Žinodami puolimo metodus, galite sukurti efektyvią gynybos strategiją - ši taisyklė aktuali ne tik kariuomenės ratuose, bet ir internete. Suprasdami, kaip įsilaužėliai įsilaužia į svetaines, galėsite iš anksto uždaryti galimas savo išteklių spragas.
Nurodymai
1 žingsnis
„Apvalkalo įkėlimas į svetainę“reiškia svetainės pažeidžiamumo naudojimą norint įterpti kenksmingą scenarijų (žiniatinklio apvalkalą), kuris įsilaužėliams leidžia valdyti kažkieno svetainę per komandinę eilutę. Paprasčiausias PHP apvalkalas atrodo taip:
2 žingsnis
Įsilaužėlis neprivalo susikurti savo interneto apvalkalo, tokios programos buvo rašomos jau seniai ir turi labai daug funkcijų. Įsilaužėlių užduotis yra įkelti paruoštą apvalkalą į svetainę, dažniausiai tam naudojamos SQL ir PHP injekcijos.
3 žingsnis
SQL injekcija naudoja klaidas prieigoje prie duomenų bazės. Įrašydamas savo kodą į užklausą, įsilaužėlis gali gauti prieigą prie duomenų bazės failų, pavyzdžiui, prie prisijungimų ir slaptažodžių, banko kortelių duomenų ir kt. PHP injekcijos yra pagrįstos klaidomis PHP scenarijuose ir leidžia trečiosios šalies kodą vykdyti serveryje.
4 žingsnis
Kaip sužinoti, ar jūsų svetainėje yra pažeidžiamumų? Galima rankiniu būdu įvesti tam tikras komandas, pateikti reikšmes adreso juostai ir pan., Tačiau tam reikia tam tikrų žinių. Be to, nėra jokios garantijos, kad išbandysite visas įmanomas galimybes. Todėl patikrinimui naudokite specializuotas paslaugas, pavyzdžiui, „XSpider“programą. Tai visiškai teisėta programa, sukurta tinklo administratoriams, su jos pagalba galite patikrinti, ar jūsų svetainėje nėra pažeidžiamumų. Jo demonstraciją galima rasti internete.
5 žingsnis
Yra daugybė programų, skirtų įsilaužėlių sukurtoms spragoms rasti. Naudodamasis šiomis paslaugomis, administratorius gali patikrinti savo svetainę tais pačiais įrankiais, kurie gali bandyti ją nulaužti. Norėdami rasti šiuos įrankius, ieškokite „SQL skaitytuvai“arba „PHP pažeidžiamumo skaitytuvai“. Naudingumo, kuris leidžia, esant SQL pažeidžiamumui, gauti informaciją iš duomenų bazės, pavyzdys yra „Havij - Advanced SQL Injection Tool“. Galite patikrinti, ar jūsų svetainėje nėra SQL pažeidžiamumų, naudodami „NetDeviLz SQL Scanner“įsilaužėlių įrankį. Nustatyti pažeidžiamumai turėtų būti nedelsiant pašalinti.
