Joomla! Zabezpieczanie witryn - ebook
Joomla! Zabezpieczanie witryn - ebook
Zabezpiecz stronę opartą o Joomla!
- Na co należy zwrócić uwagę przy wyborze firmy hostingowej?
- Jak wykorzystać potencjał plików .htaccess i php.ini?
- Jak reagować na ataki hakerów?
Nikomu nie trzeba jej przedstawiać - Joomla! to wiodący system zarządzania treścią. Wśród jej zalet warto wymienić łatwość instalacji i konfiguracji, dostępność wielu dodatków oraz cenę - jest to system darmowy. Jednakże z tej popularności wynika też pewna zasadnicza wada. Mianowicie Joomla! jest łakomym kąskiem dla internetowych włamywaczy.
Dzięki tej książce dowiesz się, jak zabezpieczyć swoją stronę, opartą o ten system, przed ich działaniem. Podręcznik w kompleksowy sposób opisuje wszystkie zagadnienia związane z bezpieczeństwem Joomla! - począwszy od wyboru firmy, na której serwerach umieścisz swoją stronę, a skończywszy na tworzeniu polityki reagowania na ataki. Ponadto podczas lektury zdobędziesz ogrom wiedzy na temat dostępnych narzędzi, metodologii ataków oraz konfiguracji za pomocą plików .htaccess i php.ini. Wśród poruszanych tematów znajdziesz również te poświęcone logom serwera i wykorzystaniu szyfrowanego kanału komunikacyjnego SSL. Książka ta jest obowiązkową lekturą dla wszystkich administratorów stron internetowych opartych o system Joomla! - zarówno tych małych, jak i korporacyjnych.
- Hosting - na co zwrócić uwagę
- Wykorzystanie środowiska testowego do prowadzenia badań nad bezpieczeństwem
- Dostępne narzędzia oraz ich przeznaczenie
- Luki w systemie
- Instalacja poprawek
- Ataki typu "wstrzyknięcie kodu" oraz "RFI"
- Techniki wykorzystywane przez włamywaczy
- Konfiguracja systemu za pomocą plików .htaccess oraz php.ini
- Logi serwera - sposoby na zdobycie wiedzy o systemie
- Wdrażanie SSL
- Zarządzanie incydentami
Zapewnij bezpieczeństwo Twojej witrynie!
Prowadzisz bloga, serwis informacyjny, stronę firmową?
Dołącz do Programu Partnerskiego - Zostań wtyczką Helionu!
Spis treści
O autorze (9)
O redaktorze (11)
Przedmowa (13)
Rozdział 1. Zaczynamy (17)
- Wprowadzenie (17)
- Powszechnie używana terminologia (18)
- Wybór hostingu dostosowanego do potrzeb (19)
- Co to jest firma hostingowa? (19)
- Wybieranie firmy hostingowej (19)
- Pytania, jakie należy zadać przyszłemu dostawcy usług hostingowych (20)
- Pomieszczenia (20)
- O co zapytać dostawcę hostingu w kwestiach bezpieczeństwa? (21)
- Pytania dotyczące warunków w pomieszczeniach (21)
- Monitorowanie i ochrona lokalizacji (22)
- Instalowanie poprawek a bezpieczeństwo (22)
- Hosting współdzielony (23)
- Hosting dedykowany (25)
- Planowanie instalacji Joomla! (26)
- Jakiemu celowi ma służyć Twoja witryna? (26)
- Jedenaście kroków do udanej architektury witryny (27)
- Pobieranie systemu Joomla! (29)
- Ustawienia (30)
- .htaccess (33)
- Uprawnienia (34)
- Zarządzanie użytkownikami (35)
- Typowe błędy (35)
- Ustanawianie parametrów bezpieczeństwa (38)
- Podsumowanie (45)
Rozdział 2. Testowanie i rozwijanie witryny (47)
- Witaj w laboratorium! (48)
- Środowisko testowe (48)
- Jaki to ma związek z zabezpieczeniami? (49)
- Błędne koło aktualizowania (49)
- Tworzenie planu testów (52)
- Wykorzystanie środowiska testowego w planowaniu działań na wypadek awarii (54)
- Tworzenie dobrej dokumentacji (55)
- Korzystanie z systemu zarządzania tworzeniem oprogramowania (58)
- Raportowanie (60)
- Ravenswood Joomla! Server (62)
- Uruchamianie (63)
- Podsumowanie (64)
Rozdział 3. Narzędzia (65)
- Wprowadzenie (65)
- Narzędzia, narzędzia i jeszcze raz narzędzia (66)
- HISA (66)
- Joomla! Tools Suite with Services (72)
- Jak zdrowie? (73)
- Nmap - narzędzie do mapowania sieci ze strony insecure.org (80)
- Wireshark (82)
- Metasploit - zestaw narzędzi do testów penetracyjnych (85)
- Nessus - skaner luk (87)
- Podsumowanie (89)
Rozdział 4. Luki (91)
- Wprowadzenie (91)
- Instalowanie poprawek jest nieodzowne (93)
- Czym jest luka? (94)
- Luki związane z uszkodzeniem zawartości pamięci (95)
- Wstrzyknięcie kodu SQL (97)
- Ataki przez wstrzyknięcie poleceń (99)
- Dlaczego pojawiają się luki? (100)
- Co można zrobić, aby zapobiec lukom? (100)
- Odmowa dostępu (103)
- Niewłaściwe formatowanie zmiennych i niebezpiecznych danych wejściowych (103)
- Brak testów w zróżnicowanym środowisku (104)
- Testowanie w różnych wersjach baz SQL (104)
- Współdziałanie z rozszerzeniami niezależnych producentów (104)
- Użytkownicy końcowi (105)
- Socjotechnika (105)
- Nieregularne instalowanie poprawek i aktualizacji (106)
- Podsumowanie (107)
Rozdział 5. Anatomia ataków (109)
- Wprowadzenie (110)
- Wstrzyknięcie kodu SQL (110)
- Testowanie odporności witryny na wstrzyknięcie kodu SQL (114)
- Kilka metod zapobiegania wstrzyknięciu kodu SQL (114)
- Metoda zapobiegania wstrzyknięciu kodu SQL zalecana przez PHP.NET (115)
- Ataki RFI (116)
- Najprostszy atak (118)
- Co możemy zrobić, żeby powstrzymać atak? (118)
- Zapobieganie atakom RFI (122)
- Podsumowanie (123)
Rozdział 6. Jak to robią "źli chłopcy"? (125)
- Obecne regulacje prawne (126)
- Namierzanie celu (127)
- Poznawanie celu (128)
- Narzędzia do wykrywania luk (131)
- Nessus (131)
- Nikto - skaner luk o otwartym dostępie do kodu źródłowego (132)
- Acunetix (132)
- Nmap (133)
- Wireshark (134)
- Ping Sweep (134)
- Firewalk (134)
- Angry IP Scanner (135)
- Cyfrowe graffiti a prawdziwe ataki (137)
- Wyszukiwanie celów ataku (144)
- Co możesz zrobić? (144)
- Przeciwdziałanie (145)
- Co zrobić, jeśli firma hostingowa nie jest skłonna do współpracy? (146)
- Co zrobić, jeśli ktoś włamał się do mojej witryny i ją oszpecił? (146)
- Co zrobić, jeśli napastnik umieścił na serwerze rootkita? (147)
- Słowo na zakończenie (147)
- Podsumowanie (148)
Rozdział 7. Pliki php.ini i .htaccess (149)
- Plik .htaccess (150)
- Zmniejszanie transferu danych (151)
- Wyłączanie sygnatury serwera (151)
- Zapobieganie dostępowi do pliku .htaccess (151)
- Zapobieganie dostępowi do jakiegokolwiek pliku (151)
- Zapobieganie dostępowi do plików różnych typów (152)
- Zapobieganie nieuprawnionemu przeglądaniu katalogów (152)
- Ukrywanie rozszerzeń skryptów (153)
- Ograniczanie dostępu do sieci LAN (153)
- Udostępnianie katalogów na podstawie adresu IP i (lub) domeny (153)
- Blokowanie dostępu i zezwalanie na dostęp do domeny na podstawie przedziału adresów IP (154)
- Blokowanie hotlinkingu i zwracanie materiałów zastępczych (154)
- Blokowanie robotów, programów typu site ripper, przeglądarek offline i innych "szkodników" (155)
- Pliki, katalogi i inne elementy chronione hasłem (157)
- Aktywowanie trybu SSL za pomocą pliku .htaccess (160)
- Automatyczne ustawianie uprawnień do plików różnych typów (160)
- Ograniczanie wielkości plików w celu ochrony witryny przed atakami przez odmowę usługi (DoS) (161)
- Niestandardowe strony błędów (161)
- Udostępnianie uniwersalnej strony błędu (162)
- Zapobieganie dostępowi w określonych godzinach (162)
- Przekierowywanie żądań z danym łańcuchem znaków pod określony adres (162)
- Wyłączanie ustawienia magic_quotes_gpc na serwerach z obsługą PHP (163)
- Plik php.ini (164)
- Czym jest plik php.ini? (164)
- Jak przebiega odczytywanie pliku php.ini? (164)
- Podsumowanie (166)
Rozdział 8. Pliki dziennika (167)
- Czym dokładnie są pliki dziennika? (168)
- Nauka czytania logów (169)
- A co z tym? (170)
- Kody stanu w HTTP 1.1 (172)
- Analizowanie plików dziennika (175)
- Łańcuchy znaków z nazwą agenta (176)
- Blokowanie przedziałów adresów IP z danego kraju (177)
- Skąd pochodzi napastnik? (177)
- Konserwowanie plików dziennika (178)
- Etapy konserwowania plików dziennika (179)
- Narzędzia do przeglądania plików dziennika (180)
- BSQ-SiteStats (180)
- JoomlaWatch (181)
- AWStats (181)
- Podsumowanie (182)
Rozdział 9. SSL w witrynach opartych na Joomla! (183)
- Czym jest technologia SSL (TLS)? (184)
- Używanie SSL do nawiązywania zabezpieczonych sesji (185)
- Certyfikaty autentyczności (186)
- Uzyskiwanie certyfikatów (187)
- Procedura wdrażania SSL (188)
- SSL w systemie Joomla! (188)
- Kwestie związane z wydajnością (190)
- Inne zasoby (191)
- Podsumowanie (191)
Rozdział 10. Zarządzanie incydentami (193)
- Tworzenie polityki reagowania na incydenty (194)
- Tworzenie procedur na podstawie polityki reagowania na incydenty (197)
- Obsługa incydentu (199)
- Komunikacja z zewnętrznymi jednostkami na temat incydentów (199)
- Określanie struktury zespołu (203)
- Podsumowanie (203)
Dodatek A: Podręcznik zabezpieczeń (205)
- Spis treści podręcznika zabezpieczeń (205)
- Informacje ogólne (206)
- Przygotowywanie pakietu narzędzi (206)
- Narzędzia do tworzenia kopii zapasowej (207)
- Lista kontrolna z obszaru pomocy (207)
- Codzienne operacje (209)
- Podstawowa lista kontrolna z obszaru bezpieczeństwa (209)
- Narzędzia (210)
- Nmap (210)
- Telnet (212)
- FTP (212)
- Skanowanie pod kątem wirusów (212)
- JCheck (212)
- Zestaw narzędzi dla systemu Joomla! (213)
- Narzędzia dla użytkowników Firefoksa (213)
- Porty (214)
- Pliki dziennika (216)
- Kody stanu serwera Apache (216)
- Format CLF (218)
- Informacje o kraju - kody domen najwyższego poziomu (219)
- Lista krytycznych ustawień (227)
- Plik .htaccess (227)
- Plik php.ini (230)
- Ogólne informacje na temat serwera Apache (231)
- Lista portów (232)
- Podsumowanie (236)
Skorowidz (237)
Kategoria: | Hacking |
Zabezpieczenie: |
Watermark
|
ISBN: | 978-83-246-6943-1 |
Rozmiar pliku: | 4,7 MB |