Հարձակման մեթոդների իմացությունը թույլ է տալիս կառուցել արդյունավետ պաշտպանության ռազմավարություն. Այս կանոնը արդիական է ոչ միայն բանակի շրջանակներում, այլև ինտերնետում: Հասկանալով, թե ինչպես են հակերները կոտրում կայքերը, դուք կկարողանաք նախապես փակել ձեր ռեսուրսի հնարավոր խոցելի կողմերը:
Հրահանգներ
Քայլ 1
«Արկղ կայք վերբեռնելը» նշանակում է կայքում խոցելիություն օգտագործել վնասակար սցենար (վեբ պատյան) ներարկելու համար, որը թույլ է տալիս հակերին հրամանի տողի միջոցով վերահսկել ուրիշի կայքը: PHP- ի ամենապարզ կեղևն ունի հետևյալ տեսքը.
Քայլ 2
Հակերը չպետք է ստեղծի իր վեբ վահանակը, նման ծրագրերը գրվել են շատ վաղուց և ունեն շատ մեծ գործառույթներ: Հակերների խնդիրն է պատրաստի պատյան վերբեռնել կայքը, սովորաբար դրա համար օգտագործվում են SQL և PHP ներարկումներ:
Քայլ 3
SQL ներարկումն օգտագործում է տվյալների շտեմարանի հասանելիության սխալները: Ներարկելով իր կոդը հարցման մեջ, հակերները կարող են մուտք ունենալ տվյալների շտեմարանի ֆայլեր, օրինակ ՝ մուտքեր և գաղտնաբառեր, բանկային քարտերի տվյալներ և այլն: PHP ներարկումները հիմնված են PHP գրերի սխալների վրա և թույլ են տալիս երրորդ կողմի ծածկագիրը կատարել սերվերի վրա:
Քայլ 4
Ինչպե՞ս իմանալ, որ ձեր կայքը խոցելի տեղեր ունի՞: Հնարավոր է ձեռքով մուտքագրել որոշակի հրամաններ, հասցեների շարքին մատակարարել արժեքներ և այլն, բայց դա պահանջում է որոշակի գիտելիքներ: Բացի այդ, չկա երաշխիք, որ դուք կփորձարկեք բոլոր հնարավոր տարբերակները: Հետեւաբար, ստուգման համար օգտագործեք մասնագիտացված կոմունալ ծառայություններ, օրինակ ՝ XSpider ծրագիրը: Սա բացարձակապես օրինական ծրագիր է, որը ստեղծվել է ցանցի ադմինիստրատորների համար, իր օգնությամբ դուք կարող եք ստուգել ձեր կայքի խոցելիությունները: Դրա ցուցադրումը կարելի է գտնել առցանց:
Քայլ 5
Հակերների կողմից ստեղծված խոցելի տեղերը գտնելու բազմաթիվ ծրագրեր կան: Օգտագործելով այս կոմունալ ծառայությունները, ադմինիստրատորը կարող է ստուգել իր կայքը նույն գործիքներով, որոնք կարող են փորձել կոտրել այն: Այս գործիքները գտնելու համար որոնեք «SQL սկաներներ» կամ «PHP խոցելիության սկաներներ»: Կոմունալ ծրագրի օրինակ, որը SQL խոցելիության առկայության դեպքում թույլ է տալիս տեղեկատվություն ստանալ տվյալների շտեմարանից, Havij - Advanced SQL ներարկման գործիք է: Դուք կարող եք ստուգել ձեր կայքը SQL խոցելիության առկայության համար ՝ օգտագործելով NetDeviLz SQL սկաների հակերային ծրագիրը: Բացահայտված խոցելի կողմերը պետք է անհապաղ վերացվեն:
