Η γνώση των μεθόδων επίθεσης σάς επιτρέπει να οικοδομήσετε μια αποτελεσματική αμυντική στρατηγική - αυτός ο κανόνας ισχύει όχι μόνο στους κύκλους του στρατού, αλλά και στο Διαδίκτυο. Με την κατανόηση του τρόπου με τον οποίο οι χάκερ εισβάλλουν σε ιστότοπους, θα μπορείτε να κλείσετε εκ των προτέρων πιθανές ευπάθειες του πόρου σας.
Οδηγίες
Βήμα 1
"Μεταφόρτωση κελύφους σε ιστότοπο" σημαίνει τη χρήση ευπάθειας στον ιστότοπο για την ένεση κακόβουλου σεναρίου (κέλυφος ιστού) που επιτρέπει σε έναν εισβολέα να ελέγχει τον ιστότοπο κάποιου άλλου μέσω της γραμμής εντολών. Το απλούστερο κέλυφος PHP μοιάζει με αυτό:
Βήμα 2
Ένας χάκερ δεν χρειάζεται να δημιουργήσει το δικό του κέλυφος ιστού, τέτοια προγράμματα έχουν γραφτεί για πολύ καιρό και έχουν ένα πολύ μεγάλο σύνολο λειτουργιών. Η αποστολή του χάκερ είναι να ανεβάσει ένα έτοιμο κέλυφος στον ιστότοπο, συνήθως χρησιμοποιούνται ενέσεις SQL και PHP.
Βήμα 3
Το SQL injection εκμεταλλεύεται σφάλματα κατά την πρόσβαση στη βάση δεδομένων. Με την εισαγωγή του κωδικού του σε ένα αίτημα, ένας εισβολέας μπορεί να αποκτήσει πρόσβαση σε αρχεία βάσης δεδομένων - για παράδειγμα, σε συνδέσεις και κωδικούς πρόσβασης, δεδομένα τραπεζικής κάρτας κ.λπ. Οι ενέσεις PHP βασίζονται σε σφάλματα σε σενάρια PHP και επιτρέπουν την εκτέλεση κώδικα τρίτων στον διακομιστή.
Βήμα 4
Πώς γνωρίζετε εάν ο ιστότοπός σας έχει ευπάθειες; Είναι δυνατή η μη αυτόματη εισαγωγή ορισμένων εντολών, η παροχή τιμών στη γραμμή διευθύνσεων κ.λπ., αλλά αυτό απαιτεί συγκεκριμένες γνώσεις. Επίσης, δεν υπάρχει καμία εγγύηση ότι θα δοκιμάσετε κάθε πιθανή επιλογή. Επομένως, χρησιμοποιήστε εξειδικευμένα βοηθητικά προγράμματα για επαλήθευση - για παράδειγμα, το πρόγραμμα XSpider. Αυτό είναι ένα απολύτως νόμιμο πρόγραμμα που δημιουργήθηκε για διαχειριστές δικτύου, με τη βοήθεια του μπορείτε να ελέγξετε τον ιστότοπό σας για ευπάθειες. Η επίδειξη του μπορεί να βρεθεί στο διαδίκτυο.
Βήμα 5
Υπάρχουν πολλά προγράμματα για την εύρεση τρωτών σημείων που δημιουργούνται από χάκερ. Χρησιμοποιώντας αυτά τα βοηθητικά προγράμματα, ένας διαχειριστής μπορεί να ελέγξει τον ιστότοπό του με τα ίδια εργαλεία που μπορεί να προσπαθήσουν να το χαράξουν. Για να βρείτε αυτά τα εργαλεία, αναζητήστε "σαρωτές SQL" ή "σαρωτές ευπάθειας PHP". Ένα παράδειγμα ενός βοηθητικού προγράμματος που επιτρέπει, παρουσία μιας ευπάθειας SQL, να λαμβάνει πληροφορίες από μια βάση δεδομένων, είναι το Havij - Advanced SQL Injection Tool. Μπορείτε να ελέγξετε τον ιστότοπό σας για την παρουσία ευπαθειών SQL χρησιμοποιώντας το βοηθητικό πρόγραμμα χάκερ NetDeviLz SQL Scanner. Οι αναγνωρισμένες ευπάθειες πρέπει να εξαλειφθούν αμέσως.
