Bezbednost internet aplikacija najvažnija je za njihovo nesmetano funkcionisanje i čuvanje informacija koje sadrže. Ako aplikacije nisu u potpunosti zaštićene i administrator koji njima upravlja ne ispunjava barem minimalne uslove za bezbednost, u nekim slučajevima može se dogoditi zlonamerni upad s katastrofalnim posledicama.
U nastavku smo pokušali da opišemo najčešće greške u bezbednosti i načine kako ih izbeći.
1. Korišćenje lozinke koju je lako pogoditi ili korišćenje iste lozinke za prijavu na različitim mestima.
Podaci za pristup imejl sandučićima moraju se čuvati pravilno i odgovorno, jer neovlašćeni pristup sandučiću može rezultirati brojnim zlonamernim radnjama, uključujući kompromitovanje vlasnika odgovarajućeg imejl sandučeta na bilo koji način.
3. Prisutnost zlonamernog i špijunskog softvera na lokalnim računarima sa kojih se pristupa hosting nalogu.
Ako je na računaru instaliran zlonamerni i špijunski softver, sve osetljive informacije mogu se snimiti (presresti) i potom iskoristiti u zlonamerne svrhe bez znanja administratora računara.
Da bi se izbegla ova situacija, računari se moraju održavati, čistiti od ove vrste špijunskog softvera i virusa, periodično se moraju skenirati antivirus programom. Posebnu pažnju treba obratiti računaru sa kog se pristupa nalogu. Ovo će eliminisati mogućnost presretanja i zloupotrebe ličnih i poverljivih podataka, kao što su korisničko ime, lozinka i drugih, koji se kasnije mogu koristiti za pristup nalogu.
4. Bezbednosni propusti CMS sistema
Neki od najčešće korišćenih CMS sistema su Joomla!, WordPress, Drupal i mnogi drugi. Ovi sistemi sadrže PHP skripte, shell fajlove itd. koji daju potpuni pristup sadržaju naloga bilo kom, bez potrebe za korisničkim imenom i lozinkom. Kao posledica toga, pomoću nekih skripti se menja sadržaj naloga, dodaju se čudni fajlovi, zlonameran kod, virusi, trojanci itd.
Da bi se izbegle takve posledice, svi instalirani PHP sistemi hosting naloga, kao i moduli i komponente koje oni koriste, uvek treba da budu ažurirani na najnoviju verziju. U poslednjim aktuelnim verzijama sistema uglavnom su uklonjeni ovakvi propusti i sistemi su zaštićeni od neovlašćenog pristupa, a samim tim i bezbednost sajta je veća.
5. Prisustvo nezaštićenih Upload formi i galerija, koje omogućavaju postavljanje skripti sa zlonamernim kodom – shell fajlova.
Ako na nalogu postoje stranice preko kojih se mogu otpremati fajlovi svakog tipa bez ograničenja i bez autorizacije (korisničko ime i lozinka), one obavezno moraju biti uklonjene ili zaštićene. Treba pregledati sve fajlove koji se nalaze u direktorijumu ovih formi i galerija. Tamo ne bi trebalo da se nalaze fajlovi tipa .txt, .php ili drugog formata koji nije slika. Ne treba samo proveravati ekstenziju otpremljenih fajlova. Na primer, kada se otpremaju samo fajlovi sa .jpg, .png, .bmp i dr. treba proveriti i da li se odgovarajući fajl podudara sa navedenom ekstenzijom. Dvostruka provera je potrebna jer se .php datoteka može preimenovati u .jpg, ali nakon što je otpremljena na server, može se pokrenuti kao .php datoteka, bez obzira na njenu ekstenziju.
6. Unos (include) fajlova koji se prosleđuju kao parametar putem URL adrese, bez bezbednosne provere da li je fajl koji se unosi iz iste aplikacije.
U ovim slučajevima, zlonamerna osoba može ubaciti (include) bilo koji fajl ili adresu i potom dobiti puni pristup nalogu.
Obično nije dobra praksa da u adresu direktno uključite (include) datoteke čije se ime prosleđuje kao parametar. Jedno rešenje je umesto toga stvoriti tabelu sa ID-jevima fajlova koji će biti ubačeni. U adresu će se precizirati ID fajla, a interno skripta određuje koju datoteku treba uključiti.
Na ovaj način, nije moguće poslati datoteku koja se razlikuje od one koja je definisana.
Ako iz bilo kog razloga unos fajla u URL adresu mora ostati, potrebno je proveriti da li se fajl nalazi na hosting nalogu i omogućiti unos samo ako je taj uslov ispunjen.
Nažalost, razni proboji bezbednosti se neće sprečiti samo sa gore navedenim merama.
Postoje i druge mogućnosti za zloupotrebu, kao što su Cross-site scripting (XSS), SQL Injection, upotreba Social engineering-a, Sniffing, i još mnogo toga. Međutim, oni se dosta ređe sreću, tako da ako sledite gore navedene preporuke, bezbednost Vašeg hosting naloga je mnogo veća, a mogućnost neovlašćenog pristupa je svedena na minimum.