Просто про злом сайтів

Версія для друку

Іноді в новинних стрічках то там, то тут миготять статті про злом сайтів тих чи інших організацій. Мільйони захоплюються сміливцями, які кинули виклик системі. Вони звеличують людей, які ламають портали великих корпорацій, паралізуючи їх роботу. Але це в ідеалі. На практиці ж будь-яка людина, мало-мальськи знайомий з PHP. Perl, SQL може зламати сайт середнього рівня. І справа тут не в винятковому менталітеті. Хоча, зізнатися, часом злам сайту нагадує шахову партію з безліччю варіантів ходів.

Просто з нескінченним безліччю CMS систем, платних, безкоштовних або ж самописних, по мережі поширилося і безліч всіляких дір і вразливостей. Якщо ще десятиліття тому, в еру HTML, доводилося шукати уразливість безпосередньо в HTTP-сервері. то тепер завдяки невдахою програмістам або "слабким" системним адміністраторам процес спростився донезмоги.

Я не буду описувати методику злому абстрактних інтернет-ресурсів. так як сенсу в цьому не бачу. На прикладі декількох сайтів я розповім, як виглядають типові помилки програмістів і чим вони можуть обернутися.

В Україні існує маса інтернет-магазинів. які торгують комп'ютерами і різного роду побутовою електронікою. В одну з таких організацій влаштувався мій хороший знайомий.

Я написав довгого листа про те, що необхідно виправити. Справа в тому, що на тому CMS-движку базувався не один сайт, а не менше десяти в різних регіонах України. І якби цю помилку виявив якийсь "ошпарений" товариш, то наслідки для іміджу фірми і її клієнтів могли бути незабутнє сумними.

Фахівці заперечать, мовляв, в цьому випадку паролі зашифровані MD5. Так, і це правда. Але правда полягає і в тому, що хоча MD5 неможливо на сьогоднішній день зламати, його можна обійти. У мережі існує маса словників, куди вводиться зашифрований хешкод для декодування. Єдина гарантія захистити себе від подібного злому - це використовувати складний і довгий буквено-символьний пароль.