וואַלנעראַביליטיז זייטלעך. וועבזייַטל קאָנטראָלירונג. פּראָגראַם צו יבערקוקן די פּלאַץ פֿאַר וואַלנעראַביליטיז

וועבזייַטל זיכערהייַט אַרויסגעבן האט קיינמאָל געווען ווי אַקוטע ווי אין די 21 יאָרהונדערט. פון קורס, דעם איז רעכט צו דעם פולשטענדיק פאַרשפּרייטן פון די אינטערנעט אין כּמעט אַלע ינדאַסטריז און fields. יעדער טאָג, כאַקערז און זיכערהייַט עקספּערץ געפֿונען אַ ביסל נייַ וואַלנעראַביליטיז זייטלעך. פילע פון זיי זענען מיד פֿאַרמאַכט אָונערז און דעוועלאָפּערס, אָבער עטלעכע בלייַבן ווי איז. וואָס איז געניצט דורך די אַטאַקערז. אבער ניצן אַ כאַקט פּלאַץ קענען גרונט גרויס שאָדן צו ביידע זייַן ניצערס און די סערווערס אויף וואָס עס איז כאַוזד.

טייפּס פון זייטלעך וואַלנעראַביליטיז

ווען איר מאַכן וועב בלעטער געניצט דורך אַ פּלאַץ פון פֿאַרבונדענע עלעקטראָניש טעקנאַלאַדזשיז. עטלעכע זענען sophisticated און צייַט-טעסטעד, און עטלעכע זענען נייַ און האָבן ניט געווען וואָרן. אין קיין פאַל, עס איז שעפע פון ווערייאַטיז פון זייטלעך פון וואַלנעראַביליטיז:

• קססס. יעדער פּלאַץ האט אַ קליין פאָרעם. זיי העלפן ניצערס אַרייַן דאַטן און באַקומען אַ רעזולטאַט, רעגיסטראַציע איז געטראגן אויס אָדער שיקן אַרטיקלען. סאַבסטיטושאַן אין די פאָרעם פון ספּעציעל וואַלועס קענען צינגל די דורכפירונג פון אַ זיכער שריפט, וואָס קענען אָנמאַכן אַ הילעל פון די אָרנטלעכקייַט פון די פּלאַץ און קאַמפּראַמייזינג דאַטן.
• סקל-ינדזשעקשאַן. א זייער פּראָסט און עפעקטיוו וועג צו געווינען צוטריט צו געהיים דאַטן. דעם קענען פּאַסירן אָדער דורך די אַדרעס באַר, אָדער דורך די פאָרעם. דער פּראָצעס איז געטראגן אויס דורך סאַבסטיטוטינג די וואַלועס אַז קענען ניט זיין פילטערעד סקריפּס און אָנפֿרעג די דייטאַבייס. און מיט די געהעריק וויסן עס קענען אָנמאַכן אַ זיכערהייַט בריטש.

• די HTML טעות. כמעט די זעלבע ווי אַז פון די קססס, אָבער נישט עמבעדיד שריפט קאָד, און HTML.
• די וואַלנעראַביליטי פון זייטלעך פֿאַרבונדן מיט די פּלייסמאַנט פון טעקעס און דיירעקטעריז אין דעם ניט ויסצאָלן לאָוקיישאַנז. לעמאָשל, געוואוסט די סטרוקטור פון וועב בלעטער, איר קענען דערגרייכן די אַדמיניסטראַציע טאַפליע קאָד.
• ניט גענוגיק שוץ פון סעטאַפּ פון די אַפּערייטינג סיסטעם אויף די סערווער. אויב קיין, די וואַלנעראַביליטי איז פאָרשטעלן, דעמאָלט די אַטאַקער זאָל קענען צו ויספירן אַרבאַטרערי קאָד.
• שלעכט פּאַסווערדז. איינער פון די מערסט קלאָר ווי דער טאָג וואַלנעראַביליטיז זייטלעך - נוצן שוואַך וואַלועס צו באַשיצן זייער חשבון. ספּעציעל אויב עס איז אַ אַדמיניסטראַטאָר.
• Buffer לויפן. עס געניצט ווען ריפּלייסינג דאַטן פון די זכּרון, אַזוי אַז איר קענען מאַכן זייער אייגן אַדזשאַסטמאַנץ. עס אַקערז ווען די ינוואַלוומאַנט פון ימפּערפעקט ווייכווארג.
• ריפּלייסינג סעקשאַנז פון דיין פּלאַץ. רעקרעאַטינג אַן פּינטלעך קאָפּיע פון די וועבזייַטל דורך לאָגינג אויף צו דער באַניצער וואס קענען ניט זיין סאַספּעקטיד אַ קונץ און אַרייַן דיין פּערזענלעך דעטאַילס, נאָך עטלעכע מאָל פּאַסינג אַטאַקער.
• אָפּלייקענונג פון דינסט. בכלל דעם טערמין איז פֿאַרשטאַנען די באַפאַלן אויף די סערווער ווען עס נעמט אַ גרויס נומער פון ריקוועס אַז קענען ניט שעפּן, און נאָר "דראָפּס" אָדער ווערט ניט געקענט צו דינען די ניצערס. די וואַלנעראַביליטי ליגט אין דעם פאַקט אַז אַ יפּ פילטער איז נישט קאָנפיגורעד רעכט.

וואַלנעראַביליטי סקאַן מאַפּע

זיכערהייַט ספּעשאַליסס באגלייט אַ ספּעציעל קאָנטראָלירן פון די וועב מיטל פֿאַר ערראָרס און חסרונות וואָס קענען פירן צו קראַקינג. אַזאַ verification פּלאַץ גערופֿן פּענטעסטינג. דער פּראָצעס אַנאַליזעס די מקור קאָד געניצט דורך די קמס, די בייַזייַן פון שפּירעוודיק מאַדזשולז און פילע אנדערע טשיקאַווע טעסץ.

סקל-ינדזשעקשאַן

דעם טיפּ פון פּראָבע פּלאַץ דאַטערמאַנז צי די שריפט Filters דער באקומען וואַלועס אין דער צוגרייטונג פון ריקוועס צו די דייטאַבייס. אָנפירן אַ פּשוט פּרובירן קענען זיין מאַניואַלי. ווי צו געפינען סקל וואַלנעראַביליטי אויף די פּלאַץ? וואס וועט זיין דיסקאַסט.

לעמאָשל, עס איז אַ פּלאַץ מיין-סייַט.רף. אויף זייַן פראָנט בלאַט האט אַ קאַטאַלאָג. געגאנגען אין עס, איר קענען זייַן געפֿונען אין די אַדרעס באַר עפּעס ווי מיין-סייַט.רף /? פּראָדוקט_יד = 1. עס איז מסתּמא אַז דאָס איז אַ בקשה צו די דייטאַבייס. צו געפֿינען אַ פּלאַץ וואַלנעראַביליטיז קענען ערשטער פּרובירן צו פאַרטרעטער אין די רודערן אַ איין ציטירן. ווי אַ רעזולטאַט, זאָל זיין מייַן-סייַט.רף /? פּראָדוקט_יד = 1 '. אויב איר דריקן דעם "קום" קנעפּל אויף דעם בלאַט, אַ טעות אָנזאָג, די וואַלנעראַביליטי יגזיסץ.

איצט איר קענען נוצן פאַרשידן אָפּציעס פֿאַר דער סעלעקציע פון וואַלועס. געניצט קאָמבינאַציע אָפּערייטערז אויסנעמען, קאַמענטינג און פילע אנדערע.

קססס

דעם טיפּ פון וואַלנעראַביליטי זאל זיין פון צוויי טייפּס - אַקטיוו און פּאַסיוו.

אַקטיוו מיטל די הקדמה פון אַ שטיק פון קאָד אין די דייטאַבייס אָדער אין דער טעקע אויף די סערווער. עס איז מער געפערלעך און אַנפּרידיקטאַבאַל.

פּאַסיוו מאָדע ינוואַלווז לורינג די קאָרבן צו אַ ספּעציפיש אַדרעס פון דעם פּלאַץ אַז כּולל בייזע קאָד.

ניצן קססס אַטאַקער קען גאַנווענען קאָאָקיעס. און זיי זאל אַנטהאַלטן וויכטיק באַניצער דאַטע. אַפֿילו מער דירע קאַנסאַקווענסאַז האט סטאָלען סעסיע.

אויך, די אַטאַקער קענען נוצן די שריפט אויף די פּלאַץ אַזוי ווי צו פאָרעם אין די צייַט פון שיקן עס געגעבן דעם באַניצער די אינפֿאָרמאַציע גלייַך אין די הענט פון אַ אַטאַקער.

אַוטאָמאַטיאָן פון די זוכן פּראָצעס

די נעץ קענען געפֿינען אַ פּלאַץ פון טשיקאַווע וואַלנעראַביליטי סקאַנערז פּלאַץ. עטלעכע קומען אַליין, עטלעכע קומען מיט עטלעכע ענלעך און מערדזשד אין אַ איין בילד, ווי קאַלי לינוקס. וועט פאָרזעצן צו צושטעלן אַן איבערבליק פון די מערסט פאָלקס מכשירים צו אָטאַמייט דער פּראָצעס פון קאַלעקטינג אינפֿאָרמאַציע וועגן וואַלנעראַביליטיז.

נמאַפּ

די יזיאַסט וועבזייַטל וואַלנעראַביליטי סקאַנער אַז קענען ווייַזן דעטאַילס אַזאַ ווי די אַפּערייטינג סיסטעם געניצט פּאָרץ און באַדינונגען. טיפּיש פּראָגראַמען:

נמאַפּ -סס 127.0.0.1, ווו אַנשטאָט פון די היגע יפּ אַדרעס איז נייטיק צו פאַרטרעטער דער עמעס פּרובירן פּלאַץ.

מסקנא באַריכט אויף וואָס באַדינונגען זענען פליסנדיק אויף עס, און וואָס פּאָרץ זענען אָפֿן בייַ דעם מאָל. באַזירט אויף דעם אינפֿאָרמאַציע, איר קענען פּרובירן צו נוצן שוין ידענטיפיעד וואַלנעראַביליטי.

דאָ זענען אַ ביסל שליסלען צו אַ נמאַפּ יבערקוקן פאָרורטייל:

• -A. אַגרעסיוו יבערקוקן אַז דאַמפּט אַ פּלאַץ פון אינפֿאָרמאַציע, אָבער עס קען נעמען היפּש צייַט.
• -O. עס איז טריינג צו ידענטיפיצירן די אַפּערייטינג סיסטעם געניצט אויף דיין סערווער.
• -D. ספּוף אַ יפּ אַדרעס פון וואָס אַ טשעק איז געמאכט צו ווען איר קוק עס איז געווען אוממעגלעך צו סערווירער לאָגס צו באַשליסן ווו די באַפאַלן occurred.
• -P. די קייט פון פּאָרץ. טשעק עטלעכע באַדינונגען פֿאַר עפענען.
• -S. עס אַלאַוז איר צו ספּעציפיצירן די ריכטיק יפּ אַדרעס.

וופּסקאַן

דעם פּראָגראַם איז צו יבערקוקן די פּלאַץ פֿאַר וואַלנעראַביליטיז ינקלודעד אין קאַלי לינוקס פאַרשפּרייטונג. דיזיינד צו טשעק וועב רעסורסן אויף די וואָרדפּרעסס קמס. עס איז געשריבן אין רובי, אַזוי לויפן ווי דעם:

רובין ./וופּסקאַנ.רב --העלפּ. דעם באַפֿעל וועט ווייַזן אַלע די בנימצא אָפּציעס און אותיות.

באַפֿעלן קענען ווערן געניצט צו לויפן אַ פּשוט פּרובירן:

רובין ./וופּסקאַנ.רב --ורל some-sayt.ru

אין אַלגעמיין וופּסקאַן - שיין גרינג צו נוצן נוצן צו פּרובירן דיין פּלאַץ אויף "וואָרדפּרעסס" וואַלנעראַביליטיז.

ניקטאָ

פּראָגראַם פּלאַץ קאָנטראָלירונג פֿאַר וואַלנעראַביליטיז, וואָס איז אויך בנימצא אין קאַלי לינוקס פאַרשפּרייטונג. עס גיט שטאַרק קייפּאַבילאַטיז פֿאַר אַלע זייַן פּאַשטעס:

• יבערקוקן פּראָטאָקאָל מיט הטטפּ און הטטפּס;
• בייפּאַסינג פילע געבויט-דיטעקשאַן מכשירים;
• קייפל פּאָרט סקאַנינג, אַפֿילו אין ניט-נאָרמאַל קייט;
• שטיצן די נוצן פון פּראַקסי סערווערס;
• עס איז מעגלעך צו ינסטרומענט און קשר צאַפּן-ינס.

צו אָנהייבן ניקטאָ דאַרפֿן צו די סיסטעם האט שוין אינסטאַלירן פּערל. די סימפּלאַסט אַנאַליסיס איז געטאן ווי גייט:

פּערל nikto.pl -h 192.168.0.1.

דער פּראָגראַם קען מען "געפֿיטערט" אַ טעקסט טעקע אַז רשימות די וועב סערווער אַדרעס:

פּערל nikto.pl -h פילע.טקסט

דעם געצייַג וועט ניט בלויז הילף זיכערהייַט professionals צו אָנפירן פּענטעסט, אָבער נעץ אַדמיניסטראַטאָרס און רעסורסן צו טייַנען די געזונט זייטלעך.

בערפּ סוויט

א זייער שטאַרק געצייַג צו קאָנטראָלירן ניט בלויז די פּלאַץ, אָבער מאָניטאָרינג פון קיין נעץ. האט אַ געבויט-אין פֿונקציע פון די מאָדיפיקאַטיאָן ריקוועס זענען דורכגעגאנגען אויף די פּרובירן סערווער. קלוג סקאַנער טויגעוודיק פון אויטאָמאַטיש קוקן פֿאַר עטלעכע טייפּס פון וואַלנעראַביליטיז אין אַמאָל. עס איז מעגלעך צו ראַטעווען די רעזולטאַט פון דעם קראַנט אַקטיוויטעטן און דעמאָלט נעמענ זיכ ווידער עס. בייגיקייַט צו נישט בלויז נוצן דריט-פּאַרטיי צאַפּן-ינס, אָבער אויך צו שרייַבן דיין אייגן.

די נוצן האט זייַן אייגן גראַפיקאַל באַניצער צובינד, וואָס איז בלי באַקוועם, ספּעציעל פֿאַר אָנהייבער ניצערס.

סקלמאַפּ

מיסטאָמע די מערסט באַקוועם און שטאַרק געצייַג פֿאַר שאַרף סקל און קססס וואַלנעראַביליטיז. רשימה זייַן אַדוואַנטאַגעס קענען זייַן אויסגעדריקט ווי:

• שטיצן כּמעט אַלע מינים פון דייטאַבייס פאַרוואַלטונג סיסטעמס,
• די פיייקייַט צו נוצן זעקס יקערדיק וועגן צו באַשליסן די אַפּלאַקיישאַן און סקל-ינדזשעקשאַן;
• ניצערס באַסטינג מאָדע, זייער האַשעס, פּאַסווערדז און אנדערע דאַטן.

איידער ניצן סקלמאַפּ יוזשאַוואַלי ערשטער געפֿונען אַ שפּירעוודיק פּלאַץ דורך אַ דאָרק - פּוסט אָנפֿרעג זוכן ענדזשאַנז צו העלפן איר וויד אויס די עסטימאַטעד רעסורסן נייטיק וועב.

דעמאָלט דער אַדרעס פון דער בלאַט איז טראַנספעררעד צו די פּראָגראַם, און עס ינספּעקץ. אויב מצליח, די דעפֿיניציע פון וואַלנעראַביליטי נוצן קענען זיך און זייַן נוצן צו געווינען פול צוטריט צו די מיטל.

וועבסלייַער

א קליין נוצן אַז אַלאַוז איר צו באַפאַלן ברוט קראַפט. קענען "ברוט קראַפט" Forms פון לעבן, דער סעסיע פּאַראַמעטערס פון די פּלאַץ. עס שטיצט מאַלטי-טרעדינג, וואָס איז משפּיע די פאָרשטעלונג איז ויסגעצייכנט. איר קענען אויך קלייַבן פּאַסווערדז רעקורסיוועלי נעסטעד בלעטער. עס איז אַ פּראַקסי שטיצן.

רעסורסן פֿאַר קאָנטראָלירונג

אין דער נעץ עס זענען עטלעכע מכשירים צו פּרובירן די וואַלנעראַביליטי פון אָנליין זייטלעך:

• coder-diary.ru. פּשוט פּלאַץ פֿאַר טעסטינג. נאָר אַרייַן דעם אַדרעס, די מיטל און גיט אויף "טשעק". די זוכן זאל נעמען אַ לאַנג צייַט, אַזוי איר קענען ספּעציפיצירן אייער בליצפּאָסט אַדרעס אין סדר צו קומען אין די סוף פון דער רעזולטאַט גלייַך אין די שופלאָד פּרובירן. עס זענען וועגן 2,500 באקאנט וואַלנעראַביליטיז אין די פּלאַץ.
• https://cryptoreport.websecurity.symantec.com/checker/. אָנליין דינסט טשעק פֿאַר ססל און טלס באַווייַזן פון די פירמע סימאַנטעק. עס ריקווייערז בלויז די אַדרעס, די מיטל.
• https://find-xss.net/scanner/. די פּרויעקט איז אַ באַזונדער PHP טעקע סקאַנז וועבסיטעס פֿאַר וואַלנעראַביליטיז אָדער פּאָסטקאָד אַרטשיווע. איר קענען ספּעציפיצירן די טייפּס פון טעקעס צו זיין סקאַנד און סימבאָלס, וואָס זענען שילדיד דורך די דאַטע אין דער שריפט.
• http://insafety.org/scanner.php. סקאַננער צו פּרובירן זייטלעך אויף דער פּלאַטפאָרמע "1 ק-ביטריקס". פּשוט און ינטואַטיוו צובינד.

די אַלגערידאַם פֿאַר סקאַנינג פֿאַר וואַלנעראַביליטיז

קיין נעץ זיכערהייַט מומכע פּערפאָרמס אַ טשעק אויף אַ פּשוט אַלגערידאַם:

1. אין ערשטער עס מאַניואַלי אָדער דורך ניצן אָטאַמייטיד מכשירים אַנאַלייז צי עס זענען קיין אָנליין וואַלנעראַביליטי. אויב יאָ, דאַן עס דאַטערמאַנז זייער טיפּ.
2. דעפּענדינג אויף די מינים פאָרשטעלן וואַלנעראַביליטי טוט בויען ווייַטער באוועגט. למשל, אויב מיר וויסן דעם קמס, דעמאָלט סאַלעקטינג די צונעמען אופֿן פון באַפאַלן. אויב עס איז אַ סקל-ינדזשעקשאַן, די אויסגעקליבן קוויריז צו די דייטאַבייס.
3. די הויפּט אָביעקטיוו איז צו קריגן זוכה צוטריט צו די אַדמיניסטראַטיווע טאַפליע. אויב עס איז ניט מעגלעך צו דערגרייכן אַזאַ, אפֿשר עס ס ווערט צו פּרובירן און פאָרעם אַ שווינדל אַדרעס מיט די הקדמה פון זייַן שריפט מיט די סאַבסאַקוואַנט אַריבערפירן פון די קאָרבן.
4. אויב קיין באַפאַלן אָדער דורך FAILS, עס הייבט קאַלעקטינג דאַטן: זענען דאָרט מער וואַלנעראַביליטי וואָס חסרונות זענען פאָרשטעלן.
5. באזירט אויף די דאַטע זיכערהייַט מומחה זאגט דער פּלאַץ באַזיצער וועגן פּראָבלעמס און ווי צו האַלטן זיי.
6. וואַלנעראַביליטיז זענען ילימאַנייטאַד מיט זיין הענט אָדער מיט די הילף פון דריט-פּאַרטיי הארן.

א ביסל זיכערקייַט עצות

די וואס זענען זיך דעוועלאָפּס זייַן אייגן וועבזייַטל, וועט העלפן דעם פּשוט טרינקגעלט און טריקס.

ינקאָמינג דאַטן מוזן זיין פילטערעד אַזוי אַז די סקריפּס אָדער קוויריז קענען ניט לויפן שטיין-אַליין אָדער צו געבן דאַטן פון די דאַטאַבאַסע.

נוצן קאָמפּלעקס און שטאַרק פּאַסווערדז צו צוטריט די אַדמיניסטראַציע טאַפליע, אין סדר צו ויסמייַדן אַ מעגלעך ברוט קראַפט.

אויב די וועבזייַטל איז באזירט אויף אַ די קמס, איר דאַרפֿן ווי באַלד ווי פּראָווען פּלוגינס, טעמפּלאַטעס און מאַדזשולז קענען זיין אָפט דערהייַנטיקן עס און צולייגן. דו זאלסט נישט אָווערלאָאַד די פּלאַץ מיט ומנייטיק קאַמפּאָונאַנץ.

אָפֿט טשעק די סערווירער לאָגס פֿאַר קיין סאַספּישאַס פֿאַלן אָדער אַקשאַנז.

טשעק דיין אייגן פּלאַץ עטלעכע סקאַנערז און באַדינונגען.

די ריכטיק סערווירער קאָנפיגוראַטיאָן - דער שליסל צו זייַן סטאַביל און זיכער אָפּעראַציע.

אויב מעגלעך, נוצן אַ ססל באַווייַזן. דאס וועט פאַרמייַדן ינטערסעפּשאַן פון פּערזענלעך אָדער געהיים דאַטן צווישן די סערווער און די באַניצער.

ינסטראַמאַנץ פֿאַר זיכערהייַט. עס מאכט חוש צו ינסטאַלירן אָדער פאַרבינדן די ווייכווארג צו פאַרמייַדן ינטרוזשאַן און פונדרויסנדיק טרעץ.

סאָף

דער אַרטיקל אויסגעדרייט positive דיספּלייסמאַנט, אָבער אַפֿילו עס איז ניט גענוג צו באַשרייַבן אין דעטאַל אַלע אַספּעקץ פון נעץ זיכערהייַט. צו קאָפּע מיט די פּראָבלעם פון אינפֿאָרמאַציע זיכערהייַט, עס איז נייטיק צו לערנען אַ פּלאַץ פון מאַטעריאַלס און ינסטראַקשאַנז. און אויך צו לערנען אַ בינטל פון מכשירים און טעקנאַלאַדזשיז. איר קענען זוכן עצה און הילף פון פאַכמאַן קאָמפּאַניעס אַז ספּעשאַלייז אין פּענטעסט און קאָנטראָלירן וועב רעסורסן. כאָטש די באַדינונגען, און וועט אומקערן אין אַ גוט סומע, אַלע די זעלבע פּלאַץ זיכערהייַט קענען זיין פיל מער טייַער אין עקאָנאָמיש ווערטער און אין רעפּוטאַטיאָנאַל.