Осебпазирии сомонаҳои. Тафтиши сомона. Барномаи скан сайти барои осебпазирии

масъалаи амнияти сомона дорад, ҳеҷ гоҳ чун шадид тавре, ки дар асри 21 буд. Албатта, ин аст, вобаста ба паҳншавии ҳамаҷонибаи Интернет қариб дар тамоми соҳаҳои ва майдонҳои. Ҳар рӯз, ҳакерҳо ва коршиносони амният осебпазирии чанд сомонаҳо нав ёфт. Бисёре аз онҳо фавран соҳибони пӯшида ва таҳиягарон, вале баъзе боқӣ тавре, ки ҳаст. Ки аз ҷониби ҳамла бурда мешавад. Аммо бо истифода аз сомона ҳакерҳо метавонад зарари бузург ба ҳам истифодабарандагони он ва ба серверҳои, ки дар он ҷойгир аст, мегардад.

Намудҳои сомонаҳо ҳассосиятҳои

Вақте, ки шумо саҳифаҳои Интернет истифода бисёр технологияҳои электронӣ алоқамандро эҷод. Баъзе мураккабтар ва вақти озмуда аст, ва баъзе аз нав доранд ва фарсудаи нашудааст. Дар ҳар сурат, аст, фаровонӣ аз навъњои сайтҳои осебпазирии нест:

• XSS. Ҳар як макон дорад, як шакли хурд. Онҳо ба истифодабарандагон дохил маълумот ва ба даст натиҷа, бақайдгирии аст, гузаронида ё паёмҳо фиристед. Иваз дар шакли арзишҳои махсус метавонад иҷрои скрипт муайян, ки метавонад боиси вайрон кардани якпорчагии макон ва маълумоти махфиеро боиси ангеза.
• SQL-тазриќї. Роҳи хеле маъмул ва самаранок барои ба даст овардани дастрасӣ ба маълумоти махфӣ. Ин метавонад ба воситаи сатри суроға, ё тавассути шакл рӯй медиҳад. Раванди аз тарафи ивазкунандаи арзишҳои ки онҳоро наметавон филтр карда скриптҳои ва дархости пойгоҳи анҷом дода мешавад. Ва аз дониши дурусти он метавонад вайрон амният мегардад.

• HTML-гумроҳӣ. Амалан ҳамон тавре, ки аз XSS, вале на дарунсохти Рамзи скрипт, ва HTML.
• Дар осебпазирии сомонаҳои марбут ба ҷойгиркунии файлҳо ва феҳристро дар маконҳои пешфарз. Барои мисол, чун медонед, сохтори саҳифаҳои интернетӣ, шумо метавонед рамзи панели идоракунии мерасад.
• њифзи нокифояи сабти системаи оператсионӣ дар сервер. Агар ягон, осебпазирии мазкур аст, ки пас аз ҳамлаи бояд иҷро рамзи худсарона бошад.
• нишонаҳо бад. Яке аз осебпазирии сомонаҳои маълум бештар - истифодаи арзишҳои заиф барои ҳифзи ҳисоби худ. Бахусус, агар он бо як аз мудирон аст.
• њиљрати буферӣ. Он истифода мешавад иваз маълумот аз хотираи, то, ки шумо метавонед тасњењи худ кунад. Он рух медиҳад, вақте ки ҷалби нармафзори нокомил.
• Иваз бахшҳои сомонаи Шумо. Recreating нусхаи дақиқи сомонаи тавассути ворид оид ба корбар ки наметавонад гумонбар мешавад ҳиллаест, ва тафсилоти шахсии худро нависед, баъд аз чанд вақт гузаштани ҳамлаи.
• Рад намудани хизматрасонӣ. Умуман дар ин мӯҳлат аст, фаҳмида ҳамла дар сервер, вақте ки аз он қабул шумораи зиёди дархостҳои, ки қодиранд, ва танҳо "абрҳо" ё қодир ба хизмат дар ин истифодабарандагон мегардад. Дар осебпазирї дар он аст, ки филтри IP дуруст танзим нашудаанд вогузошта шудааст.

Осебпазирӣ шарту сайт

мутахассисони Амният аудити махсуси захираҳои веб барои хатоњои ва норасоиҳо, ки метавонад ба селгоҳе боиси гузаронида мешавад. Чунин сомона тафтиши номида pentesting. Раванди таҳлил рамзи манбаъ истифода аз тарафи CMS, ҳузури модулҳои ҳассос ва бисёр озмоишҳо шавқовар дигар.

SQL-тазриќї

Ин навъи сомона санҷиш муайян, ки оё алифбои Филтрҳо арзишҳои қабулшударо дар тайёр намудани дархостҳо ба пойгоҳи. Гузаронидани озмоиши оддии метавонед ба таври дастӣ бошад. Чӣ тавр пайдо кардани осебпазирии SQL дар сомона? Кӣ баррасӣ хоҳад шуд.

Масалан, як сомонаи ман-sayt.rf нест. Дар саҳифаи пеши худ дорад, каталоги. Рафта ба он, шумо метавонед дар суроғаи Бар чизе ба мисли ман-sayt.rf /? Product_id = 1 ёфт. Эҳтимол аст, ки ба ин дархост ба пойгоҳи дода аст. Барои пайдо кардани як осебпазирии сомона аввал метавонад кӯшиш ба ҷойнишинӣ дар саф иктибосе ягонаи. Дар натиҷа, бояд минаҳо sayt.rf /? Product_id = 1 'бошад. Агар шумо тугмаи "ворид" тугмаро дар саҳифа, як хато, осебпазирии вуҷуд дорад.

Акнун Шумо метавонед параметрҳои гуногуни интихоби арзишҳо истифода баред. Истифода операторони комбинатсияи истисно, шарҳнависиро ва бисёр дигарон.

XSS

фаъол ва ғайрифаъол - Ин навъи осебпазирии метавонад ду навъи бошад.

Фаъол маънои онро дорад, ҷорӣ намудани як пораи рамзи дар базаи ё дар файл дар сервер. Ин хатарнок ва пешгӯинашаванда аст.

Ҳолати ѓайри мегирад нанамуданд ҷабрдида ба суроғаи мушаххас аз сомонаи, ки дорои коди зараровар.

Истифодаи XSS ҳамлаи метавонад Cookies медузданд. Ва онҳо метавонанд маълумоти истифодабаранда муҳим дар бар гирад. Ҳатто ҳамаи пайомадҳои нохуш бештар ҷаласаи дуздида шудааст.

Ғайр аз ин, ҳуҷумкунандагон метавонад скрипт дар сомона, то ба ташаккули дар вақти фиристодани он иттилоот бевосита ба дасти як ҳамлаи дод истифодабаранда истифода баред.

Автоматикунонии раванди ҷустуҷӯ

Ин шабака метавонед бисёр ҷолиб сомона сканнерҳо осебпазирї ёфт. Баъзе-танҳо, баъзе бо якчанд чунин омада, ҳамроҳ шуд, ба як симои ягона, ба монанди Kali Linux. Оё минбаъд таъмин намудани шарҳи воситаҳои машҳуртарини ба автоматикунонии раванди ҷамъоварии иттилоот дар бораи осебпазирии.

Nmap

Осонтарин сканер осебпазирии сомона, ки метавонанд маълумоти ба монанди бандарҳои ва хизматрасонии системаи оператсионии истифода бурда нишон диҳад. Барномаҳои намунавӣ:

nmap -sS 127.0.0.1, ки дар он ба ҷои суроғаи IP маҳаллӣ зарур аст, ки ба иваз кардани макони озмоиши воқеӣ.

Гузориши Хулоса аз он чӣ хизматрасонии иҷро шудаанд, дар бораи он, ва он бандарҳои дар ин вақт кушода мебошанд. Дар асоси ин маълумот, шумо метавонед истифода осебпазирї аллакай муайян карда мешавад.

Дар ин ҷо якчанд калидҳои ба Хатои скан nmap аз инњо иборатанд:

• Син. скан хашмгин, ки дар Мурғоб бисёр маълумоти, аммо он метавон муддати мегирад.
• -O. Ин аст, талош барои муайян намудани системаи пардозандаро дар ин истифода бурда оид ба сервери Шумо.
• -D. Spoof як суроғаи IP ки аз он чек аст, вақте ки шумо барои дидани он ғайриимкон буд, ки ба сервери гузоришҳо барои муайян, ки ҳамла рух дод.
• -p. Дар мулоқот маҷмӯи васеи бандарҳои. Тафтиши хидматҳои якчанд барои кушода.
• -S. Ин ба шумо имкон медиҳад, то муайян кардани суроғаи IP дуруст.

WPScan

Ин барнома аст, ки ба скан сайти барои осебпазирии дохил тақсимоти Kali Linux. Таҳиягар тафтиш захираҳои интернетӣ дар WordPress CMS. он аст, ки дар Руби навишта шавад, то монанди ин идора:

ёқут ./wpscan.rb --help. Ин фармон тамоми имконоти ва мактуб дастрас нишон диҳад.

фармон метавонад истифода шавад барои раномаҳоилокалии санҷиши оддӣ:

ёқут ./wpscan.rb --url some-sayt.ru

Дар маҷмӯъ WPScan - хеле осон ба истифода коммуналӣ барои озмудани сомонаи Шумо оид ба «WordPress" осебпазириҳо.

Nikto

сомонаи Барномаи тафтиши барои осебпазирии, ки дар тақсимоти Kali Linux дастрас аст. Он имкониятҳои пурқудрати барои ҳамаи самимияте он:

• протоколи Скан бо HTTP ва HTTPS;
• бе дахолати зиёди воситаҳои сохта ошкор;
• бознигарии порт гуногун, ҳатто дар доираи ғайри стандартӣ;
• дастгирии истифодаи серверҳои прокси;
• мумкин аст, ки ба татбиқ ва пайвасти сими-надстройкаҳо.

Барои оғози зарурати nikto ба система дорад, Perl насб шудааст. Дар соддатарин Таҳлил зайл анљом:

Perl nikto.pl -h 192.168.0.1.

Ин барнома метавонад «лалмӣ» файли матнӣ, ки ба рӯйхат суроғаи сервер Web:

Perl nikto.pl -h file.txt

Ин восита на танҳо мутахассисони амният хоҳад кӯмак мекунад, ки гузаронидани Pentest, балки роҳбарони шабака ва захирањои барои нигоҳ доштани сайтҳои тандурустї.

Burp Suite

A воситаи хеле тавоно ба тафтиш на танҳо сомона, балки мониторинги ҳар шабакаи. Оё функсияи сохта-дар дархостҳои тағйирот ба сервери санҷиш гузашт карда шуданд. сканер Smart қодир ба таври худкор барои якчанд намуди осебпазирии назар дар як маротиба. Ин мумкин аст, ки ба ҷуз натиҷаи фаъолияти ҷорӣ ва пас аз он оғоз. Васеъ ба на фақат сеюм сими-надстройкаҳо, балки низ ба навиштани худ.

Дар коммуналӣ дорад, худро интерфейси истифодабаранда графикӣ он аст, ки онҳо, бешубҳа муносиб, махсусан барои истифодабарандагони эскизи.

SQLmap

Шояд воситаи қулай ва пурқудрати барои ҷустуҷӯи SQL ва XSS осебпазириҳо. Номбар афзалиятҳои он метавонад изҳори:

• Дастгирии қариб ҳамаи намудҳои системаҳои идоракунии базаи маълумотҳо;
• қобилияти истифода бурдани шаш роҳи асосӣ барои муайян кардани ариза ва SQL-тазриќї;
• Истифодабарандагон дар ҳолати, hashes онҳо, рамз ва дигар маълумот busting.

Пеш аз он ки бо истифода аз SQLmap одатан аввал як сомонаи осебпазир тавассути dork ёфт - вараќаи мошинаҳои ҷустуҷӯии дархости барои кӯмак ба шумо алафњои бегона аз захираҳои ҳисоб веб зарурӣ.

Он гоҳ, ки суроғаи саҳифаи аст, ки ба барномаи интиқол дода шудаанд ва тафтиш. Агар муваффақ, муайян кардани коммуналї осебпазирї метавонад худ ва истифодаи он барои ба даст овардани дастрасии пурра ба манбаъ.

Webslayer

A коммуналӣ хурд, ки ба шумо имкон медиҳад, ки ба ҳамла қувваи гаваллуд ёфтаанд. Оё «қувваи гаваллуд ёфтаанд» шаклҳои ҳаёт, параметрҳои ҷаласаи сомона. Ин дастгирӣ бисёрсоҳавӣ threading, ки таъсир аълохон аст. Шумо инчунин метавонед саҳифаҳои нишонаҳо recursively лонаӣ интихоб кунед. аст, дастгирии прокси нест.

Захираҳои барои тафтиши

Дар шабака мебошанд воситаҳои якчанд барои озмудани осебпазирии сомонаҳои интернетӣ вуҷуд дорад:

• coder-diary.ru. сомона оддӣ барои санҷиши. Танҳо ба суроғаи, захираҳои дохил ва тугмаи «Дар бораи кунед». Дар ҷустуҷӯи метавонад муддати дароз мегирад, бинобар ин шумо метавонед суроғаи почтаи электронӣ шумо барои дар охири натиҷаи омада бевосита дар санҷиши Обоварашонро муайян мекунад. Ҳоло қариб 2500 осебпазириҳои маъруф дар сомона нест.
• https://cryptoreport.websecurity.symantec.com/checker/. Тафтиши Хадамоти Online барои SSL ва шаҳодатномаи TLS аз ширкати Symantec. Ин талаб мекунад, танҳо ба суроғаи, ки захираи.
• https://find-xss.net/scanner/. Лоиња файл PHP алоҳида Технологияи аз сомонаҳои барои осебпазирии ё бойгонии ZIP. Шумо метавонед намуди файлҳо ба лайн ва рамзҳои, ки аз тарафи маълумоти дар скрипти ба муҳофизаткардашудаи муайян.
• http://insafety.org/scanner.php. Сканер санҷидани сайтҳои оид ба платформаи «1С-Bitrix». Интерфейси оддӣ ва беихтиёрона.

Дар алгоритми бознигарии барои осебпазирии

Њар як мутахассиси амнияти шабакавӣ иҷро чек дар алгоритми оддӣ:

1. Дар аввал ба он ба таври дастӣ, ё бо истифода аз абзорҳои автоматӣ тањлил, ки оё ягон осебпазирии онлайн нест. Агар ҳа, пас он навъи онҳо муайян мекунад.
2. Вобаста ба намуди осебпазирї мазкур месозад иқдомҳои минбаъда. Барои мисол, агар ки мо медонем, дар CMS, пас интихоби усули дахлдори ҳамла. Агар он SQL-тазриќї, ки дархостҳои интихобшударо ба махзани аст.
3. Мақсади асосии аст, ки ба дастрасии имтиёзноки ба панели маъмурӣ. Агар ғайриимкон буд, ба даст овардани чунин нест, шояд он ба маблағи ба кӯшиш ва ташаккули суроғаи қалбакӣ бо љорї намудани алифбои худ бо додани минбаъдаи ҷабрдида.
4. Агар ягон ҳамла ва ё фарогирии наояд, он сар ҷамъоварии маълумот: шудаанд, он ҷо зиёда аз осебпазирии, ки камбудиҳои ҳузур дошта бошанд.
5. Дар асоси коршиноси амнияти маълумот мегӯяд, соҳиби сомонаи дар бораи мушкилот ва чӣ тавр ба ҳалли онҳо.
6. Осебпазирии доранд, ки бо дасти худ ё бо ёрии оғоёни сеюм бартараф карда шавад.

A чанд маслиҳатҳои бехатарии

Касоне, ки ҳастанд, худдорӣ инкишоф сомонаи худ, ба ин маслиҳатҳои оддӣ ва хардовар кӯмак хоҳад кард.

маълумоти воридотӣ бояд филтр карда шавад, то ки скриптҳои ё дархостҳо нест, метавонад давида истода-танҳо ё барои маълумот аз пойгоҳи.

Истифода нишонаҳо мураккаб ва қавӣ барои дастрасӣ ба ба панели идоракунӣ маъмурият, ба хотири роҳ надодан ба қувваи гаваллуд имконпазир.

Агар сомонаи мазкур дар асоси ба CMS, шумо бояд зудтар воридҳо исбот, Шаблонҳои ва модулҳои метавонад зуд-зуд навсозӣ ба он ва ба кор бурдани. Оё сайти бо ҷузъҳои нолозимро изофабори воситаҳои нест.

Аксар вақт барои ашро шубҳанок ё амали тафтиш хатоҳои сервер.

сомонаи худ якчанд сканнерҳо ва хизматрасониҳои худ санҷед.

Ба танзимоти сервер дуруст - калиди ба фаъолияти устувор ва бехатари онро.

Агар имконпазир бошад, истифода баред сертификати SSL. Ин дахолат намудани маълумоти шахсӣ ё махфӣ байни сервер ва корбар пешгирии.

Воситаҳои барои амният. Ин ба маънои насб ва ё нармафзор пайваст пешгирии беиҷозат ва таҳдидҳои беруна.

хулоса

Дар мақолаи рӯй макон мусбат, балки ҳатто аз он аст, кофӣ барои тавсифи муфассал њамаи љанбањои амнияти шабака нест. Барои мубориза бо мушкилоти амнияти иттилоотӣ, ки ба омӯзиши бисёр, мавод ва дастурҳои он зарур аст. Ва низ ба ёд як хӯшаи асбобҳои ва технологияҳои. Шумо метавонед маслиҳатҳои ҷустуҷӯ кунем ва аз ширкатҳои касбї, ки дар Pentest ва захираҳои веб аудити тахассус кӯмак кунед. Ҳарчанд хадамоти мазкур, ва ба маблағи хуб рӯй, ҳамаи амнияти сомона ҳамин метавонад бошад, хеле гаронтар аз нигоҳи иқтисодӣ ва нуфузи.