E-book details

Joomla! Zabezpieczanie witryn

Joomla! Zabezpieczanie witryn

Tom Canavan

Ebook

Zabezpiecz stronę opartą o Joomla!

  • Na co należy zwrócić uwagę przy wyborze firmy hostingowej?
  • Jak wykorzystać potencjał plików .htaccess i php.ini?
  • Jak reagować na ataki hakerów?

Nikomu nie trzeba jej przedstawiać — Joomla! to wiodący system zarządzania treścią. Wśród jej zalet warto wymienić łatwość instalacji i konfiguracji, dostępność wielu dodatków oraz cenę — jest to system darmowy. Jednakże z tej popularności wynika też pewna zasadnicza wada. Mianowicie Joomla! jest łakomym kąskiem dla internetowych włamywaczy.

Dzięki tej książce dowiesz się, jak zabezpieczyć swoją stronę, opartą o ten system, przed ich działaniem. Podręcznik w kompleksowy sposób opisuje wszystkie zagadnienia związane z bezpieczeństwem Joomla! — począwszy od wyboru firmy, na której serwerach umieścisz swoją stronę, a skończywszy na tworzeniu polityki reagowania na ataki. Ponadto podczas lektury zdobędziesz ogrom wiedzy na temat dostępnych narzędzi, metodologii ataków oraz konfiguracji za pomocą plików .htaccess i php.ini. Wśród poruszanych tematów znajdziesz również te poświęcone logom serwera i wykorzystaniu szyfrowanego kanału komunikacyjnego SSL. Książka ta jest obowiązkową lekturą dla wszystkich administratorów stron internetowych opartych o system Joomla! — zarówno tych małych, jak i korporacyjnych.

  • Hosting — na co zwrócić uwagę
  • Wykorzystanie środowiska testowego do prowadzenia badań nad bezpieczeństwem
  • Dostępne narzędzia oraz ich przeznaczenie
  • Luki w systemie
  • Instalacja poprawek
  • Ataki typu "wstrzyknięcie kodu" oraz "RFI"
  • Techniki wykorzystywane przez włamywaczy
  • Konfiguracja systemu za pomocą plików .htaccess oraz php.ini
  • Logi serwera — sposoby na zdobycie wiedzy o systemie
  • Wdrażanie SSL
  • Zarządzanie incydentami

Zapewnij bezpieczeństwo Twojej witrynie!


Prowadzisz bloga, serwis informacyjny, stronę firmową?
Dołącz do Programu Partnerskiego - Zostań wtyczką Helionu!

O autorze (9)

O redaktorze (11)

Przedmowa (13)

Rozdział 1. Zaczynamy (17)

  • Wprowadzenie (17)
  • Powszechnie używana terminologia (18)
  • Wybór hostingu dostosowanego do potrzeb (19)
    • Co to jest firma hostingowa? (19)
    • Wybieranie firmy hostingowej (19)
    • Pytania, jakie należy zadać przyszłemu dostawcy usług hostingowych (20)
    • Pomieszczenia (20)
    • O co zapytać dostawcę hostingu w kwestiach bezpieczeństwa? (21)
    • Pytania dotyczące warunków w pomieszczeniach (21)
    • Monitorowanie i ochrona lokalizacji (22)
    • Instalowanie poprawek a bezpieczeństwo (22)
    • Hosting współdzielony (23)
    • Hosting dedykowany (25)
  • Planowanie instalacji Joomla! (26)
    • Jakiemu celowi ma służyć Twoja witryna? (26)
    • Jedenaście kroków do udanej architektury witryny (27)
  • Pobieranie systemu Joomla! (29)
    • Ustawienia (30)
  • .htaccess (33)
  • Uprawnienia (34)
    • Zarządzanie użytkownikami (35)
  • Typowe błędy (35)
    • Ustanawianie parametrów bezpieczeństwa (38)
  • Podsumowanie (45)

Rozdział 2. Testowanie i rozwijanie witryny (47)

  • Witaj w laboratorium! (48)
    • Środowisko testowe (48)
    • Jaki to ma związek z zabezpieczeniami? (49)
    • Błędne koło aktualizowania (49)
    • Tworzenie planu testów (52)
    • Wykorzystanie środowiska testowego w planowaniu działań na wypadek awarii (54)
    • Tworzenie dobrej dokumentacji (55)
    • Korzystanie z systemu zarządzania tworzeniem oprogramowania (58)
  • Raportowanie (60)
  • Ravenswood Joomla! Server (62)
    • Uruchamianie (63)
  • Podsumowanie (64)

Rozdział 3. Narzędzia (65)

  • Wprowadzenie (65)
  • Narzędzia, narzędzia i jeszcze raz narzędzia (66)
    • HISA (66)
    • Joomla! Tools Suite with Services (72)
    • Jak zdrowie? (73)
    • Nmap - narzędzie do mapowania sieci ze strony insecure.org (80)
    • Wireshark (82)
    • Metasploit - zestaw narzędzi do testów penetracyjnych (85)
    • Nessus - skaner luk (87)
  • Podsumowanie (89)

Rozdział 4. Luki (91)

  • Wprowadzenie (91)
  • Instalowanie poprawek jest nieodzowne (93)
  • Czym jest luka? (94)
    • Luki związane z uszkodzeniem zawartości pamięci (95)
    • Wstrzyknięcie kodu SQL (97)
    • Ataki przez wstrzyknięcie poleceń (99)
    • Dlaczego pojawiają się luki? (100)
    • Co można zrobić, aby zapobiec lukom? (100)
    • Odmowa dostępu (103)
    • Niewłaściwe formatowanie zmiennych i niebezpiecznych danych wejściowych (103)
    • Brak testów w zróżnicowanym środowisku (104)
    • Testowanie w różnych wersjach baz SQL (104)
    • Współdziałanie z rozszerzeniami niezależnych producentów (104)
  • Użytkownicy końcowi (105)
    • Socjotechnika (105)
    • Nieregularne instalowanie poprawek i aktualizacji (106)
  • Podsumowanie (107)

Rozdział 5. Anatomia ataków (109)

  • Wprowadzenie (110)
  • Wstrzyknięcie kodu SQL (110)
    • Testowanie odporności witryny na wstrzyknięcie kodu SQL (114)
    • Kilka metod zapobiegania wstrzyknięciu kodu SQL (114)
    • Metoda zapobiegania wstrzyknięciu kodu SQL zalecana przez PHP.NET (115)
  • Ataki RFI (116)
    • Najprostszy atak (118)
    • Co możemy zrobić, żeby powstrzymać atak? (118)
    • Zapobieganie atakom RFI (122)
  • Podsumowanie (123)

Rozdział 6. Jak to robią "źli chłopcy"? (125)

  • Obecne regulacje prawne (126)
  • Namierzanie celu (127)
  • Poznawanie celu (128)
  • Narzędzia do wykrywania luk (131)
    • Nessus (131)
    • Nikto - skaner luk o otwartym dostępie do kodu źródłowego (132)
    • Acunetix (132)
    • Nmap (133)
    • Wireshark (134)
    • Ping Sweep (134)
    • Firewalk (134)
    • Angry IP Scanner (135)
    • Cyfrowe graffiti a prawdziwe ataki (137)
  • Wyszukiwanie celów ataku (144)
  • Co możesz zrobić? (144)
  • Przeciwdziałanie (145)
    • Co zrobić, jeśli firma hostingowa nie jest skłonna do współpracy? (146)
    • Co zrobić, jeśli ktoś włamał się do mojej witryny i ją oszpecił? (146)
    • Co zrobić, jeśli napastnik umieścił na serwerze rootkita? (147)
  • Słowo na zakończenie (147)
  • Podsumowanie (148)

Rozdział 7. Pliki php.ini i .htaccess (149)

  • Plik .htaccess (150)
    • Zmniejszanie transferu danych (151)
    • Wyłączanie sygnatury serwera (151)
    • Zapobieganie dostępowi do pliku .htaccess (151)
    • Zapobieganie dostępowi do jakiegokolwiek pliku (151)
    • Zapobieganie dostępowi do plików różnych typów (152)
    • Zapobieganie nieuprawnionemu przeglądaniu katalogów (152)
    • Ukrywanie rozszerzeń skryptów (153)
    • Ograniczanie dostępu do sieci LAN (153)
    • Udostępnianie katalogów na podstawie adresu IP i (lub) domeny (153)
    • Blokowanie dostępu i zezwalanie na dostęp do domeny na podstawie przedziału adresów IP (154)
    • Blokowanie hotlinkingu i zwracanie materiałów zastępczych (154)
    • Blokowanie robotów, programów typu site ripper, przeglądarek offline i innych "szkodników" (155)
    • Pliki, katalogi i inne elementy chronione hasłem (157)
    • Aktywowanie trybu SSL za pomocą pliku .htaccess (160)
    • Automatyczne ustawianie uprawnień do plików różnych typów (160)
    • Ograniczanie wielkości plików w celu ochrony witryny przed atakami przez odmowę usługi (DoS) (161)
    • Niestandardowe strony błędów (161)
    • Udostępnianie uniwersalnej strony błędu (162)
    • Zapobieganie dostępowi w określonych godzinach (162)
    • Przekierowywanie żądań z danym łańcuchem znaków pod określony adres (162)
    • Wyłączanie ustawienia magic_quotes_gpc na serwerach z obsługą PHP (163)
  • Plik php.ini (164)
    • Czym jest plik php.ini? (164)
    • Jak przebiega odczytywanie pliku php.ini? (164)
  • Podsumowanie (166)

Rozdział 8. Pliki dziennika (167)

  • Czym dokładnie są pliki dziennika? (168)
  • Nauka czytania logów (169)
    • A co z tym? (170)
  • Kody stanu w HTTP 1.1 (172)
  • Analizowanie plików dziennika (175)
    • Łańcuchy znaków z nazwą agenta (176)
    • Blokowanie przedziałów adresów IP z danego kraju (177)
    • Skąd pochodzi napastnik? (177)
  • Konserwowanie plików dziennika (178)
    • Etapy konserwowania plików dziennika (179)
  • Narzędzia do przeglądania plików dziennika (180)
    • BSQ-SiteStats (180)
    • JoomlaWatch (181)
    • AWStats (181)
  • Podsumowanie (182)

Rozdział 9. SSL w witrynach opartych na Joomla! (183)

  • Czym jest technologia SSL (TLS)? (184)
    • Używanie SSL do nawiązywania zabezpieczonych sesji (185)
    • Certyfikaty autentyczności (186)
    • Uzyskiwanie certyfikatów (187)
  • Procedura wdrażania SSL (188)
    • SSL w systemie Joomla! (188)
  • Kwestie związane z wydajnością (190)
  • Inne zasoby (191)
  • Podsumowanie (191)

Rozdział 10. Zarządzanie incydentami (193)

  • Tworzenie polityki reagowania na incydenty (194)
  • Tworzenie procedur na podstawie polityki reagowania na incydenty (197)
    • Obsługa incydentu (199)
    • Komunikacja z zewnętrznymi jednostkami na temat incydentów (199)
    • Określanie struktury zespołu (203)
  • Podsumowanie (203)

Dodatek A: Podręcznik zabezpieczeń (205)

  • Spis treści podręcznika zabezpieczeń (205)
  • Informacje ogólne (206)
    • Przygotowywanie pakietu narzędzi (206)
    • Narzędzia do tworzenia kopii zapasowej (207)
    • Lista kontrolna z obszaru pomocy (207)
    • Codzienne operacje (209)
    • Podstawowa lista kontrolna z obszaru bezpieczeństwa (209)
  • Narzędzia (210)
    • Nmap (210)
    • Telnet (212)
    • FTP (212)
    • Skanowanie pod kątem wirusów (212)
    • JCheck (212)
    • Zestaw narzędzi dla systemu Joomla! (213)
    • Narzędzia dla użytkowników Firefoksa (213)
  • Porty (214)
  • Pliki dziennika (216)
    • Kody stanu serwera Apache (216)
    • Format CLF (218)
    • Informacje o kraju - kody domen najwyższego poziomu (219)
  • Lista krytycznych ustawień (227)
    • Plik .htaccess (227)
    • Plik php.ini (230)
  • Ogólne informacje na temat serwera Apache (231)
  • Lista portów (232)
  • Podsumowanie (236)

Skorowidz (237)

  • Title: Joomla! Zabezpieczanie witryn
  • Author: Tom Canavan
  • Original title: Joomla! Web Security
  • Translation: Roman Gryzowski, Tomasz Walczak
  • ISBN: 978-83-246-6943-1, 9788324669431
  • Date of issue: 2012-12-05
  • Format: Ebook
  • Item ID: joozaw
  • Publisher: Helion