Back to Question Center
0

Սեմալտ փորձագետ. Կայսրության հաքերներից կայք պաշտպանելու ուղիները

1 answers:
7) Մարդկանց մեծամասնությունը կարծում է, որ իրենց կայքէջը ոչ մի կարեւոր բան չունի խոչընդոտելու համար: Կայքը կարող է լինելվիրավորվել է հակերից, օգտագործելու սերվերը `սպամի փոխանցման կամ այն ​​որպես ժամանակավոր սերվեր օգտագործելու անօրինական ֆայլեր: Հակերները թիրախ են կայքումսերվերներ, որոնք կօգտագործեն bitcoins, գործել որպես botnets կամ պահանջարկը փրկագնման. Հաքերները օգտագործում են ավտոմատացված սցենարներ, որպեսզի փորձեն ինտերնետը խախտելօգտագործել ծրագրային ապահովման խոցելիությունը:

Ստորեւ բերված են Իգոր Գամանենկոյի պատրաստած մի քանի խորհուրդներ Semalt Հաճախորդների հաջողության մենեջեր, ձեզ եւ ձեր կայքը պաշտպանելու համար:

Ժամանակակից ծրագրակազմ

7) սերվերի գործառնական ծրագրային ապահովման եւ ցանկացած աջակցման ծրագրային ապահովումը պետք է պարբերաբար թարմացվի:Ծրագրային ապահովման ցանկացած խոցելիություն հակերներին ավելի հեշտ լուծում է տալիս, կանխելու եւ ցուցադրելու իրենց վատ շարժառիթները: Եթե ​​հոստինգ ընկերությունն է կառավարումձեր կայքը, ապա դուք ոչինչ չունեք անհանգստանալու համար, քանի որ հյուրընկալող ընկերությունը պետք է հոգա վեբ անվտանգության մասին: Բոլոր երրորդ կողմի ծրագրերը պետք է լինենպարբերաբար թարմացվում են նոր անվտանգության պատյաններ կիրառելու համար:

SQL ներարկում

Հաքերները օգտագործում են ներարկման հարձակումները կայքի շահագործման տվյալների շտեմարանի շահագործման համար: Օգտագործելով ստանդարտTransact SQL- ը հեշտացնում է անտեղյակ կերպով չարամիտ կոդեր մտցնել այնպիսի հարցման մեջ, որը կարող է օգտագործվել աղյուսակների շահագործման կամ տվյալների ջնջման համար: ԴեպիԽուսափեք սա, միշտ օգտագործեք պարամետրավորված հարցումներ, ինչպիսիք են ստորեւ նկարագրվածը.

$ stmt = $ pdo-> պատրաստել ('SELECT * FROM աղյուսակը WHERE column =: value');

$ stmt-> execute (array ('value' => $ parameter));

Cross site scripting

7) հարձակումների այս ձեւերը ներխուժում JavaScript կոդեր վեբ էջում, որըինտերնետով աշխատող բրաուզերների վրա անանուն կերպով աշխատում է եւ կարող է փոխել վեբ բովանդակությունը կամ գողանալ զգայուն տեղեկատվություն հաքեր ուղարկելու համար:.Կայքադմինիստրատորը պետք է ապահովի, որ օգտվողները չեն կարող հաջողությամբ բովանդակել JavaScript- ի բովանդակությունը ձեր էջում: Օգտագործելով գործիքներ, ինչպիսիք են Բովանդակության անվտանգությունըՔաղաքականությունը ուղղորդում է վեբ զննարկիչը սահմանափակելու համար, թե ինչպես եւ ինչով է զբաղվում JavaScript- ում:

Սխալ հաղորդագրությունները

7) Կայքի ադմինիստրատորը պետք է զգույշ լինի ձեր ցուցադրվող տեղեկատվության վրասխալ հաղորդագրություններ: Միայն ձեզ թույլ տվեք սահմանափակ սխալներ թույլ տալ, որպեսզի նրանք ձեր սերվերներում նման գաղտնի տվյալներ չտրամադրենգաղտնաբառերը կամ API- ի ստեղները:

Փաստեր

Ծայրահեղ կարեւոր է օգտագործել Ձեր սերվերներին կամ բարդ գաղտնաբառերըկայքերի վարչության բաժինը: Օգտագործողները նույնպես պետք է խրախուսվեն ուժեղ գաղտնաբառեր օգտագործել իրենց հաշիվները ապահովելու համար: Ընդհանուր առմամբ,փոքրատառերը, թվերը եւ հատուկ նիշերը անվտանգ գաղտնաբառ են: Գաղտնաբառերը պետք է պահվեն, օգտագործելով hashing ալգորիթմը: Կայքանվտանգությունը կարող է ուժեղացնել, օգտագործելով նոր եւ յուրահատուկ աղ մեկ գաղտնաբառով:

Ֆայլի բեռնումներ

7) Հաքերային փորձի կանխարգելման համար նպատակահարմար է խուսափել վերբեռնված ուղիղ մուտքիցֆայլեր: Ձեր կայքի վերբեռնված ցանկացած ֆայլ պետք է պահվի Webroot- ից դուրս գտնվող առանձին թղթապանակում: Այլ սցենար պետք է լինիստեղծել ֆայլեր մասնավոր թղթապանակից եւ օգտվել բրաուզերից:

HTTPS

Սա արձանագրություն է, որը ապահովում է անվտանգությունը վեբի վրա: Այն երաշխավորում է այն օգտվողներիննրանք հասանելի են սերվերին, որոնք սպասում են, եւ ոչ մի հակեր չի կարող խափանել բովանդակությունը, որոնք անցնում են: Վարկավորումն աջակցող կայքքարտերը կամ այլ վճարման ձեւերը պետք է օգտագործեն ցանկացած օգտագործողի խնդրանքով ուղարկված վավերական բլիթներ: Սա օգնում է նույնականացնել պահանջները, որոնք կփակվենհեռու հարձակումները:

Օգտագործեք կայքի անվտանգության միջոցները

Երբ կատարում եք բոլոր վերը նշված միջոցները, ստուգեք Ձեր վեբ կայքերի անվտանգությունըվճռական: Այն լավագույնս իրականացվում է ներթափանցման փորձարկման գործիքների օգտագործմամբ, որոնք ներառում են Netsparker, OpenVAS, Security Headers.io եւ Xenotix XSSExploit Framework- ը: Գործիքների օգտագործման արդյունքները բերում են պոտենցիալ մտահոգությունների լայն շրջանակ եւ հնարավոր առաջադեմ լուծումներ:

November 28, 2017
Սեմալտ փորձագետ. Կայսրության հաքերներից կայք պաշտպանելու ուղիները
Reply