የአገልጋይ ጠለፋዎች በየቀኑ ይከሰታሉ ፡፡ ጠላፊዎች አንድ ወይም ሌላ የአገልጋዩ ተደራሽነት ደረጃ ሊገኝ በሚችልባቸው በመቶዎች የሚቆጠሩ ቀዳዳዎችን ያውቃሉ ፡፡ በአንዳንድ ሁኔታዎች ተጋላጭነቶች ወደ የተጠቃሚዎች ሚስጥራዊ መረጃ ለመድረስ ያስችሉዎታል ፣ እና አንዳንድ ጊዜ ጠላፊው ሀብቱን ሙሉ በሙሉ ይቆጣጠራል። እራስዎን ከጠላፊ ጥቃቶች ለመጠበቅ እንዴት?
መመሪያዎች
ደረጃ 1
አገልጋይዎን ከጠለፋ ለመጠበቅ ጠላፊ ጥቃቶችን መሰረታዊ ዘዴዎችን ማወቅ ያስፈልግዎታል ፡፡ ሊሆኑ የሚችሉ ቀዳዳዎችን በመዝጋት የሀብትዎን ደህንነት በከፍተኛ ሁኔታ ይጨምራሉ ፡፡ የሚከተሉት ሁሉ ለጠላፊዎች ፍላጎት የላቸውም (ሁሉም ይህን በደንብ ያውቃሉ) ፣ ግን ለአገልጋዮች ባለቤቶች ጠቃሚ ሊሆን ይችላል ፡፡
ደረጃ 2
አገልጋዩ እንዴት ጥቃት ይሰነዝራል? በመጀመሪያ አንድ ጠላፊ በእሱ ላይ ምን ሶፍትዌር እንደተጫነ ለመረዳት ይሞክራል ፡፡ ይህንን ለማድረግ በአገልጋዩ ላይ የሚገኝ ጣቢያ መክፈት እና የተሳሳተ ጥያቄ ማስገባት ይችላል ፡፡ ለእንደዚህ አይነት ጥያቄ ምላሽ ለመስጠት በተሳሳተ መንገድ የተዋቀረ አገልጋይ የስህተት መልእክት አውጥቶ ከሚከተለው ጋር አብሮ ይመጣል-Apache / 2.2.14 (Unix) mod_ssl / 2.2.14 OpenSSL / 0.9.8e-fips-rhel5 mod_auth_passthrough / 2.1 mod_bwlimited / 1.4 የፊት ገጽ / 5.0.2.2635 አገልጋይ በ www.servername.com ፖርት 80 ፡
ደረጃ 3
ለጠላፊ ፣ ከላይ ያለው መረጃ በጣም ጠቃሚ ሊሆን ይችላል - የተጫነው የኤችቲቲፒ አገልጋይ (Apache / 2.2.14) ስሪት እና የሌሎች ፕሮግራሞች እና አገልግሎቶች ስሪቶችን ያያል ፡፡ አሁን በእነዚህ አገልግሎቶች ስሪቶች ውስጥ ለተጋላጭነት ብዝበዛዎች (ተንኮል-አዘል ኮዶች) መፈለግ ይችላል ፡፡ እና የስርዓቱ አስተዳዳሪ አሁን ያሉትን ክፍተቶች ካልዘጋ ጠላፊው ኮምፒተርን ማግኘት ይችላል ፡፡ በትክክል የተዋቀረ አገልጋይ ስለራሱ ምንም ዓይነት ዝርዝር መረጃ መስጠት የለበትም ፣ ወይም ሆን ተብሎ የተዛባ መረጃን ሊያሳይ ይችላል ፡፡
ደረጃ 4
ብዙውን ጊዜ ውጤቶችን በመስጠት ጠለፋ ለማድረግ በጣም ቀላሉ መንገዶች አንዱ በአገልጋዩ ላይ ያሉትን አቃፊዎች ማየት ነው ፡፡ ብዙውን ጊዜ አስተዳዳሪዎች እነሱን ለመመልከት መብቶችን ማዘጋጀት ይረሳሉ ፣ ስለሆነም ጠላፊ በተገቢው መገልገያዎች እገዛ የጣቢያውን አወቃቀር ከወሰነ በቀላሉ ለመመልከት ያልታሰቡ አቃፊዎችን ይከፍታል ፡፡ አስተዳዳሪው አዲስ ከሆነ ጠላፊ በእንደዚህ ያሉ አቃፊዎች ውስጥ ብዙ ጠቃሚ መረጃዎችን ማግኘት ይችላል ፡፡ ለምሳሌ ፣ የአስተዳዳሪ መግቢያ እና የይለፍ ቃል። የይለፍ ቃሉ ብዙውን ጊዜ በ md5 ስልተ ቀመር የተመሰጠረ ነው ፣ ግን በአውታረ መረቡ ላይ ዲክሪፕት ለማድረግ ብዙ አገልግሎቶች አሉ። በዚህ ምክንያት ጠላፊው ጣቢያውን ሙሉ በሙሉ ይቆጣጠራል። ማጠቃለያ-ፋይሎችን የማንበብ እና አቃፊዎችን የመክፈት መብቶችን ያዘጋጁ ፡፡
ደረጃ 5
ብዙውን ጊዜ ጠላፊዎች የተገኙትን ስኩዌር ተጋላጭነቶችን በመጠቀም የመረጃ ቋቶች ውስጥ ይገባሉ ፡፡ የጠላፊን “ሥራ” በእጅጉ የሚያመቻቹ ልዩ መገልገያዎች አሉ ፡፡ በእነሱ እርዳታ በጥቂት ደቂቃዎች ውስጥ የተጋላጭነት መኖር ይወሰናል ፣ ከዚያ የመረጃ ቋቱ ስም ይወሰናል ፣ ጠረጴዛዎች እና አምዶች ይሰላሉ ፣ ከዚያ በኋላ ጠላፊው በመረጃ ቋቱ ውስጥ የተከማቸውን መረጃ ሙሉ በሙሉ ያገኛል - ለምሳሌ ፡፡ ፣ መግቢያዎች እና የይለፍ ቃላት ፣ የብድር ካርድ መረጃዎች ፣ ወዘተ
ደረጃ 6
ለ sql ተጋላጭነቶች ሀብቶችዎን መሞከርዎን እርግጠኛ ይሁኑ ፣ ለዚህም የጠላፊ ፕሮግራሞችን መጠቀም ይችላሉ ፡፡ ለምሳሌ ፣ NetDeviLz SQL Scanner። የጣቢያዎን አድራሻ በፕሮግራሙ ውስጥ ያስገቡ ፣ አዝራሩን ጠቅ ያድርጉ። ተጋላጭነት ካለ የጣቢያው አድራሻ በታችኛው መስኮት ላይ ይታያል።
ደረጃ 7
ለአስተዳዳሪ በቀላሉ የሚገመት በጣም ቀላል የይለፍ ቃል መጠቀሙ በጣም የተለመደ ነው ፡፡ ለዚህም ፣ ልዩ ፕሮግራሞች ጥቅም ላይ ይውላሉ - ብሩዝ-ኃይለርስ ፣ መዝገበ-ቃላትን በመጠቀም ወይም ልዩ ስልተ ቀመሮችን በመጠቀም የይለፍ ቃልን የሚወስዱ ፡፡ የይለፍ ቃልዎ ቢያንስ 8 ቁምፊዎች ርዝመት ሊኖረው ፣ በተለያዩ ጉዳዮች የገባ እና ፊደሎችን ፣ ቁጥሮችን እና ልዩ ቁምፊዎችን ማካተት አለበት - @ ፣ $ ፣ ወዘተ ፡፡
ደረጃ 8
ለኤክስኤስኤስ ተጋላጭነቶች ሀብቶችዎን ይፈትሹ ፣ በጣም የተለመዱ ናቸው ፡፡ እንደዚህ ያለ ቀዳዳ በመጠቀም ጠላፊ የእርስዎን ኩኪዎች ማግኘት ይችላል። በእሱ ምትክ እነሱን በመተካት በመለያዎ ስር በቀላሉ ወደ ጣቢያው ይገባል። ሊኖሩ ለሚችሉ ተጋላጭነቶች ሀብትዎን ለመፈተሽ ሙሉውን ሕጋዊ ፕሮግራም ኤክስኤስፒር ይጠቀሙ ፡፡
