Аудит безопасности сайта и сервера
09.04.2013По запросу известного ресурса site.com (название изменено) был проведен аудит безопасности сайта и сервера.
Список обнаруженных уязвимостей:
Уязвимая версия FTP сервера (ProFTPD 1.3.4a)
Риск: компрометация сервера, получение root доступа
Дополнительные условия проведения атаки (у атакующего должен быть
рабочий пользовательский аккаунт в системе, работа которого ограничена
домашней директорией через помещение в chroot)
Уровень опасности: критический
Подробно: http://www.opennet.ru/opennews/art.shtml?num=32450
Рекомендуемые меры: обновление до последней актуальной версии
Уязвимая версия PHP (5.3.10.x )
Риск: Способствует проведеню ряда атак
Уровень опасности: высокий
Подробно:
http://www.cvedetails.com/vulnerability-list/vendor_id-74/product_id-128/version_id-125887/PHP-PHP-5.3.10.html
Рекомендуемые меры: обновление до последней актуальной версии
Предсказуемое расположение ресурсов http://site.com/admin/
Класс: Information Disclosure
Риск: способствует проведению ряда атак (brute force)
Уровень опасности: низкий/средний
Рекомендуемые меры: установка Basic access authentication:
AuthUserFile example.pswd
AuthName EnterPassword
AuthType Basic
require valid-user
Небезопасные настройки хостинг аккаунта (allow_url_fopen On)
Риск: Способствует проведеню ряда атак (RFI вектор)
Уровень опасности: низкий/средний
Подробно: http://www.acunetix.com/websitesecurity/php-security-3/
Рекомендуемые меры: allow_url_fopen Off