زیانمننې ځايونو. وېب پاڼه ګوري. د پروګرام لپاره د زیانمننې د ځای څيړنه

ویب امنيت موضوع هيڅکله په توګه په 21st century په توګه د حاد شوي دي. البته، دا ده چې تقريبا په ټولو برخو کې د صنعت او د انټرنټ جامع د خپریدو له امله. هره ورځ، هېکرانو او د امنيتي چارو کارپوهانو یو څو نوي زیانمننې ځايونه موندلي. د هغوی زيات شمېر د تړلو د خاوندانو او پرمختگپالونکي دي ژر تر ژره، خو يو شمېر پاتې ده. چې د بريد له خوا کارول کېږي. خو د هکرانو له ځای څخه استفاده کولای شي چې خپل دواړه کاروونکو او د سرور چې دا تدريس ستر زيان سبب شي.

د ځايونو زیانمننې ډولونه

کله چې تاسو د ويب پاڼې له خوا د اړوندو برېښنايي تکنالوژي کارول رامنځته کړي. ځينې عصري او وخت له پلوه ازمول شوي، او ځینې نوي دي او د دي نه اغوستل شوی. په هر صورت، هلته ده د زیانمننې ځايونو نوعي پرېمانه:

• XSS. هر ځای يوه کوچنۍ بڼه لري. دوی سره مرسته کاروونکو معلومات داخل او په پایله کې تر لاسه کړي، د ثبت ده ترسره يا پيغامونه واستوي. په د ځانګړو ارزښتونو په بڼه د عوض کولای شي د يو معلوم متن د اعدام، چې کېدای شي د سايټ د بشپړتیا او د سازباز د معلوماتو څخه سرغړونه سبب رامنځته شي.
• د ايس کيو ايل د پیچکاریو. یو ډیر عادی او اغیزمن لاره چې د محرم معلوماتو ته السرسی ترلاسه کړي. دا کولای شي چې يا د پته پټه له لارې، او یا په بڼه له لارې راځي. دغه بهیر له خوا د ارزښتونو، چې نه شي کولای سکرېپټونو چاڼ شي او د QUERY د ډیټابیس په دې بدلون ترسره کیږي. سره او د مناسب علم چي کولاي شي د امنیت سرغړونه سبب شي.

• د HTML-تېروتنه. تقریبا په همدې توګه د XSS چې، خو نه سکرېپټ د کوډ، او د HTML د وصل.
• د ځايونو سره په تلوالیزه ځایونو د دوتنې او ډایرکټرۍ د رسنېو د تړاو زیان مننې. د مثال په توګه، د ویب پاڼې د جوړښت پوه، تاسو کولای شي د اداري هيئت کوډ ته ورسيږي.
• د د د په سرور چليز غونډال تشکیلاتو ناکافي ساتنه. که هر ډول، د زیان مننی د موجود وي، نو د بريد باید د دې وړتیا د خپل سري کوډ اجرا شي.
• بد پاسورډونه. د ډیر څرګند او زیانمننې ځايونو يو - کمزوری ارزښتونو څخه د خپل حساب ساتنه وکړي. په تېره بيا که دا يو پازوال.
• ډال ته ننوزي. دا کله چې د حافظې څخه د معلوماتو پر ځای، له دې امله چې تاسو کولای شي د خپلو تعديل لپاره کار واخستل. دا وخت پېښېږي کله چې د ناوړه سافټ د لاس لرلو.
• بدلول ستاسو د ځای برخو. له خوا د ننوتلو د کارونکي چې په يو چل نه شي شکمن شي او ستاسو شخصي معلومات داخل ته، يو څه وخت په تېرېدو بريد وروسته د دغې ویب پاڼې د کره کاپي بياجوړونه.
• د خدمتونو د Denial. په عمومي ډول د دې اصطلاح پوه په سرور د برید کله چې دا تر السه کوي د غوښتنې چې نه شي سمبال یو زیات شمیر، او په ساده "څاڅکي" یا شي کولای د دغو کاروونکو ته خدمت وکړي. د زیان مننې په حقیقت چې يوه IP چاڼګر په سمه توګه نه دی شکل بندي پروت دی.

زیانمننې د رأي وېبپاڼه

امنیت کارپوهانو لپاره د غلطيو او عيب، چې کولی شي چاوديدل سبب د ويب سرچینو د ځانګړې پلټنه ترسره کړه. دا ډول تایید ځای pentesting په نامه. دا پروسه د سرچينې کوډ د CMS، د حساسو ماډلونه او نورو په زړه پورې ازموینو شتون له خوا کارول تحليلوي.

د ايس کيو ايل د پیچکاریو

د ازموینې ځای دا ډول ټاکي چې ایا سکرېپټ د د د ډیټابیس د غوښتنې په برابرولو کې د رارسیدلو ارزښتونو فلتر کوي. يوه ساده ازموينه ترسره کول کولای شي په لاسي وي. څنګه کولای شو چی په ساحه ايس کيو ايل زیان ومومي؟ څوک به بحث وشي.

د مثال په توګه، د یو ځای زما-sayt.rf شته. په خپل لومړي مخ کې لري وتړی. دا Going، تاسو کولای شی په شان زما-sayt.rf /؟ Product_id = 1 پته پټه څه وموندل شي. دا ښکاري چې دا د ډیټابیس یوه غوښتنه ده. د موندلو یو ځای زیانمننې کولای لومړی هڅه کوي چې په قطار تعویض یو واحد quote. د پایلې په توګه، باید د ماين sayt.rf /؟ Product_id = 1 'وي. که تاسو په مخ، یوه تېروتنه پېغام د "وليکئ" بټن، د زیان مننی موجوده ده.

اوس تاسو کولای شی د ارزښتونو د ټاکلو لپاره په مختلفو انتخابونو وکاروي. کارول ترکیب Operators د استثنا، تبصرې او ډیر نور.

XSS

فعال او غیرفعاله - د زیان مننی د دا ډول کېدای شي په دوه ډوله وي.

د فعالو مانا په ډیټابیس یا د په دوتنه په سرور کې د کوډ د یوه ټوټه معرفي کول. دا ډېر خطرناک او وړاندوینه.

Passive اکر شامل دي چې د ځای چې لرونکی د ناوړه کوډونه د يو ځانګړي ادرس قرباني راګیروی.

د کارولو XSS بريد کولای غلا ککوړي. کېدای شي هغوی د مهم کارن مالومات لري. نور د ناوړو پايلو حتی دی غونډه غلا شوي دي.

همدارنګه، د بريد کولای شي د متن په ساحه تر څو د دا د کارونکي په مستقيمه توګه د يو بريد په لاس کې د معلوماتو د ورکړې د استولو په وخت کې جوړ وکاروي.

د لټون پروسه اتومات

دغه شبکه کولای شي د زړه زیان مننی د سکنر ځای ډېر پيدا کړي. ځينې يوازې راځي، د ځينو سره د څو ورته راشي او مدغم په یوه واحد انځور، لکه هنریار لینوکس. به دوام ته د تر ټولو مشهور وسیلې کتنه د زیانمننې په اړه د معلوماتو د راټولولو پروسه سیستم اتوماتیک برابر کړي.

Nmap

د اسانه ویب زیان مننی د سکنر چې کولای شي تفصیل لکه د چليز غونډال کارول بندرونو او خدمتونو وښيي. نمونه غوښتنې:

nmap -sS 127.0.0.1، چې پر ځای د ځايي IP پته ضروري ده چې د اصلي ازموینه ځای تعویض.

پر هغه څه چې د خدمتونو په دا کانديد دي، او کوم بندرونو پایله راپور په دې وخت کې پرانيستي دي. دې معلوماتو په بنياد، تاسو کولای هڅه لا په ګوته زیان وکاروي.

دلته د يوه nmap سکن تعصب يو څو کلي ګانې دي:

• الف. تیري سکن چې د زياتو معلوماتو د غورځول، خو دا ښايي د پام وړ وخت ونيسي.
• -O. دا هڅه کوي چې د چليز غونډال کارول د خپل سرور د په ګوته کړي.
• -D. يوه IP پته د څخه چې د چک دی چې کله چې تاسو د کتلو دا ناشونې وه چې د سرور يادښتونه چې معلومه کړي چې د برید کړې Spoof.
• -p. د بندرونو لړ. لپاره خلاص څو خدمتونه ګوري.
• -S. دا تاسو ته اجازه صحيح IP پته دی ځانګړی کړی.

WPScan

دا پروګرام دا دی چې د زیانمننې په هنریار لینوکس ویش شامل ځای څيړنه. طرح پر WordPress CMS ويب منابعو وګورئ. دا په ياقوتو لیکل شوي، د دې په شان دومره پرمخ:

ياقوتو ./wpscan.rb --help. دا امر به ټولو شته امکاناتو او تورو وښيي.

امر کولای شي د يو ساده ټسټ لپاره کارېدلی شي:

ياقوتو ./wpscan.rb --url some-sayt.ru

په عمومي WPScan - ښایسته اسانه ټولګټې وکاروي پر "WordPress" زیانمننې د خپل ځای وازمايي.

Nikto

پروګرام ګورتځای لپاره د زیانمننې، چې دی هم په هنریار لینوکس ویش موجود وګوري. دا د خپلو ټولو ساده غښتلي وړتیاوې داسې صراحت لري:

• سره HTTP او HTTPS رأي پروتوکول؛
• جوړ کشف ډیر وسایل په څنګ؛
• څو بندر سکن، حتی په غیر معیاري لړ؛
• د نیابتي سرور د استعمال او ملاتړ؛
• دا ممکنه ده چې د پلي کولو او په تړاو پلګ-د تيلې.

د nikto اړتیا سيستم لګول شوی دی Perl پيل کړي. د ساده تحليل په لاندې توګه ترسره:

Perl nikto.pl -h 192.168.0.1.

دغه پروګرام کولی شي چې "پوزې" شي د يو متن دوتنه چې د ويب سرور پته لست:

Perl nikto.pl -h file.txt

دا وسیله به نه یوازې د امنیتي مسلکي کسانو سره مرسته وکړي چې د Pentest ترسره کړي، خو د شبکې اداري او سرچينې چې د روغتيا ځايونه وساتي.

Burp Suite

يو ډير قوي وسیله وګورئ نه يوازې د ځای، خو د هرې شبکې د څارنې. د د بدلون غوښتنو جوړ په دنده شوي دي په ازموينه سرور وفات شو. د سمارټ سکنر د په يو وخت په اتوماتيک ډول د زیانمننې څو ډوله وګوري وړتيا لري. دا ممکنه ده چې د اوسني د فعاليتونو له امله د ژغورلو او بيا پيل شي. انعطاف ته نه یوازې د دریمې ډلې د پلګ-د تيلې وکاروي، خو هم د خپل ولیکئ.

د ټولګټې د خپلو کښنیز کارن برسیر، چې د ده له شکه مناسب، په ځانګړي ډول د novice کاروونکي لري.

SQLmap

ښایي د ايس کيو ايل او XSS زیانمننې په لټه کې تر ټولو مناسب او ځواکمنه وسيله. ګټي لست په توګه څرګند شي:

• د ملاتړ تقريبا د ډیټابیس مدیریت د نظام د هر ډول؛
• د شپږ اساسي لارو د غوښتنلیک او د ايس کيو ايل د پیچکاریو معلومولو استعمال توان؛
• کارنان د ډوکه اکر، خپل hashes، شفرونه او نور مالومات.

مخکې SQLmap کارولو معمولا لومړۍ یو dork له لارې یو منونکو ځای موندل - خالي نه خوری د لټون انجن تاسو ته د اټکل منابع ضروري ويب ليکې سره مرسته وکړي.

بيا د پاڼې پته ده چې د دې پروګرام ته سپارل، او دا پلټنه کوي. که بریالی، د زیان مننی د ټولګټې د تعریف کولای شي په خپله او د هغې د استعمال د منابعو ته پوره لاس رسي پيدا کړي.

Webslayer

يوه کوچنۍ ټولګټې چې تاسو ته اجازه BRUTE ځواک برید وکړي. کوالی شي "BRUTE ځواک" د ژوند ډولونه، د ځای په غونډه پارامترونو. دا مرسته کوي څو threading، چې اغيزه د کړنو دی وڅېړئ. همدا راز تاسو کولی شفرونه recursively کې Nested مخونه غوره کړي. د پراکسي ملاتړ شتون لري.

د چک د سرچینو

په شبکه کې د آنلاین ځايونو د زیان مننی د امتحان څو وسایل شتون لري:

• coder-diary.ru. د آزموینی لپاره ساده ځای. پته، د سرچینو يوازې داخل او پر "وګورئ" کلیک وکړی. د لټون ښايي د اوږد وخت ونيسي، نو تاسو کولی شئ په موخه په مستقیم ډول په د مېزه په ازموينه کې د په پایله کې په پای کې راځي خپل ایمیل ادرس مشخص. په ځای په اړه 2،500 مشهور زیانمننې شتون لري.
• https://cryptoreport.websecurity.symantec.com/checker/. د ایس ایس او د سند په شرکت Symantec څخه انالین خدمت پوستې. دا یوازې د پته، د منابعو ته اړتیا لري.
• https://find-xss.net/scanner/. دغه پروژه د يو جلا PHP دوتنې لپاره د زیانمننې او يا ZIP آرشيف ویب سکين کوي. تاسو کولای شی د دوتنې سکين کيږي او سمبولونه، چې په متن د ارقامو له خوا بچ دي ډولونه مشخص.
• http://insafety.org/scanner.php. سکنر پر پلاتفورم "1c-Bitrix" ځايونو وازمايي. ساده او حسي ليدنمخ.

لپاره د زیانمننې سکن الګوریتم

هر شبکه امنيت متخصص ترسره کوي په یوه ساده الګوریتم چيک:

1. په لومړي سر کې دا په لاسي یا د اتومات وسیلې په کارولو سره تحلیل که کوم آنلاین زیان مننی د شته دي. که هو، نو د خپل ډول ټاکي.
2. پوری د نوعو کی موجود زیان مننی د نور حرکت جوړوي. د بېلګې په توګه، که موږ د CMS د پوه، نو د برید د مناسب ميتود د انتخابولو. که دا يو ايس کيو ايل د پیچکاریو، د ډیټابیس د ټاکل پوښتنو.
3. اصلي موخه دا ده چې د اداري هيئت ته امتياز لاسرسي تر لاسه کړي. که دا ممکنه ډول تر لاسه کړې نه وه، ښايي دا په ارزښت د هڅه سره سره د قرباني ورپسې د انتقال د هغه د متن د معرفي يو جعلي پته جوړوي.
4. هلته ډیر زیان چې عيب موجود دي: که د هر برید او یا نفوذ ونشي، دا لکه د معلوماتو د راټولولو.
5. پر بنسټ د معلوماتو د امنیت کارپوه وايي د ستونزو او څنګه د حل د هغوی په اړه د قالب خاوند.
6. زیانمننې سره د هغه لاسونه او یا د دریمې ډلې د بادارانو په مرسته له منځه دي.

يو څو ټکي د خونديتوب

هغه کسان دي چې د ځان د خپل ویب رامینځ ته کولو، له دې ساده ټکي او چل سره به مرسته وکړي.

راتلونکي معلومات بايد فلتر شي، تر څو د سکرېپټونو يا پوښتنو نه یوازې ولاړ ترپ يا له ډیټابیس مالومات ورکړي.

تر څو د ممکنه BRUTE ځواک د مخنيوي د ادارې کمېسيون لاسرسی، پیچلي او قوي شفرونه استفاده وکړئ.

که د ویب پاڼه په یوه د CMS پر بنسټ، چې تاسو څومره ژر چې ثابته فلګونو، چوکاټونه او ماډلونه کولای شي په وار وار وي اوسمهال کړه او درخواست ته اړتيا لري. آيا سره د غیر ضروري برخو د ځای نه راځي.

اکثرا د شکمنې پېښې یا عملونو د سرور يادښتونه وګورئ.

خپل ځای څو سکنر او خدمتونو وګورئ.

د صحيح پالنګر د شکل - خپل باثباته او خوندي عملياتو د مهمو.

د امکان په صورت، د یو ایس سند وکاروي. دا به د شخصي یا محرم معلومات د سرور او د کارونکي تر منځ خمنیوی مخنیوی وکړي.

د امنيت د وسایلو. دا کار د لګولو يا د سافټ ویر ته تجاوز او بهرني ګواښونو د مخنيوي لپاره سره نښلوي احساس.

پایلې

په دې ماده کې مثبت ځایه بدل، خو آن دا چې په تفصيل سره د شبکې د امنيت د ټولو اړخونو د تشريح کافي نه ده. سره د معلوماتو د امنیت د ستونزې سره مقابله، دا ضروري ته د موادو او الرښوونې ډېر زده ده. او همدارنګه د وسایلو او ټکنالوژۍ د يوه ډله زده کړي. تاسو کولای مشوره وغواړئ او له مسلکي شرکتونو چې په Pentest او تفتيش ويب منابعو متخصص سره مرسته وکړي. که څه هم دا خدمتونه، او به يو ښه اندازه اړوي، ټول ورته د سیمې د امنیت کیدای شي د اقتصادي پلوه او د حیثیت د ډير زيات ګران.