Коментарі спеціаліста FS-group: захист даних від крадіжки можливий при регулярному оновленні сайту і діагностиці вразливостей. При цьому діркиі можна знайти на будь-якому сайті. Це може бути сайт соціальної мережі, великі портали також мають різні дірки в безпеці. Найбільш популярний спосіб проникнення на сайт - це sql-ін'єкція. Всі дані зберігаються в базах даних. Додатки отримує різні запити, щоб змінювати, видаляти дані. І при недостатній перевірці даних, які ми отримуємо від користувачів, можна впровадити якийсь власний sql-запит.

Чим це небезпечно? Тим, що впроваджуючи свій власний запит, можна отримати доступ до деяких даних, до яких доступу бути не повинно. Таким чином можна отримати доступ до адміністративної панелі. Також можна внести якийсь шахрайский код в базу даних і в результаті будуть показуватися рекламні оголошення на сайті. Також можна повністю скопіювати базу даних до себе на комп'ютер і потім використовувати то в своїх цілях. Або просто недоброзичливці можуть банально видалити базу і сайт буде просто недоступний.

Втрати від такого проникнення може бути найбільш серйозним і найбільш небезпечним. Наступний момент, який потрібно враховувати - це недоліки системи аутентифікації і зберігання сесій. Ця частина пов'язана з куками. Доступ до цих даних можна отримати декількома способами. В основі авторизації лежать сесійні куки. Після введення пароля користувач може заходити на сайт без введення пароля. Через вразливість можна отримати доступ до кукам користувача і зайти на сайт під його обліковим записом. Щоб захистити облікові записи. можна додатково вводити перевірку по ip адресою. Так не вийде отримати авторизацію тільки одним з'єднанням. Також є інші способи атак, які дозволяють отримати доступ до сайту. Крім баз даних можуть впроваджуватися html-ділянки коду. Даний вид атаки також пов'язаний з помилкою валідації призначених для користувача даних, з недостатньою обробкою даних при виведенні і це теж дуже серйозний вид атаки. Такий вид атаки також дозволяє завантажити куки. Для більшої інформації звертайтеся у FS-group.