SQL को इंजेक्शन के हो?

साइटहरू र वेबमा पृष्ठ संख्या निरंतर बढ्दै छ। जो गर्न सक्छन् सबै ती को विकास को लागि लगियो। र साईट वेब विकासकर्ताहरूले अक्सर असुरक्षित र पुरानो कोड प्रयोग गर्नुहोस्। र यो अपराधीहरूलाई र ह्याकरहरूलाई लागि loopholes धेरै सिर्जना गर्छ। तिनीहरूले भन्दा। एक भन्दा क्लासिक संवेदनशीलता को - SQL-इंजेक्शन।

सिद्धान्त को एक बिट

धेरै मानिसहरू नेटवर्कमा साइटहरू र सेवाहरूको बहुमत SQL डेटाबेस भण्डारण प्रयोग गर्दै थाह छ। यो एक हो संरचित प्रश्न भाषा भनेर डाटा भण्डारण नियन्त्रण र व्यवस्थापन गर्न अनुमति दिन्छ। Oracle MySQL,, Postgre - त्यहाँ डेटाबेस व्यवस्थापन प्रणाली डेटाबेस को विभिन्न संस्करणहरु छन्। नाम र प्रकार को बिना तिनीहरूले नै प्रश्न डाटा प्रयोग गर्नुहोस्। यो सम्भावित समस्याका निहित कि यहाँ छ। विकासकर्ता राम्ररी ह्यान्डल गर्न र सुरक्षित अनुरोध असफल भयो भने, एक आक्रमणकारीले यो फाइदा लिन सक्छ र डेटाबेस पहुँच बढाउनका, र त्यसपछि विशेष रणनीति प्रयोग - र सबै साइट व्यवस्थापन गर्न।

यस्तो अवस्थामा जोगिन, तपाईं ठीक कोड अनुकूलन गर्न र राम्ररी अनुरोध प्रक्रियामा छ जसमा एक प्रकारले निगरानी गर्न आवश्यक छ।

SQL-इंजेक्शन जाँच

नेटवर्क मा एक समस्याका उपस्थिति स्थापित गर्न सकियो स्वचालित सफ्टवेयर प्रणाली को एक वजन छ। तर स्वयं एक सरल जाँच पूरा गर्न सम्भव छ। यो गर्न, परीक्षण साइटहरु मध्ये एक जानुहोस् र ठेगाना पट्टी मा एक डेटाबेस त्रुटि कारण प्रयास। उदाहरणका लागि, साइटमा लिपि अनुरोधलाई सम्हाल्न सक्दैन र तिनीहरूलाई ट्रिम छैन।

उदाहरणका लागि, / index.php मा त्यहाँ nekiy_sayt? आईडी = 25

को उद्धरण पछि 25 राख्नु र अनुरोध पठाउन - सजिलो तरिका हो। कुनै त्रुटि, या त साइट र फिल्टर मा भयो भने सबै अनुरोध सही ह्यान्डल छन्, वा आफ्नो उत्पादन को सेटिङ अक्षम छ। एक पृष्ठ समस्याहरू पुन: लोड गरिएको छ भने, त्यसपछि SQL-इंजेक्शन गर्न समस्याका छ।

त्यो बाहिर फेला पछि, तपाईं यसलाई देखि छुटकारा प्राप्त गर्न प्रयास गर्न सक्नुहुन्छ।

बारेमा अलि थाह यो समस्याका आवश्यकता लागू गर्न SQL-प्रश्नहरु टोली। तिनीहरूलाई को - यूनियन। यो एक मा धेरै प्रश्न परिणाम सँगै ल्याउँछ। त्यसैले हामी तालिकामा क्षेत्रहरू संख्या गणना गर्न सक्छन्। उदाहरण पहिलो प्रश्न छ:

• nekiy_sayt / index.php? id = 25 यूनियन चयन गर्नुहोस् 1।

प्रायजसो, यो रेकर्ड त्रुटि उत्पन्न गर्नुपर्छ। यो क्षेत्रहरू संख्या छैन, यो उनीहरूको वास्तविक नम्बर स्थापना गर्न सम्भव छ 1 वा ठूलो विकल्प छान्ने, त्यसैले 1 बराबर छ भन्ने हो:

• nekiy_sayt / index.php? id = 25 यूनियन चयन गर्नुहोस् 1,2,3,4,5,6।

कि यो क्षेत्रहरू संख्या अनुमान गर्न अर्थ, त्रुटि अब देखिने हुँदा छ।

यो समस्या एक वैकल्पिक समाधान पनि छ। उदाहरणका लागि, जब क्षेत्रहरू को एक ठूलो संख्या - 30, 60 वा 100 यो आदेश ग्रुप द्वारा। यो समूह उदाहरण आईडी लागि कुनै पनि आधार मा एक प्रश्न को परिणाम:

• nekiy_sayt / index.php? id = 5 द्वारा 25 ग्रुप।

त्रुटि प्राप्त गरेको छ भने गरिएको, त्यसपछि 5 को क्षेत्रहरू भन्दा बढी त्यसैले, एक एकदम व्यापक दायराबाट विकल्प स्थानापन्न, यो सम्भव वास्तवमा तिनीहरू कति गणना गर्न छ।

यो उदाहरण SQL-इंजेक्शन - शुरुआती आफूलाई यसको साइट को परीक्षणमा प्रयास गर्न चाहने लागि। यो आपराधिक कोड को अर्को उपलब्ध लेख अनधिकृत पहुँचका लागि भनेर सम्झना गर्न महत्त्वपूर्ण छ।

इंजेक्शन को मुख्य प्रकार

धेरै embodiments मा SQL-इंजेक्शन द्वारा समस्याका लागू। अर्को सबैभन्दा लोकप्रिय विधिहरू छन्:

• संघ प्रश्न एसक्यूएल इंजेक्शन। यस प्रकारको एक सरल उदाहरण पहिले नै माथि जांच गरिएको छ। यसलाई कारण फिल्टर जो छैन आगमन डाटा, जाँच मा त्रुटि गर्न बुझे छ।

• त्रुटि आधारित SQL इंजेक्शन। नाम implies रूपमा, यस प्रकारको पनि त्रुटि, syntactically गलत बनेको अभिव्यक्ति पठाउने प्रयोग गर्दछ। त्यसपछि प्रतिक्रिया हेडर, विश्लेषण जो बाहिर गर्न सकिन्छ पछि SQL-इंजेक्शन को अवरोधन छ।

• स्ट्याक्ड एसक्यूएल प्रश्नहरु इंजेक्शन। यो समस्याका क्रमिक अनुरोध गरेर निर्धारण गरिन्छ। यो चिन्ह को अन्त्यमा साथै द्वारा विशेषता छ ";"। यो दृष्टिकोण विशेषाधिकार यसलाई अनुमति भने अक्सर पढ्न र डाटा लेख्न वा अपरेटिङ सिस्टम कार्यहरु को कार्यान्वयन पहुँच, कार्यान्वयन गरिएको छ।

खोजी SQL-संवेदनशीलता लागि सफ्टवेयर

SQL-इंजेक्शन लागि छ, कार्यक्रम सामान्यतया दुई घटक छ - एक साइट सम्भव संवेदनशीलता स्क्यान र डाटा पहुँच बढाउनका तिनीहरूलाई प्रयोग गर्नुहोस्। त्यहाँ लगभग सबै ज्ञात मञ्चहरूमा लागि केही उपकरण छन्। आफ्नो कार्यक्षमता निकै आफ्नो SQL-इंजेक्शन दरार वेबसाइट जाँच सुविधा।

Sqlmap

धेरै शक्तिशाली स्क्यानर सबैभन्दा डेटाबेस संग काम गर्दछ। यो SQL-इंजेक्शन को कार्यान्वयन को विभिन्न विधिहरू समर्थन गर्दछ। स्वतः पासवर्ड ह्यास खुर र शब्दकोश को प्रकार पहिचान गर्न सक्ने क्षमता छ। वर्तमान र कार्यात्मक फाइल अपलोड र डाउनलोड सर्भर बाट।

मा लिनक्स स्थापना भएको आदेशहरू प्रयोग गरिन्छ:

• Git क्लोन https://github.com/sqlmapproject/sqlmap.git sqlmap-देव,
• cdsqlmap-देव /,
• ./sqlmap.py --wizard।

Windows को लागि आदेश लाइन र ग्राफिकल प्रयोगकर्ता इन्टरफेस एउटा विकल्पको रूपमा उपलब्ध छ।

jSQL इंजेक्शन

jSQL इंजेक्शन - SQL संवेदनशीलता प्रयोग परीक्षण को लागि एक क्रस-मंच उपकरण। जावा मा लिखित, त्यसैले सिस्टम को JRE स्थापना गरिनु पर्दछ। प्राप्त अनुरोध, पोस्ट, हेडर, कुकी ह्यान्डल गर्न सक्षम। यो एक सुविधाजनक ग्राफिकल इन्टरफेस छ।

निम्नानुसार यो सफ्टवेयर प्याकेज को स्थापना छ:

wget https://github.com/`curl -S https: //github.com/ron190/jsql-injection/releases | grep-ई -O '/ron190/jsql-injection/releases/download/v[0-9]{1,2}.[0-9]{1,2}/jsql-injection-v[0-9] । {1,2} [0-9] {1,2} .jar '| टाउको-N 1`

सुरुवात -jar ./jsql-injection-v*.jar आदेश Java प्रयोग गरेर छ

SQL-समस्याका मा परीक्षण साइट सुरु गर्न, तपाईँले माथि क्षेत्र मा ठेगाना प्रविष्ट गर्न आवश्यक छ। तिनीहरूले प्राप्त पोस्ट लागि छुट्टै छन्। सकारात्मक परिणाम संग उपलब्ध टेबल को सूची बायाँ विन्डो देखा पर्नेछ। तपाईंले तिनीहरूलाई हेर्न र केही गोप्य जानकारी सिक्न सक्छौं।

प्रशासनिक प्यानल फेला पार्न प्रयोग ट्याब «व्यवस्थापक पृष्ठ»। यसलाई विशेष टेम्प्लेट को माध्यम द्वारा स्वतः प्रणाली सुअवसर प्रयोगकर्ता रेकर्ड खोजी। तिनीहरूलाई तपाईंले पासवर्ड को बस एक ह्यास प्राप्त गर्न सक्छन्। तर कार्यक्रम को toolbox मा छ।

सबै संवेदनशीलता र इंजेक्शन आवश्यक अनुसन्धानका फेला पछि, उपकरण सर्भर तपाईँको फाइल वा, conversely, भर्न यो त्यहाँ बाट डाउनलोड गर्न अनुमति दिन्छ।

SQLi डम्पर v.7

SQL संवेदनशीलता फेला पार्ने र लागू लागि उपकरण प्रयोग गर्न सजिलो - यो कार्यक्रम। यो संयुक्त राष्ट्र तथाकथित हुँदा तबीताले आधारित छ उत्पादन गर्छ। आफ्नो सूची इन्टरनेटमा पाउन सकिन्छ। Dorca SQL-इंजेक्शन लागि - यी खोज प्रश्नहरु को विशेष टेम्प्लेट छन्। आफ्नो मदत पाएर तपाईं कुनै पनि खोज इन्जिन मार्फत सम्भावित कमजोर साइट पाउन सक्नुहुन्छ।

प्रशिक्षण लागि उपकरण

Itsecgames.com साइट मा त्यहाँ अनुमति दिन्छ उदाहरण SQL इंजेक्शन कसरी गर्न र यसलाई परीक्षण गर्न देखाउँछ उपकरण को एक विशेष सेट छ। लाभ उठाउन गर्न, यसलाई डाउनलोड र स्थापना गर्न आवश्यक छ। संग्रह साइट को संरचना छ जो फाइलहरू एक सेट, समावेश छन्। स्थापना गर्न यो अपाचे वेब सर्भर, MySQL, र PHP को सेट को विद्यमान प्रणालीमा आवश्यक हुनेछ।

वेब सर्भर फोल्डर मा संग्रह अनप्याक, तपाईं यो स्थापना गर्दा प्रवेश ठेगाना जान छ सफ्टवेयर। प्रयोगकर्ता दर्ता संग एक पृष्ठ। यहाँ तपाईं आफ्नो जानकारी प्रविष्ट गर्नुहोस् र क्लिक गर्नुहोस् «सिर्जना» गर्न आवश्यक छ। प्रयोगकर्ता सार्दै नयाँ स्क्रिनमा, प्रणाली तपाईं परीक्षण अवस्थामा एउटा चयन गर्न उत्प्रेरित गर्छ। तिनीहरूलाई बीच त्यहाँ दुवै इंजेक्शन, र अन्य धेरै परीक्षण वस्तुहरू द्वारा वर्णन हो।

यो SQL-इंजेक्शन प्रकार, GET / खोज को एउटा उदाहरण विचार लायक छ। यहाँ तपाईं यसलाई चयन गर्न क्लिक गर्नुहोस् «Hack» आवश्यक छ। पहिले प्रयोगकर्ता प्रकट हुनेछ, र एउटा चलचित्र साइट को खोज स्ट्रिङ अनुकरण। क्रमबद्ध गर्न चलचित्र लामो हुन सक्छ। तर त्यहाँ मात्र 10 उदाहरणका लागि हो, तपाईं फलाम मानिस प्रवेश गर्न प्रयास गर्न सक्नुहुन्छ। यो फिल्म, त्यसपछि साइट काम गर्छ, र टेबल यसलाई समावेश संकेत हुनेछ। अब हामी, विशेष वर्ण लिपि फिल्टर यदि जाँच गर्न विशेष उद्धरण मा छ। यो गर्न, ठेगाना पट्टीमा थप्न '। " यसबाहेक, यस फिल्म शीर्षक पछि गर्नै पर्छ। साइट त्रुटि त्रुटि दिनेछु: तपाईंले आफ्नो SQL विन्यास त्रुटि छ; 'यसो जो कि वर्ण अझै पनि सही ह्यान्डल छैन लाइन 1, मा नजिकै'% 'प्रयोग गर्ने अधिकार विन्यास लागि आफ्नो MySQL सर्भर संस्करण गर्न पत्राचार गरेको मार्गदर्शन जाँच गर्नुहोस्। त्यसैले तपाईंले आफ्नो अनुरोध विकल्प प्रयास गर्न सक्नुहुन्छ। तर हामी पहिलो क्षेत्रहरू संख्या गणना गर्नुपर्छ। र कार्य = खोज - 2 द्वारा http://testsites.com/sqli_1.php?title=Iron+Man 'अर्डर: यो यो आदेश, उद्धरण पछि शुरू छ जसको लागि प्रयोग गरिन्छ।

यो आदेश मात्र हो, क्षेत्रहरू संख्या डबल हाईफन अन्य अनुरोध वेवास्ता हुनुपर्छ भनेर सर्भर बताउँछ ठूलो 2. भन्दा छ कि फिलिम, बारे जानकारी प्रर्दशन गर्दछ। अब हामी लामो त्रुटि मुद्रित छैन रूपमा वृद्धि महत्व राख्दै, बाहिर क्रमबद्ध छ। अन्त मा, यो क्षेत्रहरू 7 हुनेछ बाहिर जान्छ।

अब यो आधार बाहिर उपयोगी कुरा प्राप्त गर्न समय। अलिकति फारम यसलाई ल्याउन, ठेगाना पट्टी मा अनुरोध परिमार्जन हुनेछ: http://testsites.com/sqli_1.php?title=Iron+Man 'संघ चयन 1, डेटाबेस (), प्रयोगकर्ता (), 4, पासवर्ड, 6, 7 प्रयोगकर्ताहरूबाट - र कार्य = खोजी। यसको कार्यान्वयन पासवर्ड ह्याशहरू, सजिलै अनलाइन सेवाहरू प्रयोग गरेर बुझ्ने प्रतीक मा परिवर्तित गर्न सकिन्छ जो संग स्ट्रिङ प्रदर्शन हुनेछ को फलस्वरूप। एक एक सानो conjured र, तपाईं जस्तै साइट को व्यवस्थापक रूपमा, अरू कसैको प्रविष्टि पहुँच पाउन सक्छौं एक लग इन संग एक क्षेत्र नाम छानिएको।

उत्पादन अभ्यास जो एक वजन प्रजाति इंजेक्शन प्रकार, छ। यो वास्तविक साइटहरूमा नेटवर्क यी कौशल को आवेदन एक आपराधिक ठेस हुन सक्छ कि सम्झना गर्नुपर्छ।

इंजेक्शन र PHP

नियम, को PHP-कोड र रूपमा प्रयोगकर्ता देखि आ आवश्यक प्रक्रिया अनुरोध लागि जिम्मेवार छ। त्यसैले, यो स्तरमा तपाईं PHP मा SQL-इंजेक्शन विरुद्ध एक रक्षा निर्माण गर्न आवश्यक छ।

पहिलो, गरेको यो त्यसो गर्न आवश्यक छ, जो को आधारमा केही सरल निर्देशन दिन गरौं।

• डाटा सधैं डेटाबेस मा राखिएको भइरहेको अघि प्रशोधन हुनुपर्छ। यो गर्न सकिन्छ कि त विद्यमान अभिव्यक्ति प्रयोग गरेर वा प्रश्नहरु आयोजना स्वयं द्वारा। यहाँ पनि, संख्यात्मक मान आवश्यक छ कि प्रकार रूपान्तरित छन् कि खातामा लिनुपर्छ;
• वेवास्ता संकेत विभिन्न नियन्त्रण संरचना।

अब SQL-इंजेक्शन विरुद्ध सुरक्षा गर्न MySQL मा प्रश्नहरु कम्पाइल को नियम बारे एक सानो।

क्वेरी कुनै पनि अभिव्यक्ति माथि चित्रकला मा यो SQL किवर्ड देखि डाटा विभाजन गर्न महत्त्वपूर्ण छ।

• तालिका जहाँ नाम = Zerg चयन गर्नुहोस् *।

कुनै पनि क्षेत्र को नाम, त्यसैले तपाईं उद्धरण मा वरिपरि बार लाउनु आवश्यक - यो कन्फिगरेसनमा, सिस्टम Zerg कि लाग्छ सक्छ।

• चयन गर्नुहोस् * FROM तालिका जहाँ नाम = 'Zerg'।

मान नै उद्धरण समावेश गर्दा तर, समय हो।

• चयन गर्नुहोस् * FROM तालिका जहाँ नाम = 'आइभेरी डिल्भर'।

यहाँ मात्र कोटे डी को भाग सम्हाल्न र बाँकी एक टोली, जो, को पाठ्यक्रम, छैन रूपमा कथित गर्न सकिन्छ। तसर्थ, एउटा त्रुटि हुन्छ। त्यसपछि तपाईं स्क्रिनिङ डेटा को यस प्रकारको आवश्यक छ। \ - यो गर्न, एक बैकस्लैश प्रयोग गर्नुहोस्।

• चयन गर्नुहोस् * FROM तालिका जहाँ नाम = 'बिरालो-डी \' कोस्ट '।

माथिको सबै पङ्क्तिहरू बुझाउँछ। कार्य एक नम्बर स्थान लिन्छ भने, त्यसपछि यसलाई कुनै पनि उद्धरण वा स्ल्यासहरू आवश्यकता छैन। तथापि, तिनीहरूले दबावपूर्ण इच्छित डेटा प्रकार नेतृत्व आवश्यक पर्छ।

त्यहाँ क्षेत्र नाम backquotes मा संलग्न हुनुपर्छ भनेर सिफारिसहरू छन्। यो प्रतीक, किबोर्डको बायाँ छेउमा एक टिल्डे साथ "~"। यो MySQL सही तपाईंको खोजशब्द देखि क्षेत्र को नाम भेद सक्ने सुनिश्चित छ।

डाटा गतिशील काम

अक्सर, गतिशील रूप उत्पन्न डाटाबेस प्रश्नहरु प्रयोग गरेर कुनै पनि डाटा प्राप्त गर्न। उदाहरणका लागि:

• चयन गर्नुहोस् * FROM तालिका जहाँ नम्बर = '$ नम्बर'।

यहाँ, चर $ नम्बर क्षेत्र को मूल्य निर्धारण रूपमा पारित गरिएको छ। यो हुन्छ भने 'आइभेरी डिल्भर' के हुनेछ? त्रुटि।

यो समस्या जोगिन, पाठ्यक्रम, तपाईं "जादू उद्धरण" सेटिङहरू समावेश गर्न सक्नुहुन्छ। तर अब डाटा जहाँ आवश्यक र आवश्यक छैन जांच गरिनेछ। साथै, यदि कोड हात द्वारा लेखिएको छ, तपाईं सिस्टम नै खुर गर्न प्रतिरोधी सिर्जना गर्न अलि बढी समय खर्च गर्न सक्नुहुन्छ।

एक स्ल्यास को स्वतन्त्र साथै लागि mysql_real_escape_string प्रयोग गर्न सक्नुहुन्छ।

$ नम्बर = mysql_real_escape_string ($ नम्बर);

$ वर्ष = mysql_real_escape_string ($ वर्ष);

$ प्रश्न = "(नम्बर, वर्ष, वर्ग) मानहरू ( '$ नम्बर', '$ वर्ष', 11) सम्मिलित तालिकामा"।

कोड र मात्रा बढेको भए तापनि अझै संभावित यो धेरै सुरक्षित काम थियो।

प्लेसहोल्डरहरू

प्लेसहोल्डरहरू - मार्कर एक प्रकारको प्रणाली यो एक विशेष समारोह विकल्प आवश्यक ठाउँ हो भनेर पहिचान जसको लागि। उदाहरणका लागि:

$ SATE = $ mysqli-> तयार ( "चयन गर्नुहोस् जिल्ला नम्बर कहाँ नाम =?");

$ Sate-> bind_param ( "को", $ नम्बर);

$ Sate-> कार्यान्वयन ();

कोड को यो खण्ड एक प्रशिक्षण अनुरोध टेम्पलेट लिन्छ र त्यसपछि चल नम्बर बांध, र यो executes। यो दृष्टिकोण तपाईं प्रश्न प्रक्रिया र यसको कार्यान्वयन विभाजित गर्न अनुमति दिन्छ। यसरी, यो खराब कोड को प्रयोग बाट सुरक्षित हुन सक्दैन SQL- छन्।

के शायद एक आक्रमणकारीले

सुरक्षा प्रणाली - एक धेरै नै महत्वपूर्ण कारक, जो उपेक्षित हुन सक्दैन। निस्सन्देह, एक सरल व्यापार कार्ड साइट पुनर्स्थापना गर्न सजिलो हुनेछ। र यो एउटा ठूलो पोर्टल, सेवा, मंच छ भने? तपाईं सुरक्षा विचार छैन भने नतिजा के हुन्?

पहिलो, ह्याकरसँग दुवै आधार को निष्ठा तोड्न र पूर्ण यसलाई हटाउन सक्नुहुन्छ। र साइट प्रशासक वा hoster जगेडा बनाउन गर्दैन भने, तपाईं कठिन समयमा हुनेछ। सबै माथि, एकल साइट खुर एक विना अधिकार घुस्ने व्यक्ति, एउटै सर्भर पोस्ट अन्य जानुहोस् गर्न सक्नुहुन्छ।

अर्को पर्यटकहरू व्यक्तिगत जानकारी चोरी छ। कसरी प्रयोग गर्ने - सबै मात्र ह्याकरसँग को कल्पना गरेर सीमित छ। तर कुनै पनि मामला मा, नतिजा एकदमै रमाइलो हुने छैन। विशेष गरी यदि वित्तीय जानकारी समावेश गर्यो।

साथै, आक्रमणकारीले डेटाबेस आफैलाई मर्ज गर्न सक्नुहुन्छ र त्यसपछि आफ्नो फिर्ती लागि पैसा extort।

साइट प्रशासक तर्फबाट गलत प्रयोगकर्ताहरू, तिनीहरूले हुनुको छैन व्यक्ति पनि सम्भव ठगी तथ्य रूपमा नकारात्मक परिणाम पनि हुन सक्छ।

निष्कर्षमा

यस लेखमा सबै जानकारी जानकारी प्रयोजनका लागि मात्र प्रदान गरिएको छ। यो केवल यो संवेदनशीलता लगािन्छ गर्दा आफ्नै परियोजनाहरू परीक्षण र तिनीहरूलाई सम्बोधन गर्न आवश्यक प्रयोग गर्नुहोस्।

SQL-इंजेक्शन सञ्चालन गर्न कसरी प्रविधी को एक गहन अध्ययन, यो SQL भाषा को वास्तविक अनुसन्धान क्षमताहरु र सुविधाहरू सुरु गर्न आवश्यक छ। संकलित प्रश्नहरु, किवर्ड, डाटा प्रकार, र यो सबै को प्रयोग रूपमा।

पनि PHP र HTML तत्त्वहरू कार्यहरु सञ्चालन बुझ्न बिना गर्न सक्नुहुन्न। प्राथमिक प्रयोग इंजेक्शन लागि कमजोर अंक - ठेगाना लाइन, र विभिन्न खोज क्षेत्र। PHP कार्यहरु सिक्दै, कार्यान्वयन र सुविधाहरू को विधि गल्ती नगर्न बाहिर आंकडा हुनेछ।

धेरै तयार बनाएको सफ्टवेयर उपकरण उपस्थिति साइट ज्ञात संवेदनशीलता मा गहन विश्लेषण लागि अनुमति दिन्छ। एक लोकप्रिय उत्पादनहरु - काली Linux। एक लिनक्स आधारित अपरेटिङ सिस्टम, साइट बलको व्यापक विश्लेषण पूरा गर्न सक्ने उपकरण र कार्यक्रम को एक ठूलो संख्या जसमा को यो तस्बिर।

मलाई किन थाहा छ कि साइट ह्याक गर्न कसरी जान्छ? यो धेरै सरल छ - यो तपाईंको परियोजना वा साइट को सम्भावित हानिकारक स्थानहरूको विचार राख्न आवश्यक छ। खास गरी यदि यो अनलाइन भुक्तानी गर्ने क्षमता संग एक अनलाइन स्टोर हो, जहाँ प्रयोगकर्ताको भुक्तान डेटा एक आक्रमणकर्ता द्वारा सम्झौता गर्न सकिन्छ।

व्यावसायिक अनुसन्धानको लागि, त्यहाँ सूचना सुरक्षा सेवाहरू फरक मापदण्ड र गहिराई अनुसार साइट जाँच गर्न सक्षम हुनेछन्। सोशल ईन्जिनियरिङ र फिशिंगमा सरल HTML इंजेक्शन बाट।