Back to Question Center
0

სემალტის ექსპერტი: Surefire გზები დაიცვას საიტის საწყისი Hackers

1 answers:

ადამიანების უმეტესობა ფიქრობს, რომ მათი ვებ-გვერდი არაფერია მნიშვნელოვანი, რომ გატეხილი იყოს. ნახვა შეიძლება იყოსსერვერი გამოიყენოს ჰაკერების მიერ სპამის გადაცემის ან დროებითი სერვერის გამოყენება, რომელიც უკანონო ფაილებს მასპინძლობს. ჰაკერების სამიზნე ნახვასერვერების ნაღმების bitcoins, იმოქმედოს როგორც botnets ან მოთხოვნა ransomware. ჰაკერები ავტომატური სკრიპტების გამოყენებას ინტერნეტის დარღვევით ცდილობენგამოვიყენოთ პროგრამული უზრუნველყოფის დაუცველობა - fedora hat ladies.

ქვემოთ მოცემულია იგორ გამანენკოს მიერ მომზადებული რჩევები სემალტი კლიენტების წარმატებული მენეჯერი, თქვენი და თქვენი ვებ-გვერდის დაცვა.

Up-to-date პროგრამული უზრუნველყოფა

სერვერზე ოპერაციული პროგრამული უზრუნველყოფა და ნებისმიერი მხარდაჭერა პროგრამული უზრუნველყოფა უნდა რეგულარულად განახლდეს.ნებისმიერ დაუცველობას პროგრამული უზრუნველყოფა აძლევს ჰაკერების ადვილად loophole მანიპულირება და მანიფესტი მათი ცუდი მოტივები. თუ მასპინძლობს კომპანია მართავსთქვენი ნახვა, მაშინ არაფერია საშიში, როგორც მასპინძელი ფირმა უნდა იზრუნოს ვებ უსაფრთხოებას. ყველა მესამე მხარის პროგრამები უნდა იყოსრეგულარულად განახლებული ახალი უსაფრთხოების პატჩები.

SQL ინექცია

ჰაკერები იყენებენ საინექციო თავდასხმებს ვებ-გვერდის მანიპულირებაში. სტანდარტული გამოყენებაგამარტივებული SQL ხდის ადვილად unknowingly ჩადეთ მუქარის კოდები შევიდა შეკითხვა, რომელიც შეიძლება გამოყენებულ იქნას მანიპულირება მაგიდები ან წაშლა მონაცემები. დანთავიდან აცილება, ყოველთვის გამოიყენოთ პარამეტრირებული კითხვები, როგორებიცაა:

$ stmt = $ pdo-> მოამზადეთ ('აირჩიეთ * მაგიდის ჩარჩო, სადაც სვეტი = ღირებულება');

$ stmt-> შესრულება (array ('value' => $ parameter));

ჯვრის საიტი სკრიფტინგის

თავდასხმების ეს ფორმები ვებ-გვერდზე ჩაყრის ჩამკეტის JavaScript კოდებიინტერნეტ ბრაუზერებს ანონიმურად ეშვება და შეუძლია შეცვალოს ვებ-გვერდები, ან იმოქმედოს მგრძნობიარე ინფორმაცია ჰაკერზე დაბრუნებაზე..ნახვაადმინისტრატორმა უნდა უზრუნველყოს, რომ მომხმარებელს არ შეუძლია წარმატებით მიეცეს JavaScript- ის შინაარსი თქვენს გვერდზე. ისეთი ინსტრუმენტები, როგორიცაა Content Securityპოლიტიკა ხელმძღვანელობს ვებ ბრაუზერი ზღუდავს, თუ როგორ და რა JavaScript იწყება გვერდზე.

შეცდომის შეტყობინებები

ვებ-გვერდის ადმინისტრატორი უნდა იყოს ფრთხილად თქვენს მიერ ნაჩვენებ ინფორმაციაზეშეცდომის შეტყობინებები. მხოლოდ მომხმარებლებისთვის შემოიფარგლება შეზღუდული შეცდომები, რათა უზრუნველყონ, რომ მათ არ მიაწოდოთ საიდუმლო მონაცემები თქვენს სერვერებზეპაროლები ან API გასაღებები.

პაროლები

ძალიან მნიშვნელოვანია გამოიყენოთ კომპლექსური პაროლები თქვენი სერვერების წვდომისათვისვებ გვერდების ადმინისტრირება. მომხმარებელი ასევე უნდა წახალისდეს ძლიერი ანგარიშების გამოყენება, რათა უზრუნველყოს მათი ანგარიშები. კომბინაცია ზედა,ქვედა, ციფრები და სპეციალური სიმბოლოები წარმოადგენს უსაფრთხო პაროლს. პაროლები უნდა ინახებოდეს ჰეშინგის ალგორითმით. საიტიუსაფრთხოების გაუმჯობესება შესაძლებელია პაროლის ახალი და უნიკალური მარილის გამოყენებით.

ფაილის ატვირთვები

ხელის შეშლის მცდელობის თავიდან ასაცილებლად, სასურველია ატვირთოს პირდაპირ წვდომის თავიდან აცილებაფაილები. თქვენს ვებსაიტზე ატვირთული ნებისმიერი ფაილი ინახება ცალკე საქაღალდეში ვებროტის გარეთ. სხვა სცენარი უნდა იყოსშეიქმნა ფაილების პირადი საქაღალდედან და ისარგებლა ბრაუზერისთვის.

HTTPS

ეს ოქმია, რომელიც უზრუნველყოფს უსაფრთხოებას ვებგვერდზე. ეს უზრუნველყოფს მომხმარებლებსისინი სერვერზე წვდომას ემორჩილებიან და არც ჰაკერებს შეუძლიათ ხელი შეუშალონ შინაარსის გადაცემას. ნახვა, რომელიც მხარს უჭერს დაკრედიტებასბარათები ან სხვა გადახდის ფორმები უნდა გამოიყენოთ ავთენტური ქუქი-ფაილები ნებისმიერი მომხმარებლის მოთხოვნით. ეს ხელს უწყობს ავტორიზაციის მოთხოვნებს ამგვარად ჩაკეტვასმოშორებით თავდასხმები.

ვებსაიტის უსაფრთხოების ინსტრუმენტები

ერთხელ თქვენ შეასრულეთ ყველა ზემოაღნიშნული ღონისძიება, ტესტირება თქვენი ნახვა უსაფრთხოებამნიშვნელოვანია. ეს არის საუკეთესო განხორციელებული შეღწევა ტესტირება ინსტრუმენტები, რომელიც მოიცავს Netsparker, OpenVAS, უსაფრთხოების Headers.io და Xenotix XSSექსპლოიტის ჩარჩო. ინსტრუმენტების გამოყენების შედეგები წარმოადგენენ პოტენციური შეშფოთების ფართო სპექტრს და შესაძლო მოწინავე გადაწყვეტილებებს.

November 28, 2017