የጥቃት ዘዴዎችን ማወቅ ውጤታማ የመከላከያ ስትራቴጂ ለመገንባት ያስችልዎታል - ይህ ደንብ በሠራዊቱ ክበቦች ውስጥ ብቻ ሳይሆን በይነመረብ ላይም ተገቢ ነው ፡፡ ጠላፊዎች ድር ጣቢያዎችን እንዴት እንደሚጠለፉ በመረዳት የሃብትዎ ሊሆኑ የሚችሉትን ተጋላጭነቶች አስቀድመው መዝጋት ይችላሉ ፡፡
መመሪያዎች
ደረጃ 1
Aልን ወደ አንድ ጣቢያ መስቀል ማለት ጠላፊው የሌላ ሰው ጣቢያ በትእዛዝ መስመሩ እንዲቆጣጠር የሚያስችል ተንኮል አዘል ስክሪፕት (የድር shellል) በመርፌ ጣቢያው ላይ ተጋላጭነትን መጠቀም ማለት ነው ፡፡ በጣም ቀላሉ የፒኤችፒ ቅርፊት ይህን ይመስላል
ደረጃ 2
አንድ ጠላፊ የራሱ የድር shellል መፍጠር የለበትም ፣ እንደዚህ ያሉ ፕሮግራሞች ለረጅም ጊዜ የተፃፉ እና በጣም ትልቅ የሆኑ ተግባሮች አሏቸው ፡፡ የጠላፊው ተግባር ዝግጁ-የተሰራ shellል ወደ ጣቢያው መስቀል ነው ፣ ብዙውን ጊዜ የ SQL እና PHP መርፌዎች ለዚህ ያገለግላሉ።
ደረጃ 3
የ SQL መርፌ የውሂብ ጎታ መዳረሻ ውስጥ ስህተቶችን ይጠቀማል። አንድ ጠላፊ የእርሱን ጥያቄ በጥያቄ ውስጥ በመክተት የውሂብ ጎታ ፋይሎችን ማግኘት ይችላል - ለምሳሌ ፣ ለመለያዎች እና የይለፍ ቃላት ፣ የባንክ ካርድ መረጃ ፣ ወዘተ የ PHP መርፌዎች በ PHP ስክሪፕቶች ውስጥ ባሉ ስህተቶች ላይ የተመሰረቱ እና የሶስተኛ ወገን ኮድ በአገልጋዩ ላይ እንዲከናወን ይፈቅዳሉ ፡፡
ደረጃ 4
ጣቢያዎ ተጋላጭነቶች እንዳሉት በምን ያውቃሉ? የተወሰኑ ትዕዛዞችን በእጅ ማስገባት ይቻላል ፣ እሴቶችን ለአድራሻ አሞሌ አቅርቦት ወዘተ … ፣ ግን ይህ የተወሰነ ዕውቀትን ይፈልጋል። እንዲሁም ፣ ሁሉንም ሊሆኑ የሚችሉ አማራጮችን ለመፈተሽ ምንም ማረጋገጫ የለም ፡፡ ስለዚህ ለማረጋገጫ ልዩ መገልገያዎችን ይጠቀሙ - ለምሳሌ ፣ የ ‹XSpider› ፕሮግራም ፡፡ ይህ ለኔትወርክ አስተዳዳሪዎች የተፈጠረ ፍጹም ህጋዊ ፕሮግራም ነው ፣ በእሱ እርዳታ ጣቢያዎን ለተጋላጭነቶች መፈተሽ ይችላሉ ፡፡ የእሱ ማሳያ በመስመር ላይ ሊገኝ ይችላል።
ደረጃ 5
በጠላፊዎች የተፈጠሩ ተጋላጭነቶችን ለማግኘት ብዙ ፕሮግራሞች አሉ ፡፡ አንድ አስተዳዳሪ እነዚህን መገልገያዎች በመጠቀም ጣቢያውን ለመጥለፍ በሚሞክሩ ተመሳሳይ መሳሪያዎች ማረጋገጥ ይችላል ፡፡ እነዚህን መሳሪያዎች ለማግኘት “SQL scanners” ወይም “PHP ተጋላጭነት ስካነሮችን” ይፈልጉ ፡፡ ከመረጃ ቋት መረጃን ለማግኘት የ SQL ተጋላጭነት በሚኖርበት ጊዜ የመገልገያ ምሳሌ ነው Havij - Advanced SQL Injection Tool. NetDeviLz SQL Scanner hacker utility ን በመጠቀም የ SQL ተጋላጭነቶች መኖራቸውን ጣቢያዎን ማረጋገጥ ይችላሉ። የተለዩ ተጋላጭነቶች ወዲያውኑ መወገድ አለባቸው ፡፡
