Осторожно скрипты для uCoz - Форум
Включить музыку | Вторник, 06 Дек 2016, 11.13.52| Главная | Регистрация | Вход
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Архив - только для чтения
Форум » Корзина » Архив » Безопасность » Осторожно скрипты для uCoz
Осторожно скрипты для uCoz
veterokuaДата: Пятница, 11 Ноя 2011, 6.29.34 | Сообщение # 1
Генерал-полковник
Группа: Администраторы
На форуме с: 11 Окт 2009
Награды: 93
Сообщений: 1647
< >
Статус:
~ Мои награды ~
Перед началом поиска скриптов и шаблонов для uCoz стоит это прочитать. Всем известно, что система проста в использовании и очень подходит для новичков, коих очень много. Новичков совсем не разбирающихся в javascript и HTML. Это руководство посвящено именно им, потенциальным жертвам недобросовестных кодеров и дизайнеров, а так же недобросовестным администраторам сайтов, раздающих элементы дизайна для сайтов uCoz

Как распространяется вредоносный код по сайтам uCoz

В основном вредоносный код распространяется через сайты, раздающие бесплатно скрипты и шаблоны, а так же рипы шаблонов для uCoz.
Мошенниками или недобросовестными вебмастерами создаются ресурсы, куда в
открытый доступ выкладываются интересующие пользователей объекты. Оттуда всё копируется и разносится по ресурсам со схожей тематикой. Иногда мошенники сами распространяют свои зараженные объекты по подобным сайтам, особенно по тем, где разрешено постить новости простым пользователям и где плохая модерация.
Всё это рассчитано в первую очередь на новичков и на совершенно не понимающих
ничего в HTML и javascript. В раздаваемые элементы дизайна, а так же в готовые скрипты
вставляется вредоносный код, и неопытные пользователи просто копируют с
сайта источника все что там есть неглядя и вставляют к себе, и вот тут возникают проблемы
Таким же образом в виде вставок распространяется спам и различные виды накруток или
посещаемости некоторых сайтов или накруток просмотров рекламы.
Самыми популярными разносчиками вредоносного кода являются так
называемые скрипты: Статистика онлайн пользователей, Статистика
посетивших сайт за сегодняшний день (это относится к шаблонам информеров). Форма входа и Профиль пользователя в
блоке Так же модно раздавать доп.функции в мини-чат и менять вид сообщений в чате, то же касается опросов. Так же иногда раздают вредоносный код вместе с часами и календарями

Как отличить зараженный скрипт или элемент дизайна

На самом деле ничего непонимающему в HTML человеку сложно обнаружить и вычистить код из скопированного, но некоторые меры предосторожности стоит знать.

1) Не стоит доверять сайтам раздающим готовые скрипты и элементы дизайна, если они не публикуют содержимое рабочих элементов и если они не дают на скачку содержимое и картинки, а просто выкладывают на копирование при этом код
Code

<script type="text/javascript"> src="адрес чужого сайта/1.js"</script>

будет подгружаться с произвольного инородного адреса. А подобная подгрузка - это внешний url в коде, это зависимость страницы от работы сайта-транслятора и зависимость от содержимого скрипта, которое всегда может быть изменено на стороне. Стоит крайне осторожно относиться к коду подобного типа

2) Не стоит доверять сайтам не дающим на скачивание графику, которая должна вставляться в элементы дизайна. Конечно легче скопировать и вставить готовое, но после этого получиться, что вы погружаете несколько десятков картинок с чужих внешних хостов. И опять же зависите от работоспособности сайтов-трансляторов, а так же от наличия картинок. Их всегда можно удалить без вашего ведома, и тогда вся графика у вас на странице "отвалится". И тоже нехорошо в смысле оптимизации, если у вас в коде будет присутствовать 100500 внешних URL в виде картинок

3) Особенно не стоит доверять сайтам раздающим рипы чужих шаблонов. Вот как раз там и встречается львиная доля и вредоносного кода уже любезно вшитого в шаблон, а так же такие рипы просто напичканы поисковым спамом. Остерегайтесь таких элементов в шаблонах:

Code

width="0";
heigth="0";


а также

Code

position:absolute;
display;none;


4) При осмотре понравившегося элемента дизайна внимательно осматривайте код на наличие следующих iframe вставок:

Code

<iframe src="Произвольный адрес сайта.ru" width="0" heigth="0" style="display:none"></iframe>


а это разновидность однопиксельного ифрейма
Code

vaf iframe_0 = document.createElement('iframe');
  iframe_0.width=1;
  iframe_0.src="Произвольный адрес.ru";
  iframe_0.style.visibility = "hidden";
  iframe_0.heigth=1;
  document.body.appendChild(iframe_0);


5) Никогда не ставьте к себе на страницы закодированный код, особенно если не можете его полностью раскодировать, а потом вскрыть все элементы и проверить содержимое. Бойтесь как огня кода такого типа, особенно если не умеете его распаковывать

Code

<script type="text/javascript">
<!--
eval(function(p,a,c,e,d)...
</script>


Если встретите подобные кодировки без возможности с вашей стороны раскодировать, вскрыть и проверить все элементы тоже никогда не берите
Code

document.write(usercape('%3A...тут может быть очень длинный набор подобных символов...3A%45'));


Код последнего типа может вызываться подобным javascript

Code

<script type="text/javascript"> src="адрес чужого сайта/1.js"</script>


Узнать содержимое подобного javascript можно просто скопировав вот эту часть
http://адрес чужого сайта.ru/1.js и вставив её в адресную строку браузера, ну и нажать кнопку перейти надо не забыть. Так вы увидите содержимое. Если там будет закодированный код. Скрипт на сайт не ставим

6) Никогда не ставьте на свои страницы различные блоки с красивыми картинками типа: Необходимый софт. Скачай себе браузер. Блок Скачай игры и так далее. В общем все что связанно со скачкой. Раздающие такие блоки с красивыми картинками могут не только раздать вам вместе с блоком вредоносный код, спам, спам картинками, но самое главное они потенциально наживаются на вашем ресурсе. Скачивания там происходят с депозита и летибита и конечно же закачки засчитываются не вам. Вы же просто у себя держите для красоты этот мусор, спам, возможно вредоносный код, а владельцы подсчитывают закачки и барыши. И опять же, вы скорее всего не проверяете на себе содержимое блоков. Если невмоготу без мусора, то ссылки на скачки перебить на свои, а картинки перезалить к себе в фаловый менеджер, а так же проверить код на наличие опасных элементов о которых говорилось выше

7) Часы, Календари, Погладь котЭ, Покорми хомяка, Флеш-баннеры "друзей" и прочие флешки
Стоит очень опасаться флеш-элементов подобного типа, и чем меньше их будет - тем лучше. Лучше всего брать такое только с крупных сайтов специализирующихся на этом. Флеш вообще очень опасен и тяжел, опасен в том плане, что содержимое могут скомпилировать с уже вшитым вредоносным кодом. Если объект вызывается скриптом, то его стоит вскрыть (как описано выше) и проверить на наличие вышеуказанных опасных элементов.

Так же не увлекайтесь сторонними информерами, баннерами и кнопками

Если вы ничего не поняли из написанного, но есть непреодолимая тяга к сбору различных элементов дизайна и функционала, то перед копированием и вставкой всегда можно попросить проверить найденное на наличие вредоносносных вставок или спама или тут в комментариях или на форуме uCoz в этой теме
И всегда помните о том, что главное не переусердствовать с облагораживанием своего ресурса. Ведь сделанный такими старанием сайт может превратиться в говносайт.



Источник материала:
http://webanet.ucoz.ru/publ/26-1-0-445

 
Форум » Корзина » Архив » Безопасность » Осторожно скрипты для uCoz
Страница 1 из 11
Поиск:
Последние сообщения на форуме
Посетители дня
Посетители:

В гостях у Белчонки © 2016