Kujua njia za shambulio hukuruhusu kujenga mkakati mzuri wa ulinzi - sheria hii haifai tu kwenye duru za jeshi, bali pia kwenye wavuti. Kwa kuelewa jinsi wadukuzi wanavyodanganya tovuti, utaweza kufunga udhaifu wa rasilimali yako mapema.
Maagizo
Hatua ya 1
"Kupakia ganda kwenye wavuti" inamaanisha kutumia udhaifu kwenye wavuti kuingiza hati mbaya (ganda la wavuti) ambayo inamruhusu hacker kudhibiti tovuti ya mtu mwingine kupitia laini ya amri. Ganda rahisi la PHP linaonekana kama hii:
Hatua ya 2
Mlaghai sio lazima atengeneze ganda lake la wavuti, programu kama hizi zimeandikwa kwa muda mrefu na zina seti kubwa ya kazi. Kazi ya hacker ni kupakia ganda lililopangwa tayari kwenye wavuti, kawaida sindano za SQL na PHP hutumiwa kwa hili.
Hatua ya 3
SQL sindano hutumia makosa katika upatikanaji wa hifadhidata. Kwa kuingiza nambari yake katika ombi, hacker anaweza kupata faili za hifadhidata - kwa mfano, kuingia na nywila, data ya kadi ya benki, n.k. Sindano za PHP zinategemea makosa katika hati za PHP na huruhusu nambari ya mtu wa tatu kutekelezwa kwenye seva.
Hatua ya 4
Unajuaje ikiwa tovuti yako ina udhaifu? Inawezekana kuingiza amri kadhaa kwa mikono, nambari za usambazaji kwenye bar ya anwani, nk, lakini hii inahitaji maarifa fulani. Pia, hakuna hakikisho kwamba utajaribu kila chaguo linalowezekana. Kwa hivyo, tumia huduma maalum kwa uthibitishaji - kwa mfano, mpango wa XSpider. Huu ni mpango wa kisheria kabisa iliyoundwa kwa wasimamizi wa mtandao, kwa msaada wake unaweza kuangalia tovuti yako kwa udhaifu. Demo yake inaweza kupatikana mkondoni.
Hatua ya 5
Kuna programu nyingi za kutafuta udhaifu ulioundwa na wadukuzi. Kutumia huduma hizi, msimamizi anaweza kuangalia tovuti yake na zana zile zile ambazo zinaweza kujaribu kuibadilisha. Ili kupata zana hizi, tafuta "skana za SQL" au "skana za mazingira magumu za PHP". Mfano wa matumizi ambayo inaruhusu, mbele ya hatari ya SQL, kupata habari kutoka kwa hifadhidata, ni Havij - Zana ya sindano ya SQL ya Juu. Unaweza kuangalia tovuti yako kwa uwepo wa udhaifu wa SQL ukitumia huduma ya hacker ya NetDeviLz SQL. Udhaifu uliotambuliwa unapaswa kuondolewa mara moja.
