Baweriyên malperên Malperê kontrol bikin. Bernameyek ji bo malpera neheqiyê heye

Pirsgirêka ewlehiyê ya sîgorteyê di sedsala 21'an de qet ji bêtir dijwar bû. Bê guman, ev e ku ji ber belavkirina tevahiya sektoran û qadên tevlîhevkirina torê ya înternetê ye. Her roj hackers û pisporên ewlekariyê gelek malan ên malperên nû hene. Gelek wan ji hêla xwediyê xwedan û pêşdebirker ve girêdayî ye, û hinekan wek ku ew in. Ji û ji hêla malfactor têne bikaranîn. Lê bi alîkariya malpera hacked, hûn dikarin bikarhênerên her du bikarhêneran û servîsên li ser kîjan hostedar dibe.

Cureyên malpera malperê

Dema ku rûpelên malperê çêbikin, gelek teknolojiyên elektronîk têne bikaranîn. Hinekan bêkêmahî û demdirêj in, lê hinek nû ne û hîn neçar dibin. Di her rewşê de, gelek celebên xemgîniyê hene:

• XSS Her malperê formên piçûk hene. Bi alîkariya xwe, bikarhênerên danûstandin û encamê encam dikin, şîfre bikin yan peyamên şandin. Bi veguhastina nirxên taybetî yên taybetî di van forman de, ew e ku ji bo darvekirina hin laşê, ku dibe sedema binpêkirina yekserbûna malperê û peymana danûstendinê.
• SQL injection. Riya gelemperî û bandor a ku ji bo daneyên ewlehiyê ve. Ew dikare di nav barê navnîşan an navnîşên navnîşan de dibe. Proses ji hêla nirxên veguherînan ve tête kirin ku ji hêla şîfre û kiryarên li ser databases têne veşartin nabe. Û zanistî bi awayekî rastîn, ev dikare dibe sedema binpêkirina ewlehiyê.

• Çewtiyên HTML. Bi heman demê wekî XSS, lê ew navek şîfreyek şopandin, lê HTML.
• Nexşeya nexşeyên ku digel pelên pelan û derhêneran de li cihên default Ji bo nimûne, avahiyên pirtûka malperan dizanin, hûn dikarin koda peldankê bibin.
• Pergala neheq a sîstema ewlehiyê ya ser serverê. Heke hûrgelan heye, hingê êrişker ê dê bikaribe kodê xwezayî ya xwe bistînin.
• Şîfreyên xerab Yek ji hestiyariyên zelal ên zelal e ku karûbarên qelsî yên ku ji hesabê we re biparêze ye. Bi taybetî jî ew bi rêveberê mafên mirovan re ye.
• Buffer overflow. Dema ku danûstandinên ji bîranîna veguhestinê ve tê bikaranîn, ji ber ku hûn dikarin xwe çêbikin. Dema ku pergala îmfektîfan tê bikaranîn.
• Replacement pages of resource source. Li ser kopiyek rast ya malperê bixwînin, bi rêya ku bikarhêner bikaribe dibe ku bikişîna qehrekî guman nakeve û danûstendina xwe ya şexsî, piştî demekê li ser êrişê.
• Denizal of service. Baskî, ev termê li ser serverek veguhestin ku dema ku ew pir zêde daxwazan qebûl dike ku ew pêvajoyê nekin û bi tenê "hilkişe" an jî bi karanîna bikarhênerên rastînîn pêk tê. Xerasiyek e ku nexşeya IP-ê bi awayekî veguhastî ne.

Li malpera malaniyê bigerin

Pisporên pisporên çavkaniyên taybet ên çavkaniyên web yên li ser derfetên çewt û kêmasiyên ku ji bo hacking ve dibe. Wateya vê malperê ya malperê tête gotin. Di pêvajoya, koda çavkaniyê de ji hêla CMS ve tê bikaranîn, amadebûna modulên bêhêvî û gelek lêpirsînên balkêş ên din têne lêkolîn kirin.

SQL injection

Ev cureya malperê kontrol dike ka pirtûkxane nirxên wergirtina ku dema pirsên danûstendinê de databases felixe dike an jî. Hûn dikarin ceribandinên herî hêsan bi awayekî hêsantir bikin. Çawa ku li ser malpera SQL nexweşî bibîne? Niha ew tê fêm kirin.

Ji bo nimûne, malpera min-site.rf hene. Li kategoriya sereke ya sereke heye. Herin herin, hûn dikarin di navnîşana navnîşê de wekî my-site.rf /? Product_id = 1 bibînin. Wê derfet heye ku ev daxwazek danûstendinê ye. Ji bo ku ji bo malperên cîhanê bigerin, hûn dikarin pêşî hewl bikin ku di vê rêzê de nîşana yekgirtinê hilbijêre. Di dawiyê de, divê min-site.rf /? Product_id = 1 'be. Heke ku hûn li ser rûpelê "Enter" binivîse ku hûn peyamek çewtiyek bibînin, hingê ew neheqiyê heye.

Niha hûn dikarin ji bo nirxên hilbijartinê bikarhênerên cuda bikar bînin. Yekîtatorên Yekgirtî, lêgerîn, şîrove û gelek kesan têne bikaranîn.

XSS

Ev cûreyek hûrgelan dikare ji du celeb - çalak û çalakvanan bibin.

Çalak tevlêbûna koda kodê di navnîşan de an rasterast bi pelê li ser serverê vekin. Ew xeter e û xelet e.

Modeya Passive di nav devera pêdivî ye ku di navnîşana malpera malperê de kodek zehf heye.

XSS Bikaranîna, êrişker dikare bikaribin kûçikên dizî. Û ew dikarin daneyên bikarhênerên girîng ên xwe hene. Herwiha encamên xirabtir ên dizî de rûniştin.

Herweha, hacker dikarin li ser malperê bikar bînin, da ku forma dema wextê şandina wê bikarhêner ji hêla agahdariya yekser bi destên êrişê dide.

Pêvajoya pêvajoya lêgerînê

Di torê de, hûn dikarin li ser malpera nerazîbûnek zehfek balkêş bibînin. Hinek ji hev cuda têne derxistin, hinek hinek bi heman rengan ve girêdayî ye û bi wêneyê Kali-Linux re hev re hev re hev in. Piştre, pêşniyarên amûrên herî populer ji bo xweserkirina pêvajoya komkirina agahdariyên li ser derheqê wê bêne pêşkêş kirin.

Nmap

Scanner-ê herî hêsantirîn ya malperê, ku dikare pergala xebitandinê, ports û xizmetê tê bikaranîn. Mînakek nimûne:

Nmap -s S 127.0.0.1, li cihê ku IP-ê herêmî divê hûn hewceyê navnîşa rastîn ya malperê bijartînin.

Bêguman wê ji we re dibêjin kîjan xizmetê li ser wê dimeşîne, û kîjan ports pispor vekirî ye. Li ser vê agahdariyê, hûn dikarin hewl bidin ku bixweberên ku jixwe ve hatî nas kirin.

Li vir çend scanek nmap hene ku ji bo scanek bêtir bi awayekî berbiçav e:

• -A. Çeşgerên aggressive, ku dê gelek agahdariyê bikişîne, lê ew dikare demê demek girîng e.
• -O. Bi hewce dike ku pergala xebitandinê ya ku di ser serverê de tête bikaranîn.
• -D. Li navnîşanên IP-ê ji kontrola IP-ê veguherîne, da ku gava ku têketina log-ê bibînin ew ne guman e ku ne ku êrîşa ku derê çêbû.
• -p. Range ports. Gelek xizmetê ji bo vekirî ye.
• -S. Hûn dikarin ji navnîşana IP-ê diyar bikin.

WPScan

Ev bernameyek ji bo malpera nerazîbûnek malperê ji bo belavkirina Kali-Linux tê tête kirin. Ew armanc e ku çavkaniyên malperê li ser pergala rêveberiya pergala WordPress ya kontrol dike. Ew li Rubî li nivîskî hatiye nivîsandin, da ku ew bi vî awayî dest pê dike:

Ruby ./wpscan.rb --help. Ev ferman dê kilîtên hemî û nameyan hene.

Ji bo ceribandineke hêsan e, hûn dikarin emrê kar bikin:

Ruby ./wpscan.rb --url some-site.ru

Di gelemperî de, WPScan bi karûbarên xwe hêsan bi hêsantir re hêsan e ku ji bo malpera xwe li malpera Vîdyoyê ji bo kontrolkirina malperê ye.

Nikto

Bernameya malperê ji bo bêkariyê ya kontrol dike, ku di nav belavkirina Kali-Linux de ye. Karûbarek dewlemendî ji bo hemî semboliya xwe heye:

• Bi prototîkên HTTP û HTTPS vekin.
• Gelek amûrên danûstandinên damezirandî
• Pargîdeya pirzimanî, li ser rêjeya ne-standard heye;
• Piştgiriya ji bo bikaranîna serverên proxy;
• Vê derfetek pêvebirin û plug-ins ve girêdayî ye.

Ji bo Nikto run, hûn hewce ne ku li perûmana pergala xwe ya perl hatiye saz kirin. Ev analîzên herî hêsan e:

Perl nikto.pl -h 192.168.0.1.

Programa pelê pelê "feed" dikare bibe, ku navnîşên navnîşên malperê lîsteya lîsteyê:

Perl nikto.pl -h file.txt

Ev karanîna wê ne tenê ne tenê pisporên pisporên pisîkan dikin, lê rêveberên torûbar û çavkaniyên torê jî dikarin ji bo karûbarên cihan biparêzin.

Burp Suite

Amûrên pir hêzdar yên ji bo ne tenê cihan lê lê kontrol dikin. Ma fonksiyonek avahîm heye ku daxwazên veguhestinê li ser ceribandinê testê biguherînin. Scanner-ê Smart, dikare ji hêla bixweberî çend cûreyên hûrgelan digerin lê digerin. Dibe ku encama çalakiyê ya niha hilweşîne, û paşê dîsa vekin. Flexibility, ku hûn tenê ne tenê ji bo plug-sê-sê-part-ê bikar bînin, lê jî ji bo xwe binivîse.

Bikaranîna xwe ya interfaceê grafîkî ye, ku bi awayek hêsan e, bi taybetî ji bikarhênerên nûtirîn.

SQLmap

Pêwîstiya amûrên herî hêsan û bihêztir ji bo lêgerîna SQL û XSS zehfiyan digerin. Lîsteya merivên wê dikare bi vî awayî tê nîşandan:

• Piştgirî ji bo hemî cureyên pergalên birêveberiya databases;
• Enerjiya ku şeş bingehîn bikar bînin ku ji bo danûstandinên SQL-ê binivîse û bicîh bikin;
• Mode ji bo bikarhênerên nimûne, hespên xwe, şîfre û daneyên din ên din.

Berî bikaranîna SQLmap, ew yekem yekem malpera xeletiyek dîtiye bi hêla lêgerînên lêgerîn, lêpirsînên lêgerîn ên ku ji bo çavkaniyên malperên hewceyê yên ku hewce dikin bi hûrgelan re bigirin.

Paşê navnîşan ji rûpelan veguhestin bernameyê, û kontrol dike. Ger hebe ku bêhêzanî bi serkeftî bi serkeftî ve tê dîtin, karanîna bikarhêner dikare bikar bîne û bi riya çavkaniya tevahî bigirin.

Webslayer

Hêzên piçûk ên ku hûn destnîşan dike ku êrîşê bi hêza zirav bikin. Dibe ku "hilweşandin" forma çavkaniyê, rûniştinê, pîvanên malperê. Ew piştgiriya multithreading, ku ji bo çalakiya baş e. Ew dikare di nav rûpelên vekirî yên şîfreyên hilbijêrin hilbijêre. Piştgiriyek proxy heye.

Çavkaniyên Verification

Tora ku gelek malperên tecrûbeya nexweşî yên înternetê tê kontrol kirin:

• Coder-diary.ru. Ji bo ceribandinek hêsan e. Ew tête navnîşana navnîşana ceribandinê ya tête navnîşan û navnîşana "Check" bike. Lêgerîn dikare demeke dirêj dirêj bikî, da ku ew e-navnîşa e-nameya xwe diyar bike da ku dema ku kontrolê pêk tê, encam rasterast li ser mailboxê şandin. Di navnîşan de nêzîkî 2500 zehfî naskirî ye.
• Https://cryptoreport.websecurity.symantec.com/checker/. Xizmetên Dibistana ji bo kontrolkirina SSL û TLS sertîfîkayên ji Symantec. Tenê navnîşana navnîşana çavkaniya kontrolkirinê ye.
• Https://find-xss.net/scanner/. Proje pelê pelên PHP yên cuda li ser bêhêşengiyê an jî arşîvên wan di forma zip de. Hûn dikarin cureyên pelan diyar bikin ku werin scanned û krîterên ku ji hêla daneyên dravî ve hatî revandin.
• Http://insafety.org/scanner.php. Scanner for sites on the platform "1C-Bitrix." Interface û hêsan

Algorithm ji bo nerazîbûnê

Her kesek pisporê ewlekariya ewlehî kontrola algorithm a hêsan dike:

1. Yekem, ew bi destûra an bi alîkariya otomobîlên xweser re analîz dike ka li ser malpera hûrgelan heye. Ger heke, ew diyar dike.
2. Li ser cûreyên hûrgelan li ser vê yekê, ew gavên din jî ava dike. Ji bo nimûne, eger CMS tê zanîn, paşê rêbazê êrîşê ya hilbijartî tê hilbijartin. Heke ku ev pirtûka SQL ye, hingê pirsên di navnîşanê de têne hilbijartin.
3. Karê sereke ye ku ji bo destûra pêdiviyê ya panelê rêveberiyê bigirin. Heke nikare ev neyê bidestxistin, ew dibe ku hewceyê form û şîfreyê li navnîşana nasnameyê ya li ser vê yekê veguhertina paşiya vexwendinê dixebitin.
4. Heke êrîş û penetînê derbas dibe, hingê kolek daneyên destpê dike: ka hîn hengaziyên hîn jî, kîjan xelet hene.
5. Li ser bingeha daneyên dahat, ewlekariyê ewlekar agahdariya malperê li ser pirsgirêkên heyî û rêbazên hilweşandina agahdar dike.
6. Baweriyên ji destê destên xwe an bi alîkariya alîkariya sêwirdarên sêyemîn ve têne derxistin.

Hinek agahdariyên ewlehiyê

Ewê ku malpera xwe serbixwe pêşde bibin dê ji şêwirdarî û pêşniyarên ji hêsan bistînin.

Dane dabeşkirina gerek tête felse kirin da ku şîfre an lêpirsîn nikarin xweseriya xwe dest pê bikin an jî danûstandinê ji databases vegerînin.

Vebijêrkên complex û dewlemend bikar bînin ku ji bo panelê rêveberiya navnîşan bike ku ji ber zerarê mimkinî tedawî bike.

Ger malpera li ser bingeha CMS-ê ava kir, divê hûn her dem bi demek nû ve nûve bikin û tenê tenê plug-ins, şablon û modulên proven bikar bînin. Naveroka malperê bi pêdiviyên neçar nake.

Ji bo têketinên şîfreyê kontrol bikin û çalakiyên gumanbar û çalak hene.

Malpera xwe bi gelek scanners û xizmetên xwe bibînin.

Pergala taybet a server pêşkêşî garantiya wê ya xurt û ewle ya ewle ye.

Ger gengaz be, divê hûn belgeya SSL bikar bînin. Ev dê pêşniyarê daneyên daneyên daneyên şexsî û veşartî di navbera server û bikarhêner.

Amûrên ewlehiyê Ew têgihîştin ku sazkirina sazkirinê an girêdanek ji bo pêşniyar û derengên derveyî der bar bike.

Encam

Gotar got ku zelal be, lê hêj jî ne bes e ku bi awayekî zanyariyên ewlehiya torê re binirxîne. Ji bo ku hûn bi karê agahdariya parastina agahdariyê bikin, divê hûn gelek materyal û rêbazan hîn bikin. Û herweha baxçeyek amûr û teknolojî. Hûn dikarin şêwirdariyê bigerin û ji karsazên pîşeyî yên ku di pisporan de pispor bikin û çavkaniyên malperê bixebite alîkariyê bikin. Her çiqas van xizmetê dê bibe hejmarek baş, ewlehiya malperê dikare aborî û navdar jî pir giran dibe.