संवेदनशीलता साइटहरू। वेबसाइट जाँच गर्दै। संवेदनशीलता लागि साइट स्क्यान गर्न कार्यक्रम

वेबसाइट सुरक्षा समस्या 21 औं शताब्दीमा रूपमा तीव्र रूपमा भएको कहिल्यै छ। निस्सन्देह, यो लगभग सबै उद्योग र क्षेत्रहरू इन्टरनेट को व्यापक प्रसार कारण हो। हरेक दिन, ह्याकरहरूलाई र सुरक्षा विशेषज्ञहरु केही नयाँ संवेदनशीलता साइटहरु फेला परेन। तिनीहरूलाई थुप्रै तुरुन्तै बन्द मालिक र विकासकर्ताहरूले छन्, तर छ रूपमा केही बाँकी छन्। जो आक्रमणकारीहरूले द्वारा प्रयोग गरिएको छ। तर एक ह्याक साइट प्रयोग गरेर प्रयोगकर्ता र यसलाई स्थित छ जो मा सर्भर दुवै ठूलो हानि हुन सक्छ।

साइटहरु संवेदनशीलता को प्रकार

जब तपाईं वेब सम्बन्धित इलेक्ट्रोनिक प्रविधिहरू धेरै प्रयोग पृष्ठ सिर्जना गर्नुहोस्। केही परिष्कृत र समय-परीक्षण हो, र केही नयाँ र थकित गरिएको छैन। कुनै पनि अवस्थामा, त्यहाँ संवेदनशीलता को साइटहरु विविधता प्रशस्त छ:

• XSS। प्रत्येक साइट एउटा सानो फारम छ। तिनीहरूले प्रयोगकर्ता डाटा प्रविष्ट गर्नुहोस् र, दर्ता बाहिर एक परिणाम प्राप्त वा सन्देश पठाउन मदत। विशेष मान को रूप मा प्रतिस्थापन जो साइट को निष्ठा र सम्झौता डाटा उल्लङ्घनको हुन सक्छ एक निश्चित लिपि को कार्यान्वयन, ट्रिगर गर्न सक्नुहुन्छ।
• SQL-इंजेक्शन। गोप्य डेटा पहुँच बढाउनका एक धेरै साधारण र प्रभावकारी तरिका हो। यो त ठेगाना पट्टी मार्फत वा फारम मार्फत उत्पन्न गर्न सक्नुहुन्छ। प्रक्रिया लिपि फिल्टर गर्न र त्यो गर्न सक्छन् डेटाबेस क्वेरी मान स्थानापन्न द्वारा बाहिर छ। र उचित ज्ञान संग यो एक सुरक्षा उल्लंघन हुन सक्छ।

• HTML-त्रुटि। को XSS को छ, को रूपमा वस्तुतः नै तर लिपि कोड, र HTML सम्मिलित।
• पूर्वनिर्धारित स्थानहरूमा फाइलहरू र निर्देशिका को नियुक्ति संग सम्बन्धित साइटहरु समस्याका। उदाहरणका लागि, वेब पृष्ठ को संरचना थाह, तपाईं प्रशासन प्यानल कोड पुग्न सक्दैन।
• सर्भर मा सञ्चालन प्रणाली को सेटअप को अपर्याप्त सुरक्षा। कुनै पनि भने, समस्याका वर्तमान छ, त्यसपछि आक्रमणकारीले मनपरी कोड कार्यान्वयन गर्न सक्षम हुनुपर्छ।
• खराब पासवर्ड। सबैभन्दा स्पष्ट संवेदनशीलता साइटहरू मध्ये - आफ्नो खाता सुरक्षा गर्न कमजोर मान प्रयोग गर्नुहोस्। विशेष गरी यदि यो एक प्रशासक हो।
• बफर ओभरफ्लो। तपाईं आफ्नै समायोजन गर्न सक्छन् भनेर, स्मृति देखि डाटा प्रतिस्थापन हुँदा यसलाई प्रयोग। यो त्रुटिपूर्ण सफ्टवेयर को जब संलग्नता हुन्छ।
• आफ्नो साइट को खण्डहरू प्रतिस्थापन। एक चाल आशङ्का गर्न र जो गर्न सक्छन् आफ्नो व्यक्तिगत विवरण प्रविष्ट प्रयोगकर्ता केही समय पारित आक्रमणकारीले पछि लगिङ, द्वारा वेबसाइटको एक सही प्रतिलिपि Recreating।
• सेवा इन्कार। यसलाई सम्हाल्न सक्दैन भनेर अनुरोध को एक ठूलो संख्या प्राप्त गर्दा र बस "खस्छ" वा यी प्रयोगकर्ताहरू सेवा गर्न असमर्थ हुन्छ सामान्यतया यो अवधि सर्भर मा आक्रमण बुझ्ने गरिन्छ। समस्याका आईपी फिल्टर राम्ररी कन्फिगर गरिएको छैन भन्ने तथ्यलाई मा निहित।

समस्याका स्क्यान साइट

सुरक्षा विशेषज्ञहरु खुर सक्छ कि त्रुटिहरू र कमजोरीहरू लागि वेब स्रोत को एक विशेष अडिट सञ्चालन। यस्तो प्रमाणिकरण साइट pentesting भनिन्छ। प्रक्रिया को सीएमएस, संवेदनशील मोड्युलहरू र धेरै अन्य रोचक परीक्षण उपस्थिति प्रयोग स्रोत कोड विश्लेषण।

SQL-इंजेक्शन

परीक्षण साइट को यस प्रकार लिपि डाटाबेस गर्न अनुरोध को तयारी मा प्राप्त मान फिल्टर कि निर्धारण गर्छ। एक सरल परीक्षण सञ्चालन स्वयं हुन सक्छ। साइटमा SQL समस्याका कसरी पाउन? कसले छलफल गरिनेछ।

उदाहरणका लागि, एक साइट मेरो-sayt.rf छ। यसको अगाडि पृष्ठमा सूची छ। यसलाई मा जा, तपाईं ठेगाना कुरा जस्तै मेरो-sayt.rf /? PRODUCT_ID = 1 पट्टी पाउन सकिन्छ। यो डाटाबेस अनुरोध छ कि संभावना छ। फेला साइट संवेदनशीलता पहिलो पंक्ति मा एक उद्धरण विकल्प प्रयास गर्न सक्नुहुन्छ। फलस्वरूप, मेरो-sayt.rf /? PRODUCT_ID = 1 'हुनुपर्छ। के तपाईं पृष्ठ, एक त्रुटि सन्देश मा "प्रविष्ट गर्नुहोस्" बटन थिच्न भने, समस्याका अवस्थित छ।

अब तपाईं मान चयन लागि विभिन्न विकल्प प्रयोग गर्न सक्नुहुन्छ। प्रयोग संयोजन संचालक अपवाद, टिप्पणी गर्ने र धेरै अन्य।

XSS

सक्रिय र निष्क्रिय - समस्याका यस प्रकारको दुई प्रकार को हुन सक्छ।

सक्रिय डाटाबेस वा सर्भर मा फाइल मा कोड को एक टुक्रा को परिचय हो। यसलाई थप खतरनाक र अप्रत्याशित छ।

निष्क्रिय मोड खराब कोड समावेश साइट को एक विशिष्ट ठेगानामा सिकार luring समावेश छ।

XSS आक्रमणकारीले प्रयोग कुकीज चोरी सकेन। र तिनीहरूले महत्त्वपूर्ण प्रयोगकर्ता डेटा समावेश हुन सक्छ। अझ गम्भीर परिणाम सत्र चोरी भएको छ।

साथै, आक्रमणकारीले प्रयोगकर्ता सीधा एक आक्रमणकारीले को हात मा जानकारी दिनुभयो पठाउने को समयमा गठन गर्ने ताकि साइटमा लिपि प्रयोग गर्न सक्नुहुन्छ।

खोज प्रक्रिया को स्वचालन

नेटवर्क रोचक समस्याका स्क्यानरहरू साइट को धेरै पाउन सक्नुहुन्छ। केही एक्लै आएको, केही धेरै समान साथ र Kali लिनक्स जस्तै, एक छवि मर्ज। संवेदनशीलता बारेमा जानकारी सङ्कलन प्रक्रिया स्वचालित गर्न सबैभन्दा लोकप्रिय उपकरण को एक सिंहावलोकन प्रदान गर्न जारी हुनेछ।

Nmap

सजिलो वेबसाइट समस्याका स्क्यानर जस्तै प्रयोग अपरेटिङ सिस्टम बन्दरगाह र सेवाहरू विवरण देखाउन सक्नुहुन्छ। विशिष्ट आवेदन:

स्थानीय IP ठेगाना आवश्यक छ सट्टा जहाँ nmap -sS 127.0.0.1, वास्तविक परीक्षण साइट विकल्प गर्न।

सेवाहरू मा चलिरहेका छन् के, र जो बंदरगाह मा निष्कर्ष रिपोर्ट यस समयमा खुला छन्। यो जानकारी आधारित, तपाईं पहिले नै पहिचान समस्याका प्रयोग गर्न प्रयास गर्न सक्नुहुन्छ।

यहाँ एक nmap स्क्यान पूर्वाग्रह केही कुञ्जीहरू छन्:

• -A। आक्रामक स्क्यान जानकारी धेरै फ्याँकिएको छ, तर यो धेरै समय लाग्न सक्छ।
• -O। यसलाई आफ्नो सर्भर प्रयोग सञ्चालन प्रणाली पहिचान गर्ने प्रयास गरिएको छ।
• -D। IP ठेगाना जो एक चेक तपाईं कहाँ आक्रमण भयो सर्भर लग निर्धारण गर्न असम्भव थियो हेर्न जब बनेको छ लेटीन लिपि।
• -p। बंदरगाहों को दायरा। खुला लागि धेरै सेवाहरू जाँच गर्दै।
• -S। यो तपाईं सही IP ठेगाना निर्दिष्ट गर्न अनुमति दिन्छ।

WPScan

यो कार्यक्रम Kali लिनक्स वितरण समावेश संवेदनशीलता लागि साइट स्क्यान गर्न छ। यस WordPress सीएमएस वेब स्रोतहरू जाँच गर्न डिजाइन। यो त यो जस्तै चलाउन, रूबी मा लेखिएको छ:

माणिक ./wpscan.rb --सहायता। यो आदेश सबै उपलब्ध विकल्पहरू र अक्षरहरू देखाउनेछ।

आदेश एक सरल परीक्षण चलान गर्न प्रयोग गर्न सकिन्छ:

माणिक ./wpscan.rb --url some-sayt.ru

सामान्य WPScan मा - राम्रो "WordPress" संवेदनशीलता मा आफ्नो साइट परीक्षण गर्न उपयोगिता प्रयोग गर्न सजिलो।

Nikto

कार्यक्रम साइट पनि Kali लिनक्स वितरण मा उपलब्ध छ जो संवेदनशीलता, जाँच। यसलाई आफ्नो सबै सादगी लागि शक्तिशाली क्षमताहरु प्रदान गर्दछ:

• HTTP र HTTPS स्क्यान प्रोटोकल;
• धेरै निर्मित पत्ता लगाउने उपकरण बाइपास;
• धेरै पोर्ट खोज्दै, गैर-मानक दायरामा;
• प्रोक्सी सर्भर प्रयोग समर्थन;
• यसलाई लागू गर्न र जडान प्लग-इन्स सम्भव छ।

perl स्थापित गरिएको छ प्रणाली nikto आवश्यकता सुरु गर्न। निम्नानुसार सरल विश्लेषण गरिन्छ:

perl nikto.pl -h 192.168.0.1।

कार्यक्रम पाठ फाइल वेब सर्भर ठेगाना सूची कि "खुवाउनुभयो" गर्न सकिन्छ:

perl nikto.pl -h file.txt

यो उपकरण मात्र होइन Pentest सञ्चालन गर्न सुरक्षा पेशेवरों मदत गर्नेछ, तर नेटवर्क प्रशासक र स्रोतहरू स्वास्थ्य साइटहरु कायम गर्न।

Burp सुइट

एक धेरै शक्तिशाली उपकरण मात्र होइन साइट, तर कुनै पनि नेटवर्क को अनुगमन जाँच गर्न। परिमार्जन अनुरोध को एक निर्मित समारोह परीक्षण सर्भरमा पारित थिए भएको छ। स्मार्ट स्क्यानर स्वतः एकैचोटि संवेदनशीलता धेरै प्रकार खोज्न सक्षम। यो वर्तमान गतिविधिहरु को परिणाम बचत गर्न र त्यसपछि फेरि सम्भव छ। मात्र आफ्नो आफ्नै लेख्न तेस्रो-पक्ष प्लग-इन्स प्रयोग गर्न लचीलापन, तर पनि।

उपयोगिता पक्कै सुविधाजनक, जो विशेष गरी साईट प्रयोगकर्ताका लागि आफ्नो ग्राफिकल प्रयोगकर्ता इन्टरफेस, छ।

SQLmap

शायद SQL र XSS संवेदनशीलता खोजी लागि सबैभन्दा सुविधाजनक र शक्तिशाली उपकरण छ। यसको लाभ सूची रूपमा व्यक्त गर्न सकिन्छ:

• समर्थन डेटाबेस व्यवस्थापन प्रणाली को लगभग सबै प्रकार;
• आवेदन र SQL-इंजेक्शन निर्धारण छ आधारभूत तरिका प्रयोग गर्न सक्ने क्षमता;
• प्रयोगकर्ता busting मोड, आफ्नो ह्याशहरू, पासवर्ड र अन्य डेटा।

तपाईं अनुमानित स्रोतहरू आवश्यक वेब मुक्ति पान मदत गर्न खाली प्रश्न खोज इन्जिन - SQLmap प्रयोग गर्नु अघि सामान्यतया पहिले dork मार्फत कमजोर साइट फेला परेन।

त्यसपछि पृष्ठ को ठेगाना कार्यक्रम हस्तान्तरण गरिएको छ, र यो inspects। सफल भने, समस्याका उपयोगिता को परिभाषा नै र यसको प्रयोगले स्रोत पूर्ण पहुँच बढाउनका गर्न सक्नुहुन्छ।

Webslayer

एक सानो उपयोगिता भनेर brute शक्ति आक्रमण गर्न अनुमति दिन्छ। गर्न सक्छन् "brute शक्ति" जीवनको प्रकारका, साइट को सत्र मापदण्डहरू। यसलाई जो प्रदर्शन उत्कृष्ट छ असर बहु-सूत्रण, समर्थन गर्दछ। तपाईं पनि पासवर्ड दोहोरिएर नीडिंत पृष्ठ चयन गर्न सक्नुहुन्छ। त्यहाँ एक प्रोक्सी समर्थन छ।

जाँच लागि संसाधन

नेटवर्क अनलाइन साइटहरु समस्याका परीक्षण गर्न धेरै उपकरण छन्:

• coder-diary.ru। परीक्षणको लागि सरल साइट। बस ठेगाना, स्रोत प्रविष्ट गर्नुहोस् र "जाँच गर्नुहोस्" मा क्लिक गर्नुहोस्। खोज एक लामो समय लाग्न सक्छ, त्यसैले तपाईं क्रम को दराज परीक्षण मा सीधा परिणाम को अन्त मा आउन मा आफ्नो इमेल ठेगाना निर्दिष्ट गर्न सक्नुहुन्छ। त्यहाँ साइट मा 2,500 ज्ञात संवेदनशीलता छन्।
• https://cryptoreport.websecurity.symantec.com/checker/। SSL र टीएलएस प्रमाणपत्र कम्पनी सिम्यानटेकद्वारा देखि लागि अनलाइन सेवा चेक। यो केवल ठेगाना, स्रोत आवश्यक छ।
• https://find-xss.net/scanner/। परियोजना छुट्टै PHP फाइल संवेदनशीलता वा जिप संग्रह लागि वेबसाइट स्कैन छ। तपाईं लिपि मा डाटा द्वारा shielded जुन स्क्यान गर्न फाइल र प्रतीक, प्रकार निर्दिष्ट गर्न सक्नुहुन्छ।
• http://insafety.org/scanner.php। प्लेटफर्म "1 C-Bitrix" मा साइटहरु परीक्षण गर्न स्क्यानर। सरल र सहज इन्टरफेस।

संवेदनशीलता लागि स्क्यान लागि अल्गोरिदम

कुनै पनि नेटवर्क सुरक्षा विशेषज्ञ एक सरल अल्गोरिदम मा एक चेक कार्य:

1. सुरुमा स्वयं वा स्वचालित उपकरण प्रयोग गरेर त्यहाँ कुनै पनि अनलाइन समस्याका छन् कि विश्लेषण। यदि हो, त्यसपछि यसलाई आफ्नो प्रकार निर्धारण गर्छ।
2. प्रजाति आधारमा वर्तमान समस्याका थप चाल बनाउँछन्। उदाहरणका लागि, हामी सीएमएस थाहा छ भने, त्यसपछि आक्रमणको उपयुक्त विधि चयन। यो एक SQL-इंजेक्शन, डाटाबेस चयन गरिएको प्रश्नहरु हो भने।
3. मुख्य उद्देश्य प्रशासनिक प्यानल गर्ने सुअवसर पहुँच प्राप्त छ। यो यस्तो हासिल गर्न सम्भव छैन भने, सायद यो मूल्य प्रयास र पीडित को पछि स्थानान्तरण आफ्नो लिपि को परिचय एक नक्कली ठेगाना गठन गर्ने हो।
4. कमजोरीहरू हुन् जो थप समस्याका छन्: यदि कुनै आक्रमण वा प्रवेश असफल भएमा, यसलाई डाटा सङ्कलन शुरू गर्छ।
5. डाटा सुरक्षा विशेषज्ञ आधारित समस्या र तिनीहरूलाई कसरी समाधान गर्न बारेमा साइट मालिक भन्छन्।
6. संवेदनशीलता आफ्नो हात वा तेस्रो-पक्ष मालिकको को मद्दतले निर्मूल छन्।

केही सुरक्षा सुझावहरू

जो स्वयं आफ्नो वेबसाइट विकास ती, यो सरल सुझाव र चाल मदत गर्नेछ।

यस लिपि वा प्रश्नहरु खडा-एक्लै चल्दैन भनेर वा गर्न सक्छन् डेटाबेस देखि डाटा दिन आगमन डाटा फिल्टर हुनुपर्छ।

एक सम्भव brute शक्ति जोगिन गर्न, प्रशासन प्यानल पहुँच गर्न जटिल र बलियो पासवर्ड प्रयोग गर्नुहोस्।

वेबसाइट एक को सीएमएस आधारित छ भने, तपाईंले चाँडै रूपमा सिद्ध प्लगइन, टेम्प्लेट र मोड्युलहरू प्राय हुन सक्छ अद्यावधिक र लागू गर्न आवश्यक छ। अनावश्यक घटक साइट अधिभार छैन।

अक्सर कुनै पनि शंकास्पद घटनाहरू वा कार्यहरू लागि सर्भर लग जाँच गर्नुहोस्।

आफ्नो साइट धेरै स्क्यानरहरू र सेवाहरू जाँच गर्नुहोस्।

सही सर्भर कन्फिगरेसन - यसको स्थिर र सुरक्षित सञ्चालन गर्न कुञ्जी।

यदि सम्भव छ भने, एक SSL प्रमाणपत्र प्रयोग गर्नुहोस्। यो सर्भर र प्रयोगकर्ता बीच व्यक्तिगत र गोपनीय डाटा अवरोधन रोक्न हुनेछ।

सुरक्षाको लागि उपकरण। यो स्थापना वा घुसपैठ र बाह्य धम्की रोक्न सफ्टवेयर जडान गर्न अर्थमा बनाउँछ।

निष्कर्षमा

लेख सकारात्मक विस्थापन गरिएका, तर पनि यो विस्तार नेटवर्क सुरक्षा सबै पक्षहरू वर्णन गर्न पर्याप्त छ। जानकारी सुरक्षाको समस्या सामना गर्न, यो माल र निर्देशन धेरै अध्ययन गर्न आवश्यक छ। र उपकरण र प्रविधिहरू एक गुच्छा सिक्न पनि। तपाईं सल्लाह खोज्न र Pentest अडिट वेब साधनहरूमा विशेषज्ञ व्यावसायिक कम्पनीहरु देखि मद्दत गर्न सक्छ। यी सेवाहरू हुनत, र राम्रो रकम परिणत हुनेछ, सबै एउटै साइट सुरक्षा आर्थिक मामलामा र reputational मा धेरै महंगा हुन सक्छ।