KompyutaUsalama

Udhaifu wa maeneo. Tovuti Checking. Programu kwa Scan tovuti kwa ajili ya udhaifu

tovuti usalama suala haijawahi kama papo hapo kama katika karne ya 21. Bila shaka, hii ni kutokana na kuenea kina ya Internet katika karibu wote viwanda na mashamba. Kila siku, walaghai na wataalam wa usalama zilipata mpya udhaifu wa maeneo. Wengi wao mara moja imefungwa wamiliki na watengenezaji, lakini baadhi ya kubaki kama ilivyo. Ambayo hutumiwa na washambuliaji. Lakini kwa kutumia tovuti iliyovamiwa inaweza kusababisha madhara makubwa kwa watumiaji wake wote na seva ambayo ni liko.

Aina ya maeneo udhaifu

Wakati kujenga kurasa Mtandao kutumika kwa kura ya teknolojia kuhusiana na elektroniki. Baadhi ni ya kisasa na wakati-kupimwa, na baadhi ni mpya na si huvaliwa. Katika hali yoyote, kuna mengi ya aina ya maeneo ya udhaifu:

  • XSS. Kila tovuti ana aina ndogo. Wao kusaidia watumiaji kuingia data na kupata matokeo, usajili unafanywa au kutuma ujumbe. Badala katika mfumo wa maadili ya pekee wanaweza kusababisha utekelezaji wa script fulani, ambayo inaweza kusababisha ukiukaji wa uadilifu wa tovuti na data kuacha.
  • SQL-sindano. njia ya kawaida sana na madhubuti ili kupata huduma kwa data za siri. Hii inaweza kutokea ama kwa njia ya sehemu ya anwani, au kupitia fomu. mchakato unafanywa kwa kugeuza maadili ambayo haiwezi kuchujwa hati na swala database. Na kwa maarifa sahihi inaweza kusababisha uvunjaji wa usalama.

  • HTML-kosa. Karibu sawa na ile ya XSS, lakini si iliyoingia script msimbo, na HTML.
  • mazingira magumu ya maeneo yanayohusiana na upangaji wa files na directories katika maeneo chaguo-msingi. Kwa mfano, kujua muundo wa kurasa za mtandao, unaweza kufikia utawala jopo code.
  • ulinzi wa kutosha wa kuanzisha mfumo wa uendeshaji kwenye server. Kama ipo, mazingira magumu ni sasa, basi mshambuliaji wataweza kutekeleza kanuni kiholela.
  • nywila mbaya. Moja ya wazi zaidi udhaifu wa maeneo - tumia maadili dhaifu kulinda akaunti zao. Hasa kama ni msimamizi.
  • Buffer kufurika. Ni kutumika wakati kuchukua nafasi ya takwimu kutoka kumbukumbu, ili uweze kufanya marekebisho yao wenyewe. Hutokea wakati ushiriki wa programu ya kutokamilika.
  • Kuchukua nafasi ya sehemu ya tovuti yako. Kuunda upya nakala halisi ya tovuti kwa kuingia kwenye kwa mtumiaji ambaye hawezi watuhumiwa hila na kuingia maelezo yako ya kibinafsi, baada ya baadhi ya wakati kupita mshambulizi.
  • Kunyimwa huduma. Kwa ujumla muda huu Inaeleweka mashambulizi ya server wakati inayopata idadi kubwa ya maombi ambayo inaweza kushughulikia, na kifupi "matone" au inakuwa hawawezi kutumikia watumiaji hawa. mazingira magumu lipo katika ukweli kwamba IP filter halijasanidiwa vizuri.

Mazingira magumu Scan Site

wataalamu wa Usalama ilifanya ukaguzi maalum wa rasilimali mtandao kwa makosa na kasoro ambayo inaweza kusababisha ngozi. Kama tovuti ya kuthibitisha wito pentesting. mchakato uchambuzi chanzo kanuni kutumiwa na CMS, mbele ya modules nyeti na mengine mengi ya vipimo ya kuvutia.

SQL-sindano

Aina hii ya mtihani tovuti huamua kama script kuchunga maadili kupokea katika maandalizi ya maombi ya database. Kufanya mtihani rahisi inaweza kuwa mkono. Jinsi ya kupata SQL mazingira magumu kwa tovuti? Nani itajadiliwa.

Kwa mfano, kuna tovuti yangu-sayt.rf. Kwenye ukurasa wake wa mbele ina catalog. Kwenda katika hiyo, inaweza kupatikana katika sehemu ya anwani kitu kama yangu-sayt.rf /? PRODUCT_ID = 1. Inawezekana kwamba hii ni ombi database. Kupata tovuti udhaifu unaweza kwanza kujaribu mbadala mfululizo kunukuu moja. Kwa sababu hiyo, unapaswa kuwa mgodi-sayt.rf /? PRODUCT_ID = 1 '. Kama vyombo vya habari "Enter" button kwenye ukurasa, ujumbe wa kosa, hatari ipo.

Sasa unaweza kutumia chaguzi mbalimbali kwa ajili ya uteuzi wa maadili. Kutumika pamoja waendeshaji isipokuwa, kutoa maoni na wengine wengi.

XSS

Aina hii ya mazingira magumu inaweza kuwa ya aina mbili - kazi na watazamaji.

Active ina maana kuanzishwa kwa kipande ya kificho katika database au katika faili kwenye server. Ni hatari zaidi na haitabiriki.

mode tulivu inahusisha luring mwathirika kwa anwani maalum ya tovuti iliyo msimbo hasidi.

Kwa kutumia XSS mshambulizi anaweza kuiba Cookies. Na unaweza kuwa na data muhimu mtumiaji. Hata matokeo zaidi dire ameiba kikao.

Pia, mshambulizi anaweza kutumia hati kwa tovuti ili kuunda wakati wa kutuma alitoa taarifa ya mtumiaji moja kwa moja kwenye mikono ya mshambulizi.

Automation katika harakati search

mtandao unaweza kupata mengi ya kuvutia mazingira magumu scanners tovuti. Baadhi ya kuja peke yake, baadhi ya kuja na kadhaa sawa na kuwekwa katika picha moja, kama Kali Linux. Itaendelea kutoa maelezo ya jumla ya zana maarufu aŭtomate mchakato wa kukusanya taarifa kuhusu udhaifu.

Nmap

rahisi tovuti mazingira magumu Scanner kwamba wanaweza kuonyesha maelezo kama vile bandari na huduma za mfumo wa uendeshaji kutumika. Typical maombi:

Nmap -sS 127.0.0.1, ambapo badala ya anwani za mitaa IP ni muhimu mbadala halisi ya mtihani tovuti.

Hitimisho ripoti ya huduma gani mbio juu yake, na ambayo bandari ni wazi kwa sasa. Kulingana na taarifa hii, unaweza kujaribu kutumia tayari kutambuliwa mazingira magumu.

Hapa ni funguo chache Nmap Scan upendeleo:

  • -A. Fujo Scan kwamba iliyotupwa mengi ya habari, lakini inaweza kuchukua muda mrefu.
  • -O. Ni kujaribu kutambua mfumo wa uendeshaji kutumika katika server yako.
  • -D. Kuepukwa anwani ya IP ambayo kuangalia ni kwa unapotazama ilikuwa vigumu kwa kumbukumbu za seva ya kuamua ambapo mashambulizi ilitokea.
  • -p. mbalimbali ya bandari. Kuangalia huduma kadhaa kwa wazi.
  • -S. Ni inakuwezesha kubainisha anwani sahihi ya IP.

WPScan

Mpango huu ni kuichanganua tovuti kwa ajili ya udhaifu pamoja katika Kali Linux usambazaji. Iliyoundwa na kuangalia rasilimali mtandao kwenye WordPress CMS. Basi, imeandikwa katika Ruby, hivyo kukimbia kama hivi:

rubi ./wpscan.rb --help. Amri hii itaonyesha chaguo zinazopatikana wote na herufi.

amri inaweza kutumika kuendesha mtihani rahisi:

rubi ./wpscan.rb --url some-sayt.ru

Kwa ujumla WPScan - pretty rahisi kutumia shirika mtihani tovuti yako juu ya "wordpress" udhaifu.

Nikto

Programu tovuti kukagua udhaifu, ambayo pia ni inapatikana katika Kali Linux usambazaji. Hutoa uwezo wa nguvu kwa unyenyekevu wake wote:

  • Scan itifaki na HTTP na HTTPS,
  • bypassing zana nyingi kujengwa kugundua;
  • nyingi bandari skanning, hata katika zisizo za kawaida mbalimbali;
  • kuunga mkono matumizi ya seva wakala,
  • inawezekana kutekeleza na uhusiano programu-jalizi.

Kuanza haja nikto na mfumo imewekwa Perl. uchambuzi rahisi ni kazi kama ifuatavyo:

Perl nikto.pl -h 192.168.0.1.

mpango inaweza kuwa na "kulishwa" faili ya maandishi orodha anwani Web server:

Perl nikto.pl -h file.txt

Chombo hiki si tu kusaidia wataalamu wa usalama wa kufanya Pentest, lakini mtandao watendaji na rasilimali kudumisha maeneo ya afya.

burp Suite

zana yenye nguvu sana ya kuangalia si tu tovuti, lakini ufuatiliaji wa mtandao wowote. Ina kujengwa katika kazi ya maombi muundo walikuwa kupita kwenye kompyuta mtihani. Smart skana uwezo wa moja kwa moja kutafuta aina mbalimbali za udhaifu kwa mara moja. Inawezekana kuokoa matokeo ya shughuli ya sasa na kisha kuanza tena hivyo. Kubadilika na si tu kutumia tatu ya programu-jalizi, lakini pia kuandika yako mwenyewe.

shirika ina wenyewe graphical user interface yake, ambayo bila shaka ni rahisi, hasa kwa watumiaji novice.

SQLmap

Pengine rahisi zaidi na chombo nguvu kwa ajili ya kutafuta SQL na XSS udhaifu. Orodha faida yake inaweza walionyesha kama:

  • Support karibu kila aina ya mifumo ya usimamizi Mbegu;
  • uwezo wa kutumia njia ya msingi sita kuamua maombi na SQL-sindano,
  • Watumiaji busting mode, hashes yao, nywila na data nyingine.

Kabla ya kutumia SQLmap kawaida kwanza kupatikana tovuti mazingira magumu kupitia dork - tupu injini swala search kukusaidia kupalilia nje inakadiriwa rasilimali muhimu za mtandao.

Kisha pepe ya ukurasa huhamishwa kwa mpango, na inspects. Kama mafanikio, ufafanuzi wa mazingira magumu shirika inaweza yenyewe na matumizi yake ya kupata kupata picha kamili ya rasilimali.

Webslayer

shirika dogo kwamba utapata mashambulizi brute nguvu. Anaweza "brute nguvu" aina ya maisha, vigezo kikao ya tovuti. Ni inasaidia mbalimbali threading, ambayo huathiri utendaji ni bora. Unaweza pia kuchagua kurasa nywila recursively nested. Kuna msaada mbadala.

Rasilimali kwa ajili ya kuangalia

Katika mtandao kuna zana kadhaa mtihani mazingira magumu ya maeneo online:

  • coder-diary.ru. Simple tovuti kwa ajili ya kupima. Tu kuingia barua, rasilimali na bonyeza "Angalia". search inaweza kuchukua muda mrefu, hivyo unaweza kutaja anuani yako ya barua pepe ili kuja mwisho wa matokeo ya moja kwa moja katika mtihani ya kusogeza. kuna 2,500 inayojulikana udhaifu katika tovuti.
  • https://cryptoreport.websecurity.symantec.com/checker/. Online Service kuangalia kwa SSL na TLS cheti kutoka kampuni Symantec. Inahitaji tu anwani, rasilimali.
  • https://find-xss.net/scanner/. mradi ni tofauti PHP faili scans tovuti za udhaifu au ZIP archive. Unaweza kutaja aina ya faili kwenye kukaguliwa na alama, ambayo, mnalindwa na data katika hati.
  • http://insafety.org/scanner.php. Scanner mtihani wa maeneo kwenye jukwaa "1C-Bitrix". Rahisi na Intuitive interface.

algorithm kwa skanning kwa udhaifu

Any mtaalamu usalama wa mtandao hufanya kuangalia juu ya algorithm rahisi:

  1. Mara ya kwanza kwa mikono au kwa kutumia zana automatiska uchambuzi kama kuna mazingira magumu yoyote online. Kama ndiyo, basi ni huamua aina yao.
  2. Kulingana na aina hatari ya sasa hujenga hatua zaidi. Kwa mfano, kama tunajua CMS, kisha kuchagua njia sahihi ya mashambulizi. Kama ni SQL-sindano, maswali kuchaguliwa database.
  3. Lengo kuu ni kupata kupata upendeleo katika jopo utawala. Kama haikuwa inawezekana kufikia hayo, labda ni thamani ya kujaribu na kuunda anwani bandia na kuanzishwa kwa script yake na uhamisho baadae ya mhasiriwa.
  4. Kama mashambulizi yoyote au kupenya inashindwa, inaanza kukusanya data: ni kuna zaidi mazingira magumu ambayo kasoro zipo.
  5. Kulingana na mtaalam data usalama anasema mmiliki wa tovuti juu ya matatizo na jinsi ya kuyatatua.
  6. Udhaifu ni kuondolewa kwa mikono yake au kwa msaada wa mabwana wengine.

chache usalama tips

Wale ambao ni binafsi yanaendelea tovuti yake mwenyewe, itasaidia hii tips rahisi na mbinu.

data zinazoingia lazima kuchujwa ili hati au maswali hawezi kukimbia kusimama pekee au kutoa data kutoka database.

Matumizi nywila tata na nguvu ya kupata utawala jopo, ili kuepuka uwezekano wa nguvu brute.

Kama tovuti ni msingi CMS, unahitaji haraka kuthibitika Plugins, templates na modules inaweza kuwa mara kwa mara taarifa hiyo na kuomba. Je, si overload tovuti na vipengele lazima.

Mara nyingi kuangalia kumbukumbu za seva kwa matukio haya tuhuma au vitendo.

Angalia tovuti yako mwenyewe skena na huduma kadhaa.

sahihi usanidi wa seva - muhimu kwa utekelezaji wake imara na salama.

Kama inawezekana, kutumia cheti SSL. Hii kuzuia kutekwa kwa data binafsi au ya siri kati ya seva na mtumiaji.

Vyombo ya usalama. Ni mantiki ya kufunga au kuunganisha programu kuzuia uingizaji na vitisho vya nje.

hitimisho

Makala akageuka makazi yao chanya, lakini hata haitoshi kuelezea kwa kina masuala yote ya usalama wa mtandao. Ili kukabiliana na tatizo la usalama wa habari, ni muhimu kujifunza mengi ya vifaa na maelekezo. Na pia kujifunza rundo la zana na teknolojia. Unaweza kutafuta ushauri na msaada kutoka kwa makampuni ya kitaalamu kwamba utaalam katika Pentest na rasilimali za ukaguzi mtandao. Ingawa huduma hizi, na kurejea katika kiasi nzuri, yote sawa Tovuti usalama inaweza kuwa ghali zaidi katika masuala ya kiuchumi na katika reputational.

Similar articles

 

 

 

 

Trending Now

 

 

 

 

Newest

Copyright © 2018 sw.unansea.com. Theme powered by WordPress.