👟 🤴🏻 🙃 साइट सुरक्षा का मूल ज्ञान 🍡 🚠 👩🏾‍🎓

नमस्कार, हेब्र!

सुरक्षा एक गंभीर मामला है। और अक्सर इस क्षेत्र में समस्याएं अप्रत्याशित रूप से सामने आती हैं और बहुत अप्रिय परिणाम होते हैं। इसलिए, इस विषय में ज्ञान प्रत्येक वेब डेवलपर के लिए अत्यंत महत्वपूर्ण है।

मैं तुरंत एक आरक्षण करूंगा - मैं एक समर्थक से बहुत दूर हूं, लेकिन मैं इसके लिए प्रयास करता हूं। इसलिए, मुझे आलोचना करने में खुशी होगी, लेकिन केवल उद्देश्य। यह सामग्री शुरुआती लोगों के लिए है जो एक विशेषज्ञ के रूप में अपने व्यावसायिकता और मूल्य को बढ़ाना चाहते हैं।

और फिर भी, मैं सबसे सरल कोड कार्यान्वयन संभव दिखाता हूं। मुझे अपवादों के बारे में पता है, मैं ORM के बारे में जानता हूं, चौखटे में दी गई सुरक्षा के बारे में। मेरा लक्ष्य इसे स्पष्ट रूप से दिखाना है ताकि हर कोई समझ सके।

और इसलिए, यह परिचय के साथ खत्म करने और अभ्यास शुरू करने का समय है।

नौसिखिया के कार्यान्वयन से किसी भी संत परिणाम तक का मार्ग

मुझे सिद्धांत के साथ काम करने की आदत नहीं है। मेरी आत्मा अभ्यास के लिए तरस रही है। इसलिए, सुरक्षा के विषय के बारे में बोलते हुए, हम व्यावहारिक दृष्टिकोण से लगभग सभी प्रकार के हमलों पर विचार करेंगे - कैसे लागू करें और कैसे खुद का बचाव करें। हां, आप कह सकते हैं कि हैकिंग सिखाने के लिए अच्छा नहीं है, लेकिन, यह नहीं जानते कि हमला कैसे होता है, हम एक सक्षम बचाव का निर्माण नहीं कर सकते।

XSS

ठीक है, पहले प्रकार का हमला एक्सएसएस है। हां, अच्छा पुराना एक्सएसएस जो सभी ने सुना है। XSS (क्रॉस साइट स्क्रिप्टिंग) एक प्रकार का हमला है जो साइट आगंतुकों को लक्षित करता है। यह कैसे होता है: इनपुट फ़ील्ड के माध्यम से, हमलावर दुर्भावनापूर्ण कोड लिखता है जो डेटाबेस में प्रवेश करता है और अपना काम करता है। आमतौर पर इस तरह से उपयोगकर्ता कुकीज़ चोरी करते हैं, जो उन्हें पासवर्ड और लॉगिन के बिना अपने खातों में प्रवेश करने की अनुमति देता है।

हम एक अधिक हानिरहित उदाहरण लागू कर रहे हैं।

हमारे डेवलपर ने टिप्पणियों को जोड़ने के लिए एक सरल रूप दिया:

Index.php फ़ाइल

<?php $opt = [ PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC ]; $pdo = new PDO("mysql:host=localhost;dbname=".$db,$user,$pass,$opt); $pdo->exec("SET CHARSET utf8"); $query = $pdo->prepare("SELECT * FROM `comments`"); $query->execute(); $comments = $query->fetchAll(); if ($_POST) { $username = trim($_POST['name']); $comment = trim($_POST['comment']); $query = $pdo->prepare("INSERT INTO `comments` (`username`,`message`) VALUES ('$username', '$comment')"); $query->execute(); if ($query) { echo ' !'; header("Location: index.php"); } else { echo ' !'; } } ?> <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>XSS</title> </head> <body> <form method="POST" class="addComment"> <input type="text" name="name" placeholder="Username"> <textarea name="comment"></textarea> <input type="submit" value=" "> </form> <div class="h2"></div> <div class="comments"> <?php if ($comments): foreach ($comments as $comment):?> <div class="comment"> <div class="comment_username"><?php echo $comment['username'];?></div> <div lass="comment_comment"><?php echo $comment['message'];?></div> </div> <?php endforeach;?> <?php else:?> <div class="no_comments"> </div> <?php endif;?> </div> </body> </html>

कोड बहुत सरल है और स्पष्टीकरण की आवश्यकता नहीं है।

एक घुसपैठिया है - जॉन। जॉन ऊब गया और हमारे डेवलपर की साइट पर ठोकर खाई।
जॉन फॉर्म पर निम्नलिखित संदेश लिखते हैं:

 <script>document.body.style.backgroundColor = "#000";</script>

और अब साइट के सभी उपयोगकर्ताओं के पास एक काली पृष्ठभूमि है। जॉन संतुष्ट है, और डेवलपर ने अनुभव प्राप्त किया और फटकार लगाई।

क्या हुआ कभी?

जॉन ने जावास्क्रिप्ट कोड के साथ एक टिप्पणी जोड़ी। किसी पृष्ठ पर डेटा आउटपुट करते समय, एक टेक्स्ट टिप्पणी html कोड में बदल जाती है। HTML कोड, स्क्रिप्ट टैग के उपयोग को देखते हुए, इसे मार्कअप में जोड़ा गया, और दुभाषिया ने पहले से ही जावास्क्रिप्ट कोड निष्पादित किया। यही है, जॉन ने अपने जेएस कोड को मौजूदा साइट कोड में जोड़ा।

हम इसे कैसे ठीक करेंगे?

इस गलतफहमी को ठीक करने के लिए, htmlspecialcars फ़ंक्शन बनाया गया था। उसके काम का सार यह है कि वह विशेष वर्णों के साथ उद्धरण चिह्नों और कोष्ठक जैसे वर्णों को प्रतिस्थापित करता है। उदाहरण के लिए, वर्ण "<" को इसके संबंधित वर्ण कोड से बदल दिया जाएगा। इस फ़ंक्शन के साथ, हम फॉर्म से डेटा प्रोसेस करते हैं और अब जॉन का जेएस कोड हमारी साइट को नुकसान नहीं पहुंचा सकता है। बेशक, अगर यह साइट पर एकमात्र रूप है।

कोड में परिवर्तन इस प्रकार होगा:

Index.php फ़ाइल

 <?php if ($_POST) { $username = htmlspecialchars(trim($_POST['name'])); $comment = htmlspecialchars(trim($_POST['comment'])); /// }

एसक्यूएल इंजेक्शन

सबसे आम प्रकार के हमलों में से एक, जो पहले से ही भूल जाना शुरू हो गया है। वे इसे भूल जाते हैं क्योंकि तैयार किए गए प्रश्न और रूपरेखा हैं।

हम तैयार अनुरोधों के बारे में बात करेंगे।

हमले का सार क्या है: हमलावर इनपुट क्षेत्र में SQL क्वेरी के हिस्से में प्रवेश करता है और फॉर्म को सबमिट करता है। क्वेरी निष्पादन के दौरान, प्राप्त डेटा डेटाबेस में जोड़ा जाता है। लेकिन चूंकि कोड में कोड होता है, रिकॉर्ड जोड़ते समय, यह हमारी स्क्रिप्ट के तर्क को संशोधित करता है।

ठीक है, एक स्थिति का अनुकरण करें। हमारे डेवलपर ने XSS हमलों से फॉर्म की रक्षा की है। और जॉन अपने ज्ञान का उपयोग करना जारी रखता है, दुर्भाग्यपूर्ण डेवलपर की खामियों को इंगित करता है।

यही है, हम टिप्पणियों को जोड़ने के लिए उसी रूप के साथ काम करना जारी रखेंगे।
आइए कुछ बदलाव करें:

1) टिप्पणियों के पूर्व-मॉडरेशन।

लब्बोलुआब यह है कि केवल उन टिप्पणियों को मंजूरी दे दी गई है जो मॉडरेटर द्वारा अनुमोदित पृष्ठ पर प्रदर्शित की जाएंगी। हम पूर्व-मॉडरेशन को उसके सरलतम रूप में लागू करते हैं ताकि लेख के मुख्य भाग से विचलित न हों।

विचार को लागू करने के लिए, टिप्पणियों के साथ तालिका में फ़ील्ड "is_moderate" जोड़ें, जो दो मान लेगा - "1" (टिप्पणी प्रदर्शित करें) या "0" (प्रदर्शित न करें)। डिफ़ॉल्ट रूप से, निश्चित रूप से, "0"।

2) अनुरोध बदलें।

यह स्पष्टता के लिए है। टिप्पणियों को जोड़ने का अनुरोध इस तरह करें:

 "INSERT INTO `comments` SET `username`='$username', `message`='$comment'"

अब फॉर्म कोड इस प्रकार है:

Index.php फ़ाइल

 <?php $opt = [ PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC ]; $pdo = new PDO("mysql:host=localhost;dbname=".$db,$user,$pass,$opt); $pdo->exec("SET CHARSET utf8"); $query = $pdo->prepare("SELECT * FROM `comments` WHERE `is_moderate`='1'"); $query->execute(); $comments = $query->fetchAll(); if ($_POST) { $username = htmlspecialchars(trim($_POST['name'])); $comment = htmlspecialchars(trim($_POST['comment'])); $query = $pdo->prepare("INSERT INTO `comments` SET `username`='$username', `message`='$comment'"); $query->execute(); if ($query) { echo ' !'; } else { echo ' !'; } } ?>

ठीक है, जॉन साइट पर लॉग इन करता है और, यह देखते हुए कि टिप्पणियों को मॉडरेट किया जाना शुरू हुआ, उसने डेवलपर का मजाक उड़ाने का फैसला किया। इसके अलावा, XSS हमलों का रूप अब सफलतापूर्वक प्रतिबिंबित होता है और जॉन पहले ही मौज-मस्ती करने के अवसर से वंचित हो गए हैं। वह इस प्रकार की टिप्पणी छोड़ता है: "LOL ', is_moderate =' 1" और मॉडरेशन को बायपास करता है।

क्यों?

जब आप हमारी क्वेरी में जॉन की टिप्पणी को प्रतिस्थापित करते हैं, तो उद्धरण चिह्न टूट जाते हैं। जैसा कि ऊपर उल्लेख किया गया है, जॉन मनमाने ढंग से SQL कोड निष्पादित करने में सक्षम था।

जॉन की टिप्पणी के साथ अनुरोध निष्पादित करते समय, अनुरोध निम्नानुसार है:

 "INSERT INTO `comments` SET `username`='John', `message`='LOL', `is_moderate`='1'"

इसके अलावा, एसक्यूएल इंजेक्शन न केवल एक फॉर्म जमा करते समय लागू किया जा सकता है। यह तब भी हो सकता है जब उनके पहचानकर्ता द्वारा रिकॉर्ड प्राप्त करना, खोज फ़ॉर्म को संसाधित करना, और अन्य स्पष्ट परिस्थितियां नहीं हैं।

इसे कैसे ठीक करें?

समस्या को हल करने के लिए विधि लंबे समय से तैयार प्रश्नों के लिए जानी जाती है। तैयार किए गए अनुरोध अनुरोध हैं जिन्हें निष्पादित किए जाने से पहले विशेष प्रसंस्करण से गुजरना पड़ता है। प्रसंस्करण में अतिरिक्त उद्धरण चिह्नों से बचना शामिल है। आपने ऐसी सुविधा के बारे में सुना होगा। PHP में, इसे इस तरह लागू किया जाता है: "\"।

सबसे लोकप्रिय समाधान पीडीओ है। पीडीओ एक डेटाबेस के साथ काम करने के लिए एक इंटरफ़ेस है। क्या एक काफी सुविधाजनक इंटरफ़ेस है। केवल बुद्धिमानी से इसका उपयोग करें।

पीडीओ तैयार प्रश्नों को लागू करने के लिए मास्क और प्लेसहोल्डर्स का उपयोग करने की क्षमता प्रदान करता है।

तब मास्क का उपयोग करते समय हमारा अनुरोध इस तरह दिखाई देगा:

Index.php फ़ाइल

 <?php $query = $pdo->prepare("INSERT INTO `comments` SET `username`=:username, `message`=:comment"); $params = ['username' => $username,'comment' => $comment]; $query->execute($params);

और इस तरह से प्लेसहोल्डर्स का उपयोग करते समय:

Index.php फ़ाइल

 <?php $query = $pdo->prepare("INSERT INTO `comments` SET `username`=?, `message`=?"); $params = [$username,$comment]; $query->execute($params);

अब जॉन का हमला प्रासंगिक नहीं है। कम से कम इस फॉर्म के लिए।

वैसे, हमारा संयम, इस रूप में भी, पहले से ही एक अन्य प्रकार के हमले से बचाता है - एसपीएएम। हम सभी ने उसके बारे में सुना। SPAM उन संदेशों को भेजने वाला है, जिनमें सोशल इंजीनियरिंग के ज्ञान की मदद से हमलावर अपने हमले करते हैं। अब केवल एक ही हमला किया जाएगा जो मध्यस्थ है। और फिर, यदि वह इतना बेवकूफ नहीं है, तो वह या तो डेटाबेस से कचरा हटा देगा, या यदि वह आलसी है, तो वह प्रकाशन को अस्वीकार कर देगा और यह बात है।

CSRF का हमला

CSRF - क्रॉस-साइट अनुरोध क्षमा। यह खतरनाक है क्योंकि बहुत कम लोग इसके बारे में जानते हैं। हालांकि ऐसा करना काफी सरल है।

यह कैसे होता है: एक अन्य साइट का एक हमलावर एक फ़ॉर्म बनाता है और पीड़ित को इस फ़ॉर्म का पालन करने के लिए मजबूर करता है। यानी POST रिक्वेस्ट भेजी जाती है। इस प्रकार, एक HTTP अनुरोध नकली है और पीड़ित की साइट पर एक दुर्भावनापूर्ण कार्रवाई की जाती है।

उदाहरण के लिए, एक हमलावर आपके मित्र को आपकी ओर से वीके में एक पत्र भेज सकता है, लेकिन आपको इसके बारे में पता नहीं होगा।

यह थोड़ा भ्रमित करने वाला लगता है। मैं व्यवहार में विचार करने का प्रस्ताव करता हूं।

हमारे डेवलपर ने फॉर्म बनाया, वह अच्छी तरह से किया गया है। वह पहले से ही जानती है कि एक्सएसएस, एसक्यूएल इंजेक्शन के खिलाफ खुद का बचाव कैसे करें और स्पैम का दबाव बनाए रखता है। यह इस तरह दिखता है:

डेवलपर की साइट पर index.php फ़ाइल

 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>CSRF</title> </head> <body> <form action="action.php" method="POST"> <input type="text" name="username"> <textarea name="message"></textarea> <input type="submit" value=" "> </form> </body> </html>

लेकिन जॉन इतना सरल नहीं है। वह फॉर्म कोड (बस ब्राउज़र में साइट के स्रोत कोड से) प्राप्त करता है और फॉर्म को अपनी साइट पर जोड़ता है।

जॉन की index.php फ़ाइल

 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>CSRF</title> <style> form input[type=submit]{ padding: 15px; font-size: 20px; color: #fff; background: #f00; cursor: pointer; } </style> </head> <body> <form action="localhost/note/action.php" method="POST"> <input type="hidden" name="username" value="lol"> <input type="hidden" name="message" value="  !   !"> <input type="submit" value=" !"> </form> </body> </html>

कृपया ध्यान दें कि जॉन की वेबसाइट पर, जिस स्थान पर प्रपत्र संसाधित किया गया है वह हमारे डेवलपर की वेबसाइट से एक फ़ाइल है। इसलिए अब कोई भी उपयोगकर्ता जो बटन पर क्लिक करता है, अच्छी टिप्पणी नहीं भेजेगा।

यह एक सीएसआरएफ हमला है। सरलतम संस्करण में, बिल्कुल।

डेवलपर को फिर से समस्याएं हैं ...

कैसे एक भेद्यता तय करने के लिए?

एक बिंदु पर, डेवलपर Google को बताएगा कि सीएसआरएफ क्या है और सुरक्षा तर्क निम्नानुसार होगा: सुरक्षा के लिए, आपको सीएसआरएफ टोकन (अक्षरों और संख्याओं का एक सेट) बनाने और इसे फॉर्म पर लटकाए जाने की आवश्यकता है। उपयोगकर्ता को एक ही टोकन को ठीक करना भी आवश्यक है (उदाहरण के लिए, एक सत्र के माध्यम से)। और फिर, फॉर्म को संसाधित करते समय, इन टोकन की तुलना करें। यदि वे मेल खाते हैं, तो हम एक टिप्पणी जोड़ सकते हैं।

हम इसे लागू करते हैं:

डेवलपर की साइट पर index.php फ़ाइल

 <?php session_start(); $token = ''; if (function_exists('mcrypt_create_iv')) { $token = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM)); } else { $token = bin2hex(openssl_random_pseudo_bytes(32)); } $_SESSION['token'] = $token; ?> ... <form action="action.php" method="POST"> <input type="text" name="username"> <textarea name="message"></textarea> <input type="hidden" name="csrf_token" value="<?php echo $token;?>"> <input type="submit" value=" "> </form>

फ़ाइल कार्रवाई

 <?php session_start(); if ($_POST) { if ($_SESSION['token'] == $_POST['csrf_token']) { echo ' !'; } else { echo '!'; } }

जानवर बल और सार्वजनिक पासवर्ड

शायद सबसे प्रसिद्ध प्रकार का हमला। उन्होंने इसे लगभग हर पहली फिल्म को हैकर्स और पसंद के बारे में सुना।

क्या है बिंदु: साइट व्यवस्थापक पैनल में प्राधिकरण के लिए एक रूप है। हमें एक उपयोगकर्ता नाम और पासवर्ड की आवश्यकता है जो जॉन को नहीं पता है। लेकिन उसके पास लोकप्रिय उपयोगकर्ता नाम और पासवर्ड वाली एक फ़ाइल है। और वह खुशी से हमारी साइट पर उन्हें आजमाने के लिए दौड़ता है।

एक डेवलपर क्या विरोध कर सकता है? उदाहरण के लिए, एक निश्चित अवधि में प्राधिकरण के प्रयासों की संख्या पर प्रतिबंध।

प्राधिकरण फॉर्म के शुरुआती संस्करण को इस तरह देखें:

Index.php फ़ाइल

 <?php $opt = [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC]; $pdo = new PDO("mysql:host=localhost;dbname=".$db,$user,$pass,$opt); $pdo->exec("SET CHARSET utf8"); if (isset($_POST['autoriz'])) { $username = htmlspecialchars(trim($_POST['login'])); $password = htmlspecialchars(trim($_POST['password'])); $query = $pdo->prepare("SELECT * FROM `users` WHERE `username`=:username AND `password`=:password"); $query->execute(['username' => $username,'password' => $password]); $find_user = $query->fetchAll(); if ($find_user) { echo ' !'; } else { echo '  !'; } } ?> <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Brute Force  Public Passwords</title> </head> <body> <form method="POST"> <input type="text" name="login" placeholder="Login"> <input type="password" name="password" placeholder="Password"> <input type="submit" value="" name="autorize"> </form> </body> </html>

इसे कैसे ठीक करें: सबसे सरल विकल्प, जैसा कि पहले ही उल्लेख किया गया है, समय की अवधि में प्राधिकरण के प्रयासों की संख्या को सीमित करना है।

ऐसा करने के लिए, जब हम लॉग इन करने का प्रयास करते हैं, तो हम कुकीज़ में उपयोगकर्ता के लिए वर्तमान मूल्य जोड़ देंगे। और अब, जब लॉग इन करने का प्रयास कर रहे हैं, तो हम देखेंगे कि उपयोगकर्ता 5 सेकंड में 1 बार से अधिक नहीं लॉग इन कर सकता है। इसके अलावा, यदि पासवर्ड या लॉगिन सही तरीके से दर्ज नहीं किया गया है, तो हम अगले प्रयास तक 5 सेकंड तक टाइमआउट बढ़ाएंगे।

Index.php फ़ाइल

 <?php $count_next_minit = $_COOKIE['count_try'] ? $_COOKIE['count_try'] : 1; $seconds_to_new_try = 5; $opt = [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC]; $pdo = new PDO("mysql:host=localhost;dbname=".$db,$user,$pass,$opt); $pdo->exec("SET CHARSET utf8"); if (isset($_POST['autorize'])) { if ($_COOKIE['last_try']) { if ($_COOKIE['last_try'] < time() - $seconds_to_new_try * $count_next_minit) { $username = htmlspecialchars(trim($_POST['login'])); $password = htmlspecialchars(trim($_POST['password'])); $query = $pdo->prepare("SELECT * FROM `users` WHERE `username`=:username AND `password`=:password"); $query->execute(['username'=>$username,'password'=>$password]); $find_user = $query->fetchAll(); setcookie('last_try', time(), time() + 3600); if ($_COOKIE['count_try']) { $old_value = (int)$_COOKIE['count_try']; setcookie('count_try', $old_value + 1, time() + 3600); } else { setcookie('count_try', 1, time() + 3600); } if ($find_user) { var_dump(' !'); } else { var_dump('  !'); } }else{ var_dump('   !    ' . $seconds_to_new_try * $count_next_minit . ' '); } }else{ setcookie('last_try', time(), time() + 3600); } } ?>

पश्व-अनुरेखन

बैकट्रेस सिस्टम त्रुटि संदेशों के माध्यम से हमला करने का एक तरीका है। यह MySQL और PHP दोनों है।

उदाहरण के लिए, जॉन ने एक गलत यूआरएल दर्ज किया और यह कहते हुए एक त्रुटि दी गई कि इस तरह की आईडी के साथ डेटाबेस में कोई रिकॉर्ड नहीं है (यदि पता बार से आईडी के माध्यम से प्राप्त होता है - site.ru/article?id=12)। यहां तक कि तथाकथित "डॉर्क" भी हैं - वेबसाइट पते के विशिष्ट पैटर्न, जिसमें प्रवेश करने पर उपयोगकर्ता त्रुटियों को देखता है। और इससे जॉन के लिए पते की इस सूची के माध्यम से बॉट का उपयोग करने और आपकी साइट पर इस भेद्यता को खोजने की कोशिश करने की संभावना खुल जाती है।

इसे कैसे ठीक करें? इस मामले में, हम उदाहरण के बिना करेंगे, क्योंकि त्रुटि आउटपुट को बंद करने से समस्या हल हो जाती है। आमतौर पर यह होस्टिंग द्वारा कार्यान्वित किया जाता है, आपको एक अलग फ़ाइल में लॉग लिखने के लिए व्यवस्थापक पैनल में प्रदान करता है, लेकिन यह स्वयं त्रुटियों के उत्पादन को सीमित करने के लिए अतिरेक नहीं होगा।

यह error_reporting () फ़ंक्शन का उपयोग करके किया जा सकता है।

जिन तर्कों में यह लगता है वे हैं: E_ERROR, E_WARNING, E_PARSE, E_NOTICE, E_ALL। नाम अपने लिए बोलते हैं।

उदाहरण के लिए, यदि आप error_reporting (E_NOTICE) का उपयोग करते हैं, तो नोटिस प्रकार (चेतावनियों, उदाहरण के लिए, कि $ _POST सरणी में कोई डेटा नहीं है) की त्रुटियों को छोड़कर, सभी त्रुटियों को छिपा दिया जाएगा।
सभी त्रुटियों के आउटपुट को निष्क्रिय करने के लिए (जिसकी हमें वास्तव में आवश्यकता है), आपको इस फ़ंक्शन का उपयोग निम्नानुसार करना होगा: error_reporting (0)

तार्किक त्रुटियाँ

तार्किक त्रुटियां कुछ सबसे खराब हैं। क्योंकि ये लापरवाही से होने वाली त्रुटियां हैं। वे अप्रत्याशित रूप से पॉप अप करते हैं, और कभी-कभी हम यह भी नहीं जानते हैं कि समस्या की जड़ कहां है। ये साइट के तर्क में त्रुटियां हैं।

ठीक है, उदाहरण के लिए, आप व्यवस्थापक पैनल के पृष्ठों में से एक के लिए सत्र और कुकीज़ में प्राधिकरण डेटा की उपस्थिति की जांच करना भूल सकते हैं। इसलिए उन्होंने किसी भी उपयोगकर्ता के लिए इस पृष्ठ तक पहुंच खोली।

इस मामले में, केवल एक चीज आपको बचाएगी - प्रोग्राम कोड लिखते समय, सोचें कि आप इसे कैसे हैक कर सकते हैं।

DDOS

DOS एक तकनीक पर एक प्रकार का हमला है, विशेष रूप से एक कंप्यूटर में। हमले का उद्देश्य मशीन को अधिभार के कारण अक्षम करना है। DDOS में केवल इतना अंतर है कि बड़ी संख्या में कंप्यूटर हमले में शामिल हैं।

यही है, जॉन अपने दोस्तों को बुलाता है और वे एक साथ साइट पर अनुरोध भेजना शुरू करते हैं। बॉटनेट को इससे क्या लेना-देना है? एक बोटनेट बहुत सारे संक्रमित कंप्यूटर हैं, ख़ासियत यह है कि एक हमलावर अपने काम को कुछ हद तक नियंत्रित कर सकता है (प्रक्रिया शुरू करें, आदि)। वे बहुत सारे अनुरोध भेजते हैं कि सर्वर लोड का सामना नहीं कर सकता है और, सबसे अच्छा, बहुत धीमी गति से काम करना शुरू कर देता है, या अनिर्दिष्ट समय के लिए मना कर देता है।

ऐसे हमलों से सुरक्षा या तो मेजबानों द्वारा स्वयं प्रदान की जाती है, या क्लाउडफ़ेयर जैसी विशेष सेवाओं द्वारा।

सुरक्षा कैसे काम करती है: क्लाउडफ़ेयर सेवा आपको अपने स्वयं के DNS सर्वर प्रदान करती है जिसके माध्यम से ट्रैफ़िक पास होगा वहां इसे फ़िल्टर किया जाता है, केवल सेवा के मालिकों और डेवलपर्स के लिए ज्ञात एल्गोरिदम से गुजरते हुए। और इसके बाद यूजर आपकी साइट पर पहुंच जाता है। हां, बेशक, सर्वर ऑपरेशन, पेज जनरेशन और बाकी सब कुछ है, लेकिन हम अभी इस बारे में बात नहीं कर रहे हैं।
इसके अलावा, डीडीओएस की बात करें, तो कोई भी आईपी पते का उल्लेख करने में विफल नहीं हो सकता है जो क्लाउडफ़ेयर प्रदान करता है।

हां, यह सब सुरक्षा की 100% गारंटी नहीं देगा, लेकिन कई बार हमले के समय आपकी साइट के बंद रहने की संभावना बढ़ जाएगी।

MITM

मैन इन द मिडल एक प्रकार का हमला होता है जब कोई हमलावर आपके पैकेट को स्वीकार करता है और उन्हें खराब कर देता है। हम सभी ने सुना है कि पैकेट में नेटवर्क पर डेटा प्रसारित होता है। इसलिए, http प्रोटोकॉल का उपयोग करते समय, डेटा सामान्य रूप से प्रसारित होता है, एन्क्रिप्टेड रूप में नहीं।

उदाहरण के लिए, आप एक मित्र को "हैलो" लिखते हैं, और वह "मुझे पैसे भेजें, यहाँ बटुआ है"।

इस समस्या को हल करना था जो https प्रोटोकॉल बनाया गया था। इसका उपयोग करते समय, डेटा एन्क्रिप्ट किया जाएगा और जॉन प्राप्त ट्रैफ़िक के साथ कुछ भी करने में सक्षम नहीं होगा।
और साइट के लिए https प्रोटोकॉल प्राप्त करने के लिए, आपको एक एसएसएल प्रमाणपत्र प्राप्त करना होगा। खैर, या टीएलएस। सामान्य तौर पर, टीएलएस अनिवार्य रूप से एक एसएसएल रिसीवर है, क्योंकि यह एसएसएल 3.0 पर आधारित है। उनके काम में कोई महत्वपूर्ण अंतर नहीं हैं।

एसएसएल सर्टिफिकेट वही क्लाउडफ्लेयर और मुफ्त में प्रदान करता है।

पिछले दरवाजे

थोड़ा और सिद्धांत। इस तरह के हमले के लिए कई तरह से लागू किया जा सकता है और आपको केवल सार को समझने की जरूरत है। बैकडोर एक प्रकार का गुप्त हमला है जिसमें स्क्रिप्ट स्वयं पृष्ठभूमि में कुछ करती है। सबसे अधिक बार, ये एक टोरेंट से डाउनलोड किए गए प्लगइन्स या वर्डप्रेस थीम हैं। प्लगइन / थीम ही काफी पर्याप्त रूप से काम करेगा, लेकिन प्लगइन / थीम के कोड में जोड़ी गई स्क्रिप्ट का एक निश्चित टुकड़ा गुप्त रूप से कुछ करेगा। उदाहरण के लिए एक ही स्पैम। यह धार से फ़ाइलों को डाउनलोड करने की अवांछनीयता के बारे में सभी चेतावनियों का कारण है।

निष्कर्ष में

हां, बेशक, यह हमलों की पूरी श्रृंखला नहीं है। लेकिन यह ज्ञान पहले से ही आपकी परियोजनाओं की सुरक्षा बढ़ाएगा।

साइट सुरक्षा का मूल ज्ञान

नौसिखिया के कार्यान्वयन से किसी भी संत परिणाम तक का मार्ग

XSS

एसक्यूएल इंजेक्शन

CSRF का हमला

जानवर बल और सार्वजनिक पासवर्ड

पश्व-अनुरेखन

तार्किक त्रुटियाँ

DDOS

MITM

पिछले दरवाजे

निष्कर्ष में

More articles: