Организация безопасности

Перед тем как вы закажите сайт у той или иной компании вы должны удостовериться, что сайт будет спроектирован с необходимым уровнем безопасности, и то, что компания исполнитель сможет его обеспечить. Уровень безопасности напрямую должен соответствовать уровню конфиденциальности информации хранимой на вашем веб-сайте. Так же сайт, в случае если на него возможны атаки типа DDoS, должен быть обеспечен специальной защитой, которая позволит увеличить стрессоустойчивость сайта.

Есть несколько способов зашиты данных вашего веб-сайта:

• прежде всего, это safe coding(безопасное программирование)
• поиск и устранение уязвимостей в скриптах, политиках безопасности
• грамотное проектирование БД
• грамотная организация работы БД, apache/ISS, php, asp.net
• специальное по, фаерволы различных типов(пр. waf)
• установка минимально возможных прав доступа на файлы
• настройка OS

Поиск уязвимостей называется словом - пентестинг.

Среди наиболее популярных уязвимостей на протяжении нескольких лет остаются:

• внедрение произвольного кода интерпретатора(ex: php injection) уровень уязвимости: Критический
• внедрение произвольного sql запроса(ex: sql injection) уровень уязвимости: Критический
• внедрение произвольного html/js кода (ex: XSS) уровень уязвимости: Средний
• обход фильтрации уровень уязвимости: Средний

Уязвимости критического уровня позволяют похитить данные с сервера, на котором храниться ваш сайт, а впоследствии и захватить управление над сервером полностью.