Опасности грозящие вашему сайту

Никогда не забывайте подумать об опасностях, грозящих вашему сайту. Мысленно воспроизведите ту или иную атаку и попытайтесь оценить вероятность ее удачного завершения. Например, если злоумышленник планирует украсть финансовую информацию, то сможет ли он сделать это, получив доступ к ресурсам Web-сервера? Существует бесконечное множество подобных ситуаций, когда злоумышленник, скомпрометировавший сервер, начинает распоряжаться информацией о ваших клиентах. Где бы ни была расположена эта информация, хакер не должен получить к ней доступ. Не допускайте появления в системе таких узлов, компрометация которых может привести к взлому остальных компонентов сайта и к разрушению информационных процессов между ними. В планировании необходимо отмечать все неблагоприятные сценарии развития событий и по мере того, как будут находиться решения той или иной проблемы, пересматривать остальные ситуации в соответствии с новым «стандартом качества». Приведем пример сценария развития событий: если злоумышленник воспользуется недавно обнаруженной ошибкой в программном обеспечении и получит доступ к ресурсам Web-сервера, то какие еще подсистемы при этом могут быть скомпрометированы? Недавно один мой клиент столкнулся с похожей проблемой. Во взломе Web-сервера хакер использовал ошибку, связанную с кодировкой Unicode (чтобы лучше понять, о чем идет речь, посмотрите на сайте. В результате был получен доступ к файловой системе компьютера, загружен «троянский» вирус, расшифрован файл паролей и получен администраторский доступ к системе. К несчастью для моего клиента, скомпрометированная машина являлась контроллером домена, образующего демилитаризованную зону Web-серверов.