопасности сайта и, в частности, проблемы капчи и большого вопроса — можно ли от нее избавиться и как это сделать.

Обсуждение было живое и очень продуктивное. Как это довольно часто со мной бывает, в результате анализа комментариев пользователей я изменил свое мнение по весьма большому спектру вопросов, изложенных в статье.

Здесь я бы хотел подвести итог затронутой ранее столь животрепещущей темы и озвучить следующие шаги, которые я собираюсь предпринять для ее развития. Они касаются создания собственного черного списка IP адресов. Я, как всегда, ничего не утверждаю, а только предлагаю варианты.
Читать дальше →
Total votes 20: ↑8 and ↓12 -4
Comments 11

Отлаживаем правила RewriteRule, или немного об интимной жизни mod_rewrite

Reading time 13 min
Views 91K
У меня RewriteEngine всегда был довольно стрессовой темой. Только вот недавно я вдруг обнаружил, что все как-то улеглось и стало более или менее понятно. Поскольку я совершенно обычный человек, я уверен, что ситуация ошибки конфигурации веб-сервера «доставала» не одного лишь меня, и я спешу поделиться своим опытом.

Получилось нечто среднее между руководством по использованию модуля mod_rewrite и своеобразным справочником по конфигурированию веб-сервера с помощью файла .htaccess. Попутно хотелось бы заострить внимание на особо сложных или неочевидных моментах.

Предполагается, что читатель использует урл-рерайтинг в своей работе, знает, в общих чертах, что такое RewriteEngine и уже провел несколько часов за его настройкой. Эта статья не совсем для начинающих, но и не для супер-профи, конечно.

Читать дальше →
Total votes 27: ↑22 and ↓5 +17
Comments 14

Как повысить уверенность в том, что кнопка была нажата живым пользователем на сайте и избавиться от капчи?

Reading time 6 min
Views 35K
Капча всем известна. Также всем известно, что она представляет собой большую проблему и для программистов и для пользователей. Она ни тем ни другим не нравится! Ее приходится использовать по необходимости!

В этой статье я хотел бы попробовать дать анализ проблемы и способов ее решения и привести пример одного программистского метода, который я успешно использую уже много лет в своих проектах. Кроме того, мне хотелось бы сделать статью интересной для чтения самого широкого круга специалистов.

Последний предлагаемый метод спорный, но судите сами!
Читать дальше →
Total votes 46: ↑30 and ↓16 +14
Comments 78

Борьба с «плохими» URI, спамерами и php-шеллами — личный опыт

Reading time 11 min
Views 17K
Полагаю, все веб-программисты проходят в той или иной степени одинаковый путь. Я основываюсь на своем личном опыте. Для меня в начале постижения этой науки создание сайта было на первом месте. Только по прошествии значительного времени я осознал, что сайты еще и вскрывают. Прочитав, как это делается, я удивился, на сколько просто по неопытности превратить свой сайт в «проходной двор» и стал уделять безопасности определенное внимание. По крайней мере я стал фильтровать входные параметры страниц.

На втором этапе я с удивлением обнаружил, что существуют такие звери, как PHP-shell. В этом мне помог Касперский, когда заблокировал доступ к моему столь любимому сайту. Следующим откровением было то, что вскрыть могут не только вас, но и хостинг. При этом шеллы появляются на вашем сайте с удивительной регулярностью, неизвестно откуда и делают, естественно, что хотят. Например, редактируют файлы .htaccess и закрывают их редактирование для всех, в том числе и для владельца.

Все эти откровения в свое время забрали огромное количество суббот и воскресений и потребовали перехода на рерайтинг урлов, создание развернутой системы анализа входных параметров на подозрительные слова и выражения (здесь я, кстати, потерпел некоторое фиаско), создание лога параметров, передающихся методом пост, системы оповещения о подозрительных событиях, происходящих на сайте, и, наконец, разрешения запуска только скриптов со специфическим префиксом в имени, чтобы никакой другой скрипт типа template.php или wso2.php не запускался.

Что же нужно иметь ввиду и что можно сделать для создания относительно безопасного сайта?
Читать дальше →
Total votes 24: ↑15 and ↓9 +6
Comments 89

Information

Rating
Does not participate
Location
Москва и Московская обл., Россия
Date of birth
Registered
Activity