హానికారకాలు సైట్లు. వెబ్సైట్ తనిఖీ చేస్తోంది. ప్రోగ్రామ్ వలయాలను సైట్ స్కాన్

వెబ్సైట్ భద్రత సమస్య 21 వ శతాబ్దంలో తీవ్రమైన ఎన్నడూ. కోర్సు యొక్క, ఈ దాదాపు అన్ని పరిశ్రమలు మరియు రంగాల్లో ఇంటర్నెట్ సమగ్ర వ్యాప్తికి కారణం. ప్రతి రోజు, హ్యాకర్లు మరియు భద్రతా నిపుణులు కొన్ని కొత్త వలయాలను సైట్లు కనుగొనబడలేదు. వాటిని చాలా వెంటనే మూసి యజమానులు మరియు డెవలపర్లు ఉంటాయి, కానీ వంటి కొన్ని ఉంటాయి. ఏ దాడి ద్వారా ఉపయోగిస్తారు. కానీ ఒక హ్యాక్ సైట్ ఉపయోగించి దాని వినియోగదారులు మరియు అది ఉంచారు దీనిలో సర్వర్లకు రెండు గొప్ప హాని కలిగిస్తుంది.

సైట్లు వలయాలను రకాలు

మీరు సంబంధిత ఎలక్ట్రానిక్ సాంకేతిక చాలా ఉపయోగించిన వెబ్ పేజీలను సృష్టించడానికి చేసినప్పుడు. కొన్ని అధునాతన మరియు సమయం పరీక్షించిన ఉన్నాయి, మరియు కొన్ని కొత్త మరియు ధరిస్తారు కాలేదు. ఏ సందర్భంలో, ప్రమాదాలతో సైట్లు రకాలు పుష్కలంగా ఉంది:

• XSS. ప్రతి సైట్ ఒక చిన్న రూపం ఉంది. వారు వినియోగదారులను డేటాను నమోదు మరియు ఫలితంగా పొందడానికి, నమోదు నిర్వహిస్తుంది లేదా సందేశాలు పంపండి సహాయం. ప్రత్యేక విలువలు రూపంలో ప్రతిక్షేపణ రాజీ డేటా సైట్ సమగ్రతను మరియు ఉల్లంఘనగా కారణమయ్యే ఒక నిర్దిష్ట స్క్రిప్ట్ అమలు, ఏర్పడగలదు.
• SQL ఇంజెక్షన్. రహస్య డేటా పొందటం చాలా సాధారణ మరియు సమర్థవంతమైన మార్గం. ఈ సంభవించవచ్చు చిరునామా బార్ ద్వారా, లేదా రూపం ద్వారా గాని. ప్రక్రియలో ఫిల్టర్ సాధ్యం కాదని స్క్రిప్ట్స్ మరియు డేటాబేస్ ప్రశ్నించడానికి విలువలు బదులుగా ద్వారా నిర్వహిస్తారు. మరియు సరైన విజ్ఞానం తో ఒక భద్రత ఉల్లంఘన కారణమవుతుంది.

• HTML లోపం. XSS ఆ, వాస్తవంగా అదే కానీ స్క్రిప్ట్ కోడ్, మరియు HTML ఎంబెడెడ్.
• డిఫాల్ట్ ప్రాంతాల్లో ఫైళ్ళు మరియు డైరెక్టరీల ప్లేస్ సంబంధం సైట్లు దాడిని. ఉదాహరణకు, వెబ్ పేజీల నిర్మాణం తెలుసుకోవడం, మీరు పరిపాలన ప్యానెల్ కోడ్ చేరతాయి.
• సర్వర్ ఆపరేటింగ్ సిస్టమ్ యొక్క సెటప్ కొరవడటంతో రక్షణ. పథంలో ఉంది ఏ ఉంటే, అప్పుడు దాడి అనియత కోడ్ అమలు ఉండాలి.
• బాడ్ పాస్వర్డ్లను. అత్యంత స్పష్టమైన వలయాలను సైట్లు ఒకటి - వారి ఖాతాను రక్షించుకోవడానికి బలహీనమైన విలువలు ఉపయోగించండి. ముఖ్యంగా ఇది ఒక నిర్వాహకుడు.
• బఫర్ ఓవర్ఫ్లో. మీరు వారి స్వంత సర్దుబాట్లు చేయడానికి వీలుగా, మెమరీ నుండి డేటా స్థానంలో ఉన్నప్పుడు దీనిని ఉపయోగిస్తారు. ఇది ఉన్నప్పుడు సరిగాలేని సాఫ్ట్వేర్ ప్రమేయం ఏర్పడుతుంది.
• మీ సైట్ యొక్క విభాగాలు స్థానంలో. కొంత సమయం ప్రయాణిస్తున్న దాడి తర్వాత, ఒక ట్రిక్ అనుమానం ఎవరు కాదు మరియు మీ వ్యక్తిగత వివరాలు ఎంటర్ వినియోగదారుకు న లాగింగ్ ద్వారా వెబ్సైట్ యొక్క ఖచ్చితమైన కాపీని పునః.
• సేవ యొక్క తిరస్కరణ. అది నిర్వహించలేని అభ్యర్ధనలను పెద్ద సంఖ్యలో పొందుతుంది, మరియు కేవలం "పడిపోతుంది" లేదా ఈ వినియోగదారులు అందించడం సాధ్యం అవుతుంది సాధారణంగా ఈ పదం సర్వర్ పై దాడి అర్థం చేసుకోవచ్చు. దాడిని ఒక IP వడపోత సరిగా కన్ఫిగర్ చేయబడలేదు వాస్తవం ఉంది.

దాడిని స్కాన్ సైట్

సెక్యూరిటీ నిపుణులు పగుళ్లను దారితీస్తుంది లోపాలు మరియు లోపాలు కోసం వెబ్ వనరు యొక్క ప్రత్యేక ఆడిట్ నిర్వహించారు. pentesting అని ఇటువంటి ధృవీకరణ సైట్. ప్రక్రియలో CMS, సున్నితమైన గుణకాలు మరియు అనేక ఇతర ఆసక్తికరమైన పరీక్షలు ఉనికిని ద్వారా ఉపయోగిస్తారు సోర్స్ కోడ్ విశ్లేషిస్తుంది.

SQL ఇంజెక్షన్

పరీక్ష సైట్ యొక్క ఈ రకం స్క్రిప్ట్ డేటాబేస్ అభ్యర్థనలను తయారీ అందుకున్న విలువలు ఫిల్టర్లు లేదో నిర్ణయిస్తుంది. ఒక సాధారణ పరీక్ష నిర్వహించడం మానవీయంగా ఉంటుంది. ఎలా సైట్లో SQL దాడిని కనుగొనేందుకు? ఎవరు చర్చించారు ఉంటుంది.

ఉదాహరణకు, ఒక సైట్ నా-sayt.rf ఉంది. తన మొదటి పుటలో ఒక కేటలాగ్ ఉంది. ఇది వెళ్లడానికి, మీరు నా-sayt.rf /? product_id = 1 వంటి చిరునామా బార్ ఏదో చూడవచ్చు. ఇది ఈ డేటాబేస్ ఒక అభ్యర్థన ఉన్నట్లు ఉంది. కనుగొనడానికి ఒక సైట్ ప్రమాదాలతో మొదటి వరుసగా ఒకే కోట్ ప్రత్యామ్నాయంగా ప్రయత్నించవచ్చు. ఫలితంగా, గని sayt.rf /? product_id = 1 'ఉండాలి. మీరు పేజీ, ఒక దోష సందేశం న "Enter" బటన్ నొక్కిన చో, బలహీనతని ఉంది.

ఇప్పుడు మీరు విలువల ఎంపిక కోసం వివిధ ఎంపికలు ఉపయోగించవచ్చు. వాడిన కలయిక ఆపరేటర్లు మినహాయింపులు, వ్యాఖ్యానించింది మరియు అనేక ఇతరులు.

XSS

చురుకుగా మరియు నిష్క్రియాత్మక - బలహీనతని ఈ రకం రెండు రకాల ఉండవచ్చు.

Active డేటాబేస్ లేదా ఫైలు సర్వర్ లో కోడ్ యొక్క భాగాన్ని పరిచయం అర్థం. ఇది మరింత ప్రమాదకరమైన మరియు ఊహించలేము.

నిష్క్రియాత్మక మోడ్ హానికరమైన కోడ్ను కలిగి సైట్ యొక్క ఒక నిర్దిష్ట చిరునామాకు బాధితుడు అట్టిపెట్టుకోవడం ఉంటుంది.

XSS దాడి ఉపయోగించి కుకీలు దొంగతనం కాలేదు. మరియు వారు ముఖ్యమైన వినియోగదారు డేటాను కలిగి ఉండవచ్చు. విషమించి పరిణామాలు సెషన్ దొంగిలించారు.

అలాగే, దాడి చేసే వ్యక్తి దీన్ని నేరుగా దాడి చేసే చేతుల్లోకి యూజర్ సమాచారం ఇచ్చారు పంపే సమయంలో ఏర్పాటు చేసే విధంగా సైట్లో స్క్రిప్ట్ ఉపయోగించవచ్చు.

శోధన ప్రక్రియ ఆటోమేషన్

నెట్వర్క్ ఆసక్తికరమైన దాడిని స్కానర్లు సైట్ చాలా వెదుక్కోవచ్చు. కొన్ని ఒంటరిగా వచ్చి, కొన్ని పలు ఇలాంటి తో వస్తాయి మరియు కాళి Linux వంటి ఒక చిత్రం విలీనమైంది. ప్రమాదాలను గురించి సమాచారాన్ని సేకరించే ప్రక్రియను యాంత్రీకరణలో అత్యంత ప్రాచుర్యం ఉపకరణాలు యొక్క అవలోకనాన్ని అందించడం కొనసాగుతుంది.

Nmap

వంటి ఆపరేటింగ్ సిస్టమ్ ఉపయోగిస్తారు పోర్ట్సు మరియు సేవలు వివరాలను చూపించు సులభమయిన వెబ్సైట్ దాడిని స్కానర్. సాధారణ అనువర్తనాల్లో:

స్థానిక IP చిరునామా అవసరం బదులుగా ఇక్కడ Nmap -sS 127.0.0.1, రియల్ పరీక్ష సైట్ ప్రత్యామ్నాయంగా.

ఏమి సేవలు ఇది పోర్టుల ఇది అమలు, మరియు ముగింపు నివేదిక ఈ సమయంలో తెరుస్తారు. ఈ సమాచారం ఆధారంగా, మీరు ఇప్పటికే గుర్తించింది బలహీనతని ఉపయోగించడానికి ప్రయత్నించవచ్చు.

ఇక్కడ ఒక Nmap స్కాన్ పక్షపాతానికి కొన్ని కీలు ఉన్నాయి:

• -A. సమాచారం చాలా కురిపించింది ఆ దూకుడు స్కాన్, కానీ అది గణనీయమైన సమయం పట్టవచ్చు.
• -O. ఇది మీ సర్వర్లో ఉపయోగించే ఆపరేటింగ్ సిస్టమ్ గుర్తించడానికి ప్రయత్నిస్తున్నారు.
• -D. ఒక చెక్ దాడి జరిగిన సర్వర్ లాగ్లను గుర్తించడానికి దానిని అసాధ్యం చూసేటప్పుడు చేసిన ఇది నుండి ఒక IP చిరునామా స్పూఫ్.
• -p. పోర్టుల పరిధి. ఓపెన్ అనేక సేవలు తనిఖీ చేస్తోంది.
• -S. ఇది మీరు సరైన IP చిరునామా తెలుపుటకు అనుమతించును.

WPScan

ఈ కార్యక్రమం కాళి Linux పంపిణీలో చేర్చబడిన వలయాలను సైట్ స్కాన్ ఉంది. WordPress CMS న వెబ్ వనరులు తనిఖీ చేయడానికి రూపొందించబడింది. అది ఈ వంటి అమలు, రూబీ లో వ్రాసిన:

రూబీ ./wpscan.rb --help. ఈ ఆదేశం అన్ని అందుబాటులో ఎంపికలు మరియు అక్షరాలు కనిపిస్తాయి.

కమాండ్ ఒక సాధారణ పరీక్ష అమలు ఉపయోగించవచ్చు:

రూబీ ./wpscan.rb --url some-sayt.ru

సాధారణ WPScan లో - అందంగా "బ్లాగు" వలయాలను మీ సైట్ పరీక్షించడానికి వినియోగ ఉపయోగించడానికి సులభమైన.

Nikto

ప్రోగ్రామ్ సైట్ కూడా కాళి Linux పంపిణీలో అందుబాటులో ఉంది దుర్బలత్వం కోసం తనిఖీ. ఇది అన్ని దాని సరళత కోసం శక్తివంతమైన సామర్థ్యాలు అందిస్తుంది:

• HTTP మరియు HTTPS తో స్కాన్ ప్రోటోకాల్;
• అనేక అంతర్నిర్మిత గుర్తింపును టూల్స్ తప్పించుకుంటూ;
• బహుళ పోర్టు స్కానింగ్ కూడా ప్రామాణికం కాని పరిధిలో;
• ప్రాక్సీ సర్వర్ల వినియోగాన్ని మద్దతు;
• దాన్ని అమలు మరియు కనెక్షన్ ప్లగ్-ఇన్లు సాధ్యమే.

వ్యవస్థ ఇన్స్టాల్ perl చెయ్యబడింది nikto అవసరం ప్రారంభించడానికి. ఈ క్రింది విధంగా సరళమైన విశ్లేషణ నిర్వహిస్తారు:

perl nikto.pl -h 192.168.0.1.

కార్యక్రమం "ఫెడ్" వెబ్ సర్వర్ చిరునామా జాబితా ఒక టెక్స్ట్ ఫైలు:

perl nikto.pl -h file.txt

ఈ సాధనం మాత్రమే Pentest నిర్వహించడం భద్రతా నిపుణులు సహాయం చేస్తుంది, కానీ నెట్వర్క్ నిర్వాహకులు మరియు వనరులను ఆరోగ్య సైట్లు నిర్వహించడానికి.

burp సూట్

చాలా శక్తివంతమైన సాధనం మాత్రమే సైట్, కానీ ఏ నెట్వర్క్ పర్యవేక్షణ తనిఖీ. మార్పు అభ్యర్థనలు ఒక అంతర్నిర్మిత ఫంక్షన్ పరీక్ష సర్వర్లో విధించాయి చేసింది. స్వయంచాలకంగా ఒకేసారి ప్రమాదాలతో అనేక రకాల కోసం చూడండి సామర్థ్యం స్మార్ట్ స్కానర్. ఇది ప్రస్తుత కార్యకలాపాలు ఫలితంగా సేవ్ మరియు తరువాత దీన్ని తిరిగి అవకాశం ఉంది. ఫ్లెక్సిబులిటీ మాత్రమే మీ స్వంత రాయడానికి మూడవ పార్టీ ప్లగ్-ఇన్లను ఉపయోగించడానికి, కానీ కూడా.

వినియోగ ముఖ్యంగా అనుభవం లేని వినియోగదారులు కోసం, నిస్సందేహంగా సౌకర్యవంతంగా ఉంటుంది, ఇది దాని సొంత గ్రాఫికల్ యూజర్ ఇంటర్ఫేస్ కలిగి ఉంది.

SQLmap

బహుశా SQL మరియు XSS వలయాలను శోధనకు అత్యంత అనుకూలమైన మరియు శక్తివంతమైన సాధనం. దాని ప్రయోజనాలు జాబితా వ్యక్తం చేయవచ్చు:

• మద్దతు డేటాబేస్ నిర్వహణ వ్యవస్థలు దాదాపు అన్ని రకాల;
• అప్లికేషన్ మరియు SQL ఇంజెక్షన్ గుర్తించడానికి ఆరు ప్రాథమిక మార్గాలు ఉపయోగించే సామర్థ్యం;
• వినాశనం మోడ్, వారి హష్లు, పాస్వర్డ్లు మరియు ఇతర డేటా వాడుకరులు.

మీరు అంచనా వనరులు అవసరమైన వెబ్ నిర్మూలించే సహాయం ఖాళీ ప్రశ్న శోధన ఇంజిన్లు - SQLmap ఉపయోగించి ముందు సాధారణంగా మొదటి ఒక dork ద్వారా ఒక అవకాశం సైట్ దొరకలేదు.

ఆపై పేజీ చిరునామా కార్యక్రమం బదిలీ, మరియు అది inspects. విజయవంతమైన ఉంటే, దాడిని వినియోగ యొక్క నిర్వచనం ఒక్కటే దాని ఉపయోగం వనరు పూర్తిగా యాక్సెస్ చేయవచ్చు.

Webslayer

మీరు బ్రూట్ ఫోర్స్ దాడికి అనుమతించే ఒక చిన్న యుటిలిటీ. జీవితం యొక్క "బ్రూట్ ఫోర్స్" రూపాలు, సైట్ యొక్క సెషన్ పారామితులు చెయ్యవచ్చు. ఇది పనితీరు అద్భుతమైన ఉంది ప్రభావితం చేస్తుంది ఇది మల్టీ-త్రెడింగ్, మద్దతు. మీరు కూడా పాస్వర్డ్లను తిరిగి సంభవించేలా యున్న పేజీలు ఎంచుకోవచ్చు. ప్రాక్సీ మద్దతు ఉంది.

తనిఖీ కోసం వనరుల

నెట్వర్క్ లో ఆన్లైన్ సైట్లు దాడిని పరీక్షించడానికి అనేక ఉపకరణాలు ఉన్నాయి:

• coder-diary.ru. పరీక్ష కోసం సాధారణ సైట్. జస్ట్ చిరునామా, వనరు ఎంటర్ మరియు "తనిఖీ" క్లిక్ చేయండి. శోధన కాలం పట్టవచ్చు, కాబట్టి మీరు నేరుగా సొరుగు పరీక్ష ఫలితంగా చివరిలో వచ్చిన క్రమంలో మీ ఇమెయిల్ చిరునామా పేర్కొనవచ్చు. సైట్ లో 2,500 తెలిసిన ప్రమాదాల ఉన్నాయి.
• https://cryptoreport.websecurity.symantec.com/checker/. కంపెనీ సిమాంటెక్ నుండి SSL మరియు TLS సర్టిఫికెట్ కోసం ఆన్లైన్ సర్వీస్ చెక్. ఇది మాత్రమే చిరునామా, వనరు అవసరం.
• https://find-xss.net/scanner/. ప్రాజెక్ట్ ఒక ప్రత్యేక PHP ఫైలు వలయాలను లేదా జిప్ ఆర్కైవ్ కోసం వెబ్సైట్లు స్కాన్ ఉంది. మీరు లిపిలో డేటా ఉంటారని ఇది స్కాన్ ఫైళ్లు మరియు చిహ్నాలు రకాల పేర్కొనవచ్చు.
• http://insafety.org/scanner.php. వేదిక "1C-Bitrix" సైట్ల పరీక్షించడానికి స్కానర్. సులభమైన మరియు స్పష్టమైన ఇంటర్ఫేస్.

వలయాలను స్కానింగ్ కోసం అల్గోరిథం

ఏ నెట్వర్క్ భద్రతా నిపుణుడు ఒక సాధారణ అల్గోరిథం ఒక చెక్ అమలు:

1. మొదట్లో మానవీయంగా లేదా స్వయంచాలక పరికరాలు ఉపయోగించి ఏ ఆన్లైన్ దాడిని ఉన్నాయి లేదో విశ్లేషించడానికి. అవును అయితే, అప్పుడు అది వారి రకం నిర్ణయిస్తుంది.
2. జాతుల మీద ఆధారపడి ప్రస్తుత దాడిని మరింత కదులుతుంది రూపొందించారు. ఉదాహరణకు, మేము CMS తెలిస్తే, అప్పుడు దాడి తగిన పద్ధతి ఎంచుకోవడం. అది ఒక SQL ఇంజెక్షన్, డేటాబేస్ ఎంపిక ప్రశ్నలు ఉంటే.
3. ప్రధాన లక్ష్యం అడ్మినిస్ట్రేటివ్ పానెల్ విశేష ప్రవేశాన్ని పొందటానికి ఉంది. ఇది సాధించడానికి సాధ్యం కాదు ఉంటే, బహుశా అది ప్రయత్నించండి మరియు బాధితుడి తదుపరి బదిలీ తో తన స్క్రిప్ట్ ప్రవేశంతో ఒక నకిలీ చిరునామా ఏర్పాటు ఉపయోగకరమని.
4. అక్కడ లోపాలు ఉండే మరింత బలహీనతని ఉన్నాయి: ఏ దాడి లేదా వ్యాప్తి విఫలమైతే, అది డేటా సేకరించడం ప్రారంభించారు.
5. డేటా భద్రతా నిపుణుడు ఆధారంగా సమస్యలు మరియు వాటిని ఎలా పరిష్కరించడానికి గురించి సైట్ యజమాని చెప్పారు.
6. హానికారకాలు తన చేతులతో లేదా మూడవ-పార్టీ మాస్టర్స్ సహాయంతో తొలగించబడుతుంది.

కొన్ని భద్రతకు చిట్కాలు

స్వీయ తన సొంత వెబ్సైట్ అభివృద్ధి వారికి, ఈ సాధారణ చిట్కాలు మరియు ట్రిక్స్ సహాయం చేస్తుంది.

స్క్రిప్ట్స్ లేదా ప్రశ్నలు స్టాండ్-ఒంటరిగా అమలు కాదు కాబట్టి లేదా డేటాబేస్ నుండి డేటా ఇవ్వాలని ఇన్కమింగ్ డేటా ఫిల్టర్ చేయాలి.

సాధ్యమయ్యే బ్రూట్ ఫోర్స్ తొలగించడానికి, పరిపాలన ప్యానెల్ యాక్సెస్ క్లిష్టమైన మరియు బలమైన పాస్వర్డ్లను ఉపయోగించండి.

వెబ్ సైట్ ఒక CMS ఆధారంగా, మీరు వెంటనే నిరూపితమైన ప్లగిన్లు, టెంప్లేట్లు మరియు గుణకాలు తరచూ ఉంటుంది వంటి అది అప్డేట్ మరియు దరఖాస్తు అవసరం. అనవసరమైన భాగాలు సైట్ Overload లేదు.

తరచుగా సర్వర్ లాగ్లను తనిఖీ అనుమానాస్పద సంఘటనలు లేదా చర్యలు కోసం.

మీ సొంత వెబ్ సైట్ కొన్ని స్కానర్లు మరియు సేవలు తనిఖీ.

సరైన సర్వర్ కాన్ఫిగరేషన్ - దాని స్థిరమైన మరియు సురక్షితంగా ఆపరేషన్ కీ.

వీలైతే, ఒక SSL సర్టిఫికెట్ ఉపయోగించండి. ఈ సర్వర్ మరియు వినియోగదారు మధ్య వ్యక్తిగత లేదా రహస్య డేటా అంతరాయాన్ని నిరోధిస్తుంది.

భద్రతా సాధనాలు. ఇది ఇన్స్టాల్ లేదా ప్రవేశంపై మరియు బాహ్య బెదిరింపులను నివారించటానికి సాఫ్ట్వేర్ కనెక్ట్ అర్ధమే.

నిర్ధారణకు

వ్యాసం సానుకూల స్థానభ్రంశం మారిన, కానీ కూడా అది వివరంగా నెట్వర్క్ భద్రతా యొక్క అన్ని అంశాలను వివరించడానికి సరిపోదు. సమాచార భద్రత సమస్య భరించవలసి, ఇది పదార్థాలు మరియు సూచనలను చాలా అధ్యయనం అవసరం. మరియు కూడా టూల్స్ మరియు సాంకేతికతలు కొంత తెలుసుకోవడానికి. మీరు సలహా కోరుకుంటారు మరియు Pentest మరియు ఆడిట్ వెబ్ వనరులు నిష్ణాతులైన వృత్తిపరమైన సంస్థలు నుండి సహాయపడుతుంది. ఈ సేవలను ఉన్నప్పటికీ, మరియు ఒక మంచి మొత్తం మారుతుందని, ఒకే సైట్ భద్రతా ఆర్ధిక పరంగా మరియు reputational మరింత ఖరీదైనది కావచ్చు.