ಲೋಪಗಳ ಸೈಟ್ಗಳು. ವೆಬ್ಸೈಟ್ ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ. ಅಪಾಯ ಸಾಧ್ಯತೆಗಳಿಗೆ ಸೈಟ್ ಸ್ಕ್ಯಾನ್ ಕಾರ್ಯಕ್ರಮದಲ್ಲಿ

ವೆಬ್ಸೈಟ್ ಭದ್ರತಾ ಸಮಸ್ಯೆಯನ್ನು 21 ನೇ ಶತಮಾನದಲ್ಲಿ ತೀವ್ರ ಮಾಹಿತಿ ಯಾವತ್ತು. ಸಹಜವಾಗಿ, ಈ ಎಲ್ಲಾ ಕೈಗಾರಿಕೆಗಳು ಮತ್ತು ಕ್ಷೇತ್ರಗಳಲ್ಲಿ ಇಂಟರ್ನೆಟ್ ಸಮಗ್ರ ಹರಡುವಿಕೆ ಕಾರಣ. ಪ್ರತಿ ದಿನ, ಹ್ಯಾಕರ್ಸ್ ಹಾಗೂ ಸುರಕ್ಷತಾ ತಜ್ಞರು ಕೆಲವು ಹೊಸ ದೋಷಗಳನ್ನು ಸೈಟ್ಗಳು ಕಂಡುಬಂದಿಲ್ಲ. ಅವರಲ್ಲಿ ಅನೇಕ ತಕ್ಷಣ ಮುಚ್ಚಿದ ಮಾಲೀಕರು ಮತ್ತು ಅಭಿವರ್ಧಕರು, ಆದರೆ ಎಂದು ಉಳಿದರೆ. ಯಾವ ದಾಳಿಕೋರರಿಗೆ ಬಳಸಲ್ಪಡುತ್ತದೆ. ಆದರೆ ಒಂದು ಹ್ಯಾಕ್ ಸೈಟ್ ಬಳಸಿಕೊಂಡು ತನ್ನ ಬಳಕೆದಾರರಿಗೆ ಮತ್ತು ಒಳಪಡಿಸಿಕೊಳ್ಳಲಾಗಿದೆ ಮೇಲೆ ಸರ್ವರ್ಗಳು ಎರಡೂ ದೊಡ್ಡ ಹಾನಿ ಉಂಟುಮಾಡಬಹುದು.

ಸೈಟ್ಗಳು ದೋಷಗಳನ್ನು ವಿಧಗಳು

ನೀವು ಸಂಬಂಧಿತ ಎಲೆಕ್ಟ್ರಾನಿಕ್ ತಂತ್ರಜ್ಞಾನಗಳ ಬಹಳಷ್ಟು ಬಳಸುವ ವೆಬ್ ಪುಟಗಳು ರಚಿಸಿದಾಗ. ಕೆಲವು ಅತ್ಯಾಧುನಿಕ ಮತ್ತು ಸಮಯ ಪರೀಕ್ಷಿತ, ಮತ್ತು ಕೆಲವು ಹೊಸ ಮತ್ತು ಧರಿಸಿದ್ದು ಮಾಡಿಲ್ಲ. ಯಾವುದೇ ಸಂದರ್ಭದಲ್ಲಿ, ದೋಷಗಳನ್ನು ಸೈಟ್ಗಳು ಪ್ರಭೇದಗಳು ಸಾಕಷ್ಟು ಇರುತ್ತದೆ:

• XSS ಸಂಪರ್ಕ. ಪ್ರತಿ ಸೈಟ್ ಒಂದು ಸಣ್ಣ ರೂಪ ಹೊಂದಿದೆ. ಅವರು ಬಳಕೆದಾರರಿಗೆ ಡೇಟಾವನ್ನು ನಮೂದಿಸಿ ಮತ್ತು ಪರಿಣಾಮವಾಗಿ ಪಡೆಯಲು, ನೋಂದಣಿ ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ ಅಥವಾ ಸಂದೇಶಗಳನ್ನು ಕಳುಹಿಸಲು ಸಹಾಯ. ವಿಶೇಷ ಮೌಲ್ಯಗಳು ರೂಪದಲ್ಲಿ ಪರ್ಯಾಯ ಸೈಟ್ ಸಮಗ್ರತೆಯನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳದೆ ಡೇಟಾ ಉಲ್ಲಂಘನೆ ಮಾಡಬಲ್ಲ ಒಂದು ನಿರ್ದಿಷ್ಟ ಸ್ಕ್ರಿಪ್ಟ್ ಮರಣದಂಡನೆ ಪ್ರಚೋದಿಸಬಹುದು.
• SQL ಇಂಜೆಕ್ಷನ್. ಬಹಳ ಸಾಮಾನ್ಯ ಮತ್ತು ಪರಿಣಾಮಕಾರಿ ರೀತಿಯಲ್ಲಿ ಗೌಪ್ಯ ಮಾಹಿತಿ ಪ್ರವೇಶ ಪಡೆಯಲು. ಈ ಸಂಭವಿಸಬಹುದು ವಿಳಾಸಕ್ಕೆ ಬಾರ್ ಮೂಲಕ, ಅಥವಾ ರೂಪ ಮೂಲಕ ಎರಡೂ. ಪ್ರಕ್ರಿಯೆ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಫಿಲ್ಟರ್ ಮತ್ತು ಡೇಟಾಬೇಸ್ ವೈಚಾರಿಕ ಆಗುವುದಿಲ್ಲ ಮೌಲ್ಯಗಳು ಆದೇಶಿಸುವ ಮೂಲಕ ನಡೆಸಲಾಗುತ್ತದೆ. ಮತ್ತು ಸರಿಯಾದ ಜ್ಞಾನ ಅದನ್ನು ಒಂದು ಭದ್ರತೆಯ ಉಲ್ಲಂಘನೆಗೆ ಕಾರಣವಾಗಬಹುದು.

• ಎಚ್ಟಿಎಮ್ಎಲ್-ದೋಷ. ವಾಸ್ತವವಾಗಿ ಅದೇ, XSS ಸಂಪರ್ಕ ಆ ಆದರೆ ಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್, ಮತ್ತು HTML ಎಂಬೆಡೆಡ್.
• ದುರ್ಬಲತೆಯನ್ನು ಕಡತಗಳು ಮತ್ತು ಕೋಶಗಳು ನಿಯೋಜನೆ ಡೀಫಾಲ್ಟ್ ಸ್ಥಳಗಳಲ್ಲಿ ಸಂಬಂಧಿಸಿದ ಸೈಟ್ಗಳು. ಉದಾಹರಣೆಗೆ, ವೆಬ್ ಪುಟಗಳ ರಚನೆ ತಿಳಿಯುವುದು ನೀವು ಆಡಳಿತ ಸಮಿತಿಯು ಕೋಡ್ ತಲುಪಬಹುದು.
• ಸರ್ವರ್ನಲ್ಲಿ ಕಾರ್ಯಾಚರಣೆ ವ್ಯವಸ್ಥೆಯ ಸೆಟಪ್ ಸಾಕಷ್ಟು ರಕ್ಷಣೆ. ಯಾವುದೇ ವೇಳೆ, ದುರ್ಬಲತೆಯನ್ನು ಇರುತ್ತದೆ, ನಂತರ ಆಕ್ರಮಣಕಾರರೊಂದಿಗೆ ಅನಿಯಂತ್ರಿತ ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ ಸಾಧ್ಯವಾಗುತ್ತದೆ.
• ಬ್ಯಾಡ್ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು. ಸ್ಪಷ್ಟ ದೋಷಗಳನ್ನು ಸೈಟ್ಗಳು ಒಂದು - ತಮ್ಮ ಖಾತೆಯನ್ನು ರಕ್ಷಿಸಲು ದುರ್ಬಲ ಮೌಲ್ಯಗಳು ಬಳಸಿ. ವಿಶೇಷವಾಗಿ ಅದನ್ನು ನಿರ್ವಾಹಕರಿಂದ ಆಗಿದೆ.
• ಬಫರ್. ಸ್ಮರಣೆಯಿಂದ ದತ್ತಾಂಶವನ್ನು ಬದಲಾಯಿಸಲು ನೀವು ತಮ್ಮ ಹೊಂದಾಣಿಕೆ ಮಾಡಲು ಇದರಿಂದ ಇದು ಬಳಸಲಾಗುತ್ತದೆ. ಇದು ಅಸ್ಪಷ್ಟವಾಗಿಯೇ ಸಾಫ್ಟ್ವೇರ್ ಮಾಡಿದಾಗ ಪಾಲ್ಗೊಳ್ಳುವಿಕೆ ಸಂಭವಿಸುತ್ತದೆ.
• ನಿಮ್ಮ ಸೈಟ್ ವಿಭಾಗಗಳ ಬದಲಿಗೆ. ಕೆಲವು ಸಮಯ ಹಾದುಹೋಗುವ ಆಕ್ರಮಣಕಾರರೊಂದಿಗೆ ನಂತರ, ಒಂದು ಟ್ರಿಕ್ ಶಂಕಿಸಿದ ಹಾಗೂ ನಿಮ್ಮ ವೈಯಕ್ತಿಕ ವಿವರಗಳನ್ನು ನಮೂದಿಸಿ ಬಳಕೆದಾರರ ಮೇಲೆ ಲಾಗಿಂಗ್ ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ನಿಖರ ಪ್ರತಿಯನ್ನು ಪುನರ್ನಿರ್ಮಾಣದ.
• ಸೇವೆಯ ನಿರಾಕರಣೆ. ಅದನ್ನು ನಿಭಾಯಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ ಮನವಿಗಳಿಗೆ ಒಂದು ದೊಡ್ಡ ಸಂಖ್ಯೆಯ ಸ್ವೀಕರಿಸಿದಾಗ, ಮತ್ತು ಕೇವಲ "ಇಳಿಯುತ್ತದೆ" ಅಥವಾ ಈ ಬಳಕೆದಾರರು ಪೂರೈಸಲು ವಿಫಲವಾದರೆ ಆಗುತ್ತದೆ ಸಾಮಾನ್ಯವಾಗಿ ಈ ಪದವನ್ನು ಸರ್ವರ್ನಲ್ಲಿ ದಾಳಿ ತಿಳಿಯಬಹುದು. ದುರ್ಬಲತೆಯನ್ನು ಒಂದು IP ಫಿಲ್ಟರ್ ಸರಿಯಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿಲ್ಲ ಎಂದು ವಾಸ್ತವವಾಗಿ ಇರುತ್ತದೆ.

ಅಪಾಯಸಾಧ್ಯತೆ ಸ್ಕ್ಯಾನ್ ಸೈಟ್

ಭದ್ರತಾ ತಜ್ಞರು ಬಿರುಕುಗಳು ಕಾರಣವಾಗಬಹುದು ಎಂದು ದೋಷಗಳು ಮತ್ತು ದೋಷಗಳನ್ನು ವೆಬ್ ಸೌಲಭ್ಯ ವಿಶೇಷ ಆಡಿಟ್ ನಡೆಸಿದ. Pentesting ಎಂಬ ಇಂತಹ ಪರಿಶೀಲನೆ ಸೈಟ್. ಪ್ರಕ್ರಿಯೆ ಸೆಂ, ಸೂಕ್ಷ್ಮ ಘಟಕಗಳು ಮತ್ತು ಅನೇಕ ಇತರ ಆಸಕ್ತಿದಾಯಕ ಪರೀಕ್ಷೆಗಳು ಉಪಸ್ಥಿತಿಯಿಂದ ಬಳಸಲಾಗುತ್ತದೆ ಮೂಲ ಕೋಡ್ ವಿಶ್ಲೇಷಿಸುತ್ತದೆ.

SQL ಇಂಜೆಕ್ಷನ್

ಪರೀಕ್ಷಾ ಈ ರೀತಿಯ ಸ್ಕ್ರಿಪ್ಟ್ ಡೇಟಾಬೇಸ್ ವಿನಂತಿಗಳನ್ನು ತಯಾರಿಕೆಯಲ್ಲಿ ಸ್ವೀಕೃತಿ ಮೌಲ್ಯಗಳು ಶೋಧಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ. ಸರಳ ಪರೀಕ್ಷೆಯನ್ನು ಕೈಯಾರೆ ಮಾಡಬಹುದು. ಹೇಗೆ ಸೈಟ್ನಲ್ಲಿ SQL ದುರ್ಬಲತೆಯನ್ನು ಹೇಗೆ ಪಡೆಯುವುದು? ಯಾರು ಚರ್ಚಿಸಲಾಗುವುದು.

ಉದಾಹರಣೆಗೆ, ಒಂದು ಸೈಟ್ ನನ್ನ-sayt.rf ಇಲ್ಲ. ಮುಖಪುಟದಲ್ಲಿ ಕ್ಯಾಟಲಾಗ್ನಿಂದ ಹೊಂದಿದೆ. ಇದು ಹೋಗುವಾಗ, ನೀವು ನನ್ನ-sayt.rf /? product_id = 1 ನಂತಹ ವಿಳಾಸ ಪಟ್ಟಿಯಲ್ಲಿ ಏನೋ ಕಾಣಬಹುದು. ಇದು ಈ ಡೇಟಾಬೇಸ್ ವಿನಂತಿಯನ್ನು ಹೊಂದಿದೆ ಸಾಧ್ಯತೆಯಿದೆ. ಹುಡುಕಲು ಒಂದು ಸೈಟ್ ದೋಷಗಳನ್ನು ಮೊದಲ ಸಾಲಿನಲ್ಲಿ ಒಂದು ಏಕ ಉದ್ಧರಣ ಬದಲಿಗೆ ಪ್ರಯತ್ನಿಸಬಹುದು. ಪರಿಣಾಮವಾಗಿ, ಗಣಿ-sayt.rf /? product_id = 1 'ಇರಬೇಕು. ಪುಟದ ದೋಷ ಸಂದೇಶವನ್ನು "Enter" ಬಟನ್ ಒತ್ತಿದರೆ, ದುರ್ಬಲತೆಯನ್ನು ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ.

ಈಗ ನೀವು ಮೌಲ್ಯಗಳನ್ನು ಆರಿಸಲು ವಿವಿಧ ಆಯ್ಕೆಗಳನ್ನು ಬಳಸಬಹುದು. ಉಪಯೋಗಿಸಿದ ಸಂಯೋಜನೆಯನ್ನು ನಿರ್ವಾಹಕರು ವಿನಾಯಿತಿಗಳನ್ನು, ಕಾಮೆಂಟ್ ಮತ್ತು ಅನೇಕ ಇತರರು.

XSS ಸಂಪರ್ಕ

ಸಕ್ರಿಯ ಮತ್ತು ಜಡ - ದುರ್ಬಲತೆಯನ್ನು ಈ ರೀತಿಯ ಎರಡು ಬಗೆಗಳಲ್ಲಿ ಇರಬಹುದು.

ಸಕ್ರಿಯ ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ಅಥವಾ ಸರ್ವರ್ನಲ್ಲಿ ಕಡತದಲ್ಲಿ ಕೋಡ್ ತುಂಡು ಪರಿಚಯ ಅರ್ಥ. ಇದು ಹೆಚ್ಚು ಅಪಾಯಕಾರಿ ಮತ್ತು ಅನಿರೀಕ್ಷಿತ ಆಗಿದೆ.

ನಿಷ್ಕ್ರಿಯ ಮೋಡ್ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಒಳಗೊಂಡಿರುವ ಸೈಟ್ ಒಂದು ನಿರ್ದಿಷ್ಟ ವಿಳಾಸಕ್ಕೆ ಬಲಿಯಾಗಿ ಆಕರ್ಷಿಸುವುದೇ ಒಳಗೊಂಡಿರುತ್ತದೆ.

XSS ಸಂಪರ್ಕ ಆಕ್ರಮಣಕಾರರೊಂದಿಗೆ ಬಳಸಿ ಕುಕೀಸ್ ಕದಿಯಲು ಸಾಧ್ಯವಿಲ್ಲ. ಅವರು ಮುಖ್ಯವಾದ ಬಳಕೆದಾರ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿರಬಹುದು. ಇನ್ನಷ್ಟು ಗಂಭೀರ ಪರಿಣಾಮ ಅಧಿವೇಶನದಲ್ಲಿ ಅಪಹರಿಸಿದ್ದಾರೆ.

ಅಲ್ಲದೆ, ಆಕ್ರಮಣಕಾರರೊಂದಿಗೆ ಆದ್ದರಿಂದ ಇದು ನೇರವಾಗಿ ಆಕ್ರಮಣಕಾರರ ಕೈಗೆ ಬಳಕೆದಾರ ಮಾಹಿತಿ ನೀಡಿದರು ಕಳುಹಿಸುವ ಸಮಯದಲ್ಲಿ ರೂಪಿಸಲು ಸೈಟ್ನಲ್ಲಿ ಸ್ಕ್ರಿಪ್ಟ್ ಬಳಸಬಹುದು.

ಹುಡುಕಾಟ ಪ್ರಕ್ರಿಯೆಯ ಆಟೊಮೇಷನ್

ನೆಟ್ವರ್ಕ್ ಆಸಕ್ತಿದಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ಸ್ಕ್ಯಾನರ್ಗಳು ಸೈಟ್ ಬಹಳಷ್ಟು ಕಾಣಬಹುದು. ಕೆಲವು ಮಾತ್ರ ಬರಬಹುದು, ಕೆಲವು ಹಲವಾರು ರೀತಿಯ ಬರುತ್ತದೆ ಮತ್ತು ಕಾಳಿ ಲಿನಕ್ಸ್ ನಂತಹ ಏಕೈಕ ಚಿತ್ರ ಸೇರಿಕೊಂಡಿತು. ದೌರ್ಬಲ್ಯಗಳ ಮಾಹಿತಿ ಸಂಗ್ರಹಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತ ಹೆಚ್ಚು ಜನಪ್ರಿಯ ಉಪಕರಣಗಳು ಒಂದು ಅವಲೋಕನ ನೀಡಲು ಮುಂದುವರಿಯುತ್ತದೆ.

Nmap

ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ ಬಳಸಲಾಗುತ್ತದೆ ಬಂದರುಗಳು ಮತ್ತು ಸೇವೆಗಳು ವಿವರಗಳನ್ನು ತೋರಿಸುತ್ತದೆ ಅತ್ಯಂತ ಸುಲಭದ ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಸ್ಕ್ಯಾನರ್. ಸಾಮಾನ್ಯ ಅನ್ವಯಗಳು:

ಅಲ್ಲಿ ಬದಲಿಗೆ ಸ್ಥಳೀಯ IP ವಿಳಾಸ ಅಗತ್ಯ nmap -sS 127.0.0.1, ರಿಯಲ್ ಪರೀಕ್ಷಾ ಬದಲಿಗೆ.

ಯಾವ ಸೇವೆಗಳು ಇದು ಚಲಿಸುತ್ತಿರುವ, ಮತ್ತು ಬಂದರುಗಳು ಮೇಲೆ ತೀರ್ಮಾನ ವರದಿಯು ಈ ಸಮಯದಲ್ಲಿ ತೆರೆದಿರುತ್ತವೆ. ಈ ಮಾಹಿತಿಯನ್ನು ಆಧರಿಸಿ, ನೀವು ಈಗಾಗಲೇ ಗುರುತಿಸಲಾಗಿದೆ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಲು ಪ್ರಯತ್ನಿಸಬಹುದು.

ಇಲ್ಲಿ nmap ಸ್ಕ್ಯಾನ್ ಪೂರ್ವಗ್ರಹವು ಕೆಲವು ಕೀಗಳು:

• -ಒಂದು. ಆಕ್ರಮಣಕಾರಿ ಸ್ಕ್ಯಾನ್ ಮಾಹಿತಿ ಬಹಳಷ್ಟು ಸುರಿಸಿದ, ಆದರೆ ಗಣನೀಯ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳಬಹುದು.
• -O. ಕಾರ್ಯವ್ಯವಸ್ಥಾ ನಿಮ್ಮ ಸರ್ವರ್ನಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ ಗುರುತಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಿದ್ದಾರೆ.
• -D. ಒಂದು ಚೆಕ್ ದಾಳಿ ಸಂಭವಿಸಿದೆ ಅಲ್ಲಿ ಸರ್ವರ್ ಲಾಗ್ಗಳು ನಿರ್ಧರಿಸಲು ಅಸಾಧ್ಯವಾಗುವಂತೆ ಆಗಿತ್ತು ವೀಕ್ಷಿಸಲು ಯಾವಾಗ ಮಾಡಲಾದ ಒಂದು IP ವಿಳಾಸವನ್ನು ಸ್ಪೂಫ್.
• -p. ವ್ಯಾಪ್ತಿಯ ಬಂದರುಗಳಲ್ಲಿ. ತೆರೆದ ಹಲವಾರು ಸೇವೆಗಳು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ.
• -S. ಇದು ನೀವು ಸರಿಯಾದ ವಿಳಾಸವನ್ನು ಸೂಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.

WPScan

ಈ ಕಾರ್ಯಕ್ರಮವನ್ನು ಕಾಳಿ ಲೈನಕ್ಸ್ ಸೇರಿಸಲಾಗಿದೆ ಅಪಾಯ ಸಾಧ್ಯತೆಗಳಿಗೆ ಸೈಟ್ ಸ್ಕ್ಯಾನ್ ಮಾಡುವುದು. ವರ್ಡ್ಪ್ರೆಸ್ CMS ವೆಬ್ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಪರಿಶೀಲಿಸಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಇದು ರೂಬಿ ಬರೆಯಲಾಗಿದೆ ಈ ರೀತಿಯ ಆದ್ದರಿಂದ ಔಟ್:

ಮಾಣಿಕ್ಯ ./wpscan.rb --help. ಈ ಆದೇಶವು ಲಭ್ಯವಿರುವ ಆಯ್ಕೆಗಳನ್ನು ಮತ್ತು ಅಕ್ಷರಗಳು ತೋರಿಸುತ್ತದೆ.

ಆಜ್ಞೆಯನ್ನು ಒಂದು ಸರಳ ಪರೀಕ್ಷೆ ಮಾಡುವಲ್ಲಿ ಬಳಸಬಹುದು:

ಮಾಣಿಕ್ಯ ./wpscan.rb --url some-sayt.ru

ಸಾಮಾನ್ಯ WPScan ರಲ್ಲಿ - ಬಹಳ "ವರ್ಡ್ಪ್ರೆಸ್" ದೋಷಗಳನ್ನು ನಿಮ್ಮ ಸೈಟ್ ಪರೀಕ್ಷಿಸಲು ಯುಟಿಲಿಟಿ ಬಳಸಲು ಸುಲಭ.

Nikto

ದೋಷಗಳನ್ನು, ಇದು ಕಾಳಿ ಲೈನಕ್ಸ್ ಲಭ್ಯವಿದೆ ಪರಿಶೀಲಿಸುತ್ತಿದೆ ಕಾರ್ಯಕ್ರಮದಲ್ಲಿ ಸೈಟ್. ಇದು ಎಲ್ಲಾ ಅದರ ಸರಳತೆಯಿಂದ ಪ್ರಬಲ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ:

• ಎಚ್ಟಿಟಿಪಿ ಮತ್ತು HTTPS ನೊಂದಿಗೆ ಸ್ಕ್ಯಾನ್ ಪ್ರೋಟೋಕಾಲ್;
• ಅನೇಕ ಅಂತರ್ನಿರ್ಮಿತ ಪತ್ತೆಹಚ್ಚುವಿಕೆ ಉಪಕರಣಗಳು ಬೈಪಾಸ್;
• ಅನೇಕ ಪೋರ್ಟ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಸಹ ಪ್ರಮಾಣಿತವಲ್ಲದ ವ್ಯಾಪ್ತಿಯಲ್ಲಿ;
• ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್ಗಳ ಬಳಕೆಯನ್ನು ಬೆಂಬಲಿಸಲು;
• ಕಾರ್ಯಗತ ಮತ್ತು ಸಂಪರ್ಕ ಪ್ಲಗ್ಇನ್ಗಳನ್ನು ಸಾಧ್ಯ.

ಸ್ಥಾಪಿಸಲಾಗಿದೆ ಪರ್ಲ್ ಮಾಡಿದೆ ವ್ಯವಸ್ಥೆಗೆ nikto ಅಗತ್ಯ ಆರಂಭಿಸಲು. ಕೆಳಗಿನಂತೆ ಸರಳ ವಿಶ್ಲೇಷಣೆ ನಡೆಸಲಾಗುತ್ತದೆ:

ಪರ್ಲ್ nikto.pl -h 192.168.0.1.

ಪ್ರೋಗ್ರಾಂ "ಆಹಾರ" ಮಾಡಬಹುದು ವೆಬ್ ಸರ್ವರ್ ವಿಳಾಸಕ್ಕೆ ಪಟ್ಟಿ ಒಂದು ಪಠ್ಯ ಕಡತ:

ಪರ್ಲ್ nikto.pl -h file.txt

ಈ ಉಪಕರಣವನ್ನು ಕೇವಲ Pentest ನಡೆಸಲು ಭದ್ರತಾ ವೃತ್ತಿಪರರು ಸಹಾಯ ಮಾಡುತ್ತದೆ, ಆದರೆ ಜಾಲ ಆಡಳಿತಾಧಿಕಾರಿಗಳು ಮತ್ತು ಸಂಪನ್ಮೂಲಗಳನ್ನು ಆರೋಗ್ಯ ಸೈಟ್ಗಳು ನಿರ್ವಹಿಸಲು.

burp ಸೂಟ್

ಒಂದು ಶಕ್ತಿಶಾಲಿ ಸಾಧನ ಸೈಟ್, ಆದರೆ ಯಾವುದೇ ಜಾಲದ ಮೇಲ್ವಿಚಾರಣೆ ಕೇವಲ ಪರೀಕ್ಷಿಸಲು. ಹ್ಯಾಸ್ ಮಾರ್ಪಾಡು ವಿನಂತಿಗಳನ್ನು ಬಿಲ್ಟ್ ಇನ್ ಫಂಕ್ಷನ್ ಟೆಸ್ಟ್ ಸರ್ವರ್ನಲ್ಲಿ ಅನುಮೋದಿಸಲಾಯಿತು. ಒಮ್ಮೆ ದೋಷಗಳನ್ನು ಅನೇಕ ರೀತಿಯ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ನೋಡಲು ಸಾಮರ್ಥ್ಯವನ್ನು ಸ್ಮಾರ್ಟ್ ಸ್ಕ್ಯಾನರ್. ಇದು ಪ್ರಸ್ತುತ ಚಟುವಟಿಕೆಗಳ ಪರಿಣಾಮವಾಗಿ ಉಳಿಸಿ ಮತ್ತು ನಂತರ ಪುನರಾರಂಭಿಸಿ ಸಾಧ್ಯ. ಹೊಂದಿಕೊಳ್ಳುವಿಕೆ ನಿಮ್ಮ ಸ್ವಂತ ಬರೆಯಲು ತೃತೀಯ ಪ್ಲಗ್ಇನ್ಗಳನ್ನು ಬಳಸುವುದಿಲ್ಲ, ಆದರೆ ಗೆ.

ಉಪಯುಕ್ತತೆಯನ್ನು ತನ್ನದೇ ಗ್ರಾಫಿಕಲ್ ಬಳಕೆದಾರ ಇಂಟರ್ಫೇಸ್, ವಿಶೇಷವಾಗಿ ಅನನುಭವಿ ಬಳಕೆದಾರರಿಗೆ, ನಿಸ್ಸಂದೇಹವಾಗಿ ಅನುಕೂಲಕರ ಹೊಂದಿದೆ.

SQLmap

ಬಹುಶಃ SQL ಮತ್ತು XSS ದೋಷಗಳನ್ನು ಹುಡುಕುವ ಅತ್ಯಂತ ಅನುಕೂಲಕರ ಮತ್ತು ಪ್ರಬಲ ಸಾಧನ. ಅದರ ಉಪಯೋಗಗಳನ್ನು ಪಟ್ಟಿ ವ್ಯಕ್ತಪಡಿಸಬಹುದು:

• ಬೆಂಬಲ ಬಹುತೇಕ ಎಲ್ಲಾ ರೀತಿಯ ಡೇಟಾಬೇಸ್ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಳ;
• ಅಪ್ಲಿಕೇಶನ್ ಮತ್ತು SQL ಇಂಜೆಕ್ಷನ್ ನಿರ್ಧರಿಸಲು ಆರು ಮೂಲ ರೀತಿಯಲ್ಲಿ ಬಳಸುವ ಸಾಮರ್ಥ್ಯ;
• ಮೋಡ್, ತಮ್ಮ ಹ್ಯಾಷೆಸ್, ಪಾಸ್ವರ್ಡ್ಗಳು ಮತ್ತು ಇತರ ಡೇಟಾವನ್ನು ಬಸ್ಟ್ ಬಳಕೆದಾರರು.

ನೀವು ಅಂದಾಜು ಅಗತ್ಯ ಸಂಪನ್ಮೂಲ ವೆಬ್ ತಪ್ಪಿಸಲು ಸಹಾಯ ಖಾಲಿ ಪ್ರಶ್ನೆಗೆ ಹುಡುಕಾಟ ಎಂಜಿನ್ - SQLmap ಬಳಸುವ ಮೊದಲು ಸಾಮಾನ್ಯವಾಗಿ ಮೊದಲ Dork ಮೂಲಕ ದುರ್ಬಲ ಸೈಟ್ ಕಂಡುಬಂದಿಲ್ಲ.

ನಂತರ ಪುಟದ ವಿಳಾಸಕ್ಕೆ ಪ್ರೋಗ್ರಾಂ ವರ್ಗಾಯಿಸಲಾಯಿತು, ಮತ್ತು ಇದು ಪರೀಕ್ಷಿಸುತ್ತಿದ್ದಂತೆಯೇ. ಯಶಸ್ವಿಯಾದರೆ, ದುರ್ಬಲತೆಯನ್ನು ಉಪಯುಕ್ತತೆಯ ವ್ಯಾಖ್ಯಾನ ಸ್ವತಃ ಅದರ ಬಳಕೆಯು ಸಂಪನ್ಮೂಲ ಪೂರ್ಣ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಮಾಡಬಹುದು.

Webslayer

ನೀವು ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿ ದಾಳಿ ಅನುಮತಿಸುವ ಒಂದು ಉಪಯುಕ್ತತೆಯನ್ನು. ಜೀವನದ ಕ್ಯಾನ್ "ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿ" ಪ್ರಕಾರಗಳನ್ನು ಸೈಟ್ನ ಅಧಿವೇಶನದಲ್ಲಿ ನಿಯತಾಂಕಗಳನ್ನು. ಇದು ಕಾರ್ಯನಿರ್ವಹಣೆಯನ್ನು ಉತ್ತಮವಾಗಿ ಪರಿಣಾಮ ಇದು ಬಹು ಥ್ರೆಡ್ಡಿಂಗ್, ಬೆಂಬಲಿಸುತ್ತದೆ. ನೀವು ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಪುನರಾವರ್ತಿತವಾಗಿ ನೆಸ್ಟೆಡ್ ಪುಟಗಳು ಆಯ್ಕೆ ಮಾಡಬಹುದು. ಪ್ರಾಕ್ಸಿ ಬೆಂಬಲ ಇಲ್ಲ.

ತಪಾಸಣೆ ಸಂಪನ್ಮೂಲಗಳು

ನೆಟ್ವರ್ಕ್ ಆನ್ಲೈನ್ ಸೈಟ್ಗಳು ದುರ್ಬಲತೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು ಹಲವಾರು ಉಪಕರಣಗಳು ಇವೆ:

• coder-diary.ru. ಪರೀಕ್ಷೆಗೆ ಸರಳ ಸೈಟ್. ಕೇವಲ ವಿಳಾಸಕ್ಕೆ ಸಂಪನ್ಮೂಲ ನಮೂದಿಸಿ ಮತ್ತು "ಚೆಕ್" ಮೇಲೆ ಕ್ಲಿಕ್ ಮಾಡಿ. ಹುಡುಕಾಟ ದೀರ್ಘ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳಬಹುದು, ಆದ್ದರಿಂದ ನೀವು ಡ್ರಾಯರ್ ಪರೀಕ್ಷೆಯಲ್ಲಿ ಪಂದ್ಯದ ಬರಲು ನೇರವಾಗಿ ನಿಮ್ಮ ಇಮೇಲ್ ವಿಳಾಸ ಸೂಚಿಸಬಹುದು. ಸೈಟ್ 2,500 ಕರೆಯಲಾಗುತ್ತದೆ ಅಪಾಯ.
• https://cryptoreport.websecurity.symantec.com/checker/. ಕಂಪನಿ ಸೈಮ್ಯಾನ್ಟೆಕ್ ಎಸ್ಎಸ್ಎಲ್ ಮತ್ತು TLS ಸರ್ಟಿಫಿಕೇಟ್ ಆನ್ಲೈನ್ ಸೇವೆ ಪರಿಶೀಲಿಸಿ. ಇದು ಕೇವಲ ವಿಳಾಸ, ಸಂಪನ್ಮೂಲ ಅಗತ್ಯವಿದೆ.
• https://find-xss.net/scanner/. ಯೋಜನೆಯ ಪ್ರತ್ಯೇಕ ಪಿಎಚ್ಪಿ ಫೈಲ್ ದೋಷಗಳನ್ನು ಅಥವಾ ಜಿಪ್ ಆರ್ಕೈವ್ ವೆಬ್ಸೈಟ್ ಸ್ಕ್ಯಾನ್ ಆಗಿದೆ. ನೀವು ಲಿಪಿಯಲ್ಲಿ ಡೇಟಾ ರಕ್ಷಣೆ ಪಡೆಯುತ್ತಾರೆ ಸ್ಕ್ಯಾನ್ ಫೈಲ್ಗಳನ್ನು ಮತ್ತು ಸಂಕೇತಗಳನ್ನು ಪ್ರಕಾರಗಳಾದ ಸೂಚಿಸಬಹುದು.
• http://insafety.org/scanner.php. ಸ್ಕ್ಯಾನರ್ ವೇದಿಕೆ "1C-Bitrix" ಮೇಲೆ ಸ್ಥಳಗಳಲ್ಲಿ ಪರೀಕ್ಷಿಸಲು. ಸರಳ ಮತ್ತು ಅರ್ಥಗರ್ಭಿತ ಇಂಟರ್ಫೇಸ್.

ಅಪಾಯ ಸಾಧ್ಯತೆಗಳಿಗೆ ಸ್ಕ್ಯಾನಿಂಗ್ ಅಲ್ಗಾರಿದಮ್

ಯಾವುದೇ ನೆಟ್ವರ್ಕ್ ಭದ್ರತಾ ತಜ್ಞ ಸರಳ ಅಲ್ಗೊರಿದಮ್ ಒಂದು ಚೆಕ್ ನಿರ್ವಹಿಸುತ್ತದೆ:

1. ಮೊದಲಿಗೆ ಇದು ಕೈಯಾರೆ ಅಥವಾ ಸ್ವಯಂಚಾಲಿತ ಸಲಕರಣೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಯಾವುದೇ ಆನ್ಲೈನ್ ದುರ್ಬಲತೆಯನ್ನು ಇವೆ ಎಂಬುದನ್ನು ವಿಶ್ಲೇಷಿಸಿ. ಹೌದು, ಅವರ ಬಗೆಯ.
2. ಜೀವಿಗಳ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿ ಪ್ರಸ್ತುತ ದುರ್ಬಲತೆಯನ್ನು ಕ್ರಮಕ್ಕೆ ನಿರ್ಮಿಸುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ನಾವು CMS ತಿಳಿದಿದ್ದರೆ, ನಂತರ ದಾಳಿ ಸೂಕ್ತ ವಿಧಾನವನ್ನು ಆಯ್ಕೆ. ಇದು ಒಂದು SQL ಇಂಜೆಕ್ಷನ್, ಡೇಟಾಬೇಸ್ ಆಯ್ಕೆ ಪ್ರಶ್ನೆಗಳನ್ನು ವೇಳೆ.
3. ಪ್ರಮುಖ ಉದ್ದೇಶ ಆಡಳಿತಾತ್ಮಕ ಫಲಕ ಗೆ ವಿಶೇಷ ಪ್ರವೇಶ ಪಡೆದುಕೊಳ್ಳುವುದು. ಇದು ಸಾಧಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತಿರಲಿಲ್ಲ ವೇಳೆ, ಬಹುಶಃ ಇದು ಪ್ರಯತ್ನಿಸಿ ಮತ್ತು ತನ್ನ ಲಿಪಿಯನ್ನು ಪರಿಚಯಿಸಿದ ಬಲಿಯಾದವರ ನಂತರದ ವರ್ಗಾವಣೆ ಹೊಂದಿದ ನಕಲಿ ವಿಳಾಸಕ್ಕೆ ರೂಪಿಸಲು ಉಚಿತ.
4. ಅಲ್ಲಿ ದೋಷಗಳು ಇರುತ್ತವೆ ಹೆಚ್ಚು ದುರ್ಬಲತೆಯನ್ನು: ಯಾವುದೇ ದಾಳಿ ಅಥವಾ ನುಗ್ಗುವ ವಿಫಲವಾದಲ್ಲಿ, ಅದು ಸಂಗ್ರಹಿಸುವ ಆರಂಭವಾಗುತ್ತದೆ ಡೇಟಾ.
5. ಡೇಟಾ ಭದ್ರತಾ ತಜ್ಞ ಆಧರಿಸಿ ಸಮಸ್ಯೆಗಳು ಮತ್ತು ಹೇಗೆ ಅವುಗಳನ್ನು ಪರಿಹರಿಸಲು ಬಗ್ಗೆ ಸೈಟ್ ಮಾಲೀಕರು ಹೇಳುತ್ತಾರೆ.
6. ಲೋಪಗಳ ತನ್ನ ಕೈಗಳಿಂದ ಅಥವಾ ತೃತೀಯ ಮಾಸ್ಟರ್ಸ್ ಸಹಾಯದಿಂದ ಸಂಪೂರ್ಣವಾಗಿ ತಡೆಗಟ್ಟಬಹುದು.

ಕೆಲವು ಸುರಕ್ಷತಾ ಸಲಹೆಗಳು

ಆತ್ಮ ತನ್ನ ಸ್ವಂತ ವೆಬ್ಸೈಟ್ ಅಭಿವೃದ್ಧಿ ಯಾರು, ಈ ಸರಳ ಸಲಹೆಗಳು ಮತ್ತು ತಂತ್ರಗಳನ್ನು ಸಹಾಯ ಮಾಡುತ್ತದೆ.

ಆದ್ದರಿಂದ ಲಿಪಿಗಳು ಅಥವಾ ಪ್ರಶ್ನೆಗಳನ್ನು ದತ್ತಸಂಚಯದಿಂದ ಡೇಟಾ ನೀಡಲು ಅದ್ವಿತೀಯ ರನ್ ಅಥವಾ ಸಾಧ್ಯವಿಲ್ಲ ಒಳಬರುವ ಡೇಟಾ ಫಿಲ್ಟರ್ ಮಾಡಬೇಕು.

ಸಂಭವನೀಯ ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿ ತಡೆಯಬೇಕಾದರೆ, ಆಡಳಿತ ಫಲಕವನ್ನು ಪ್ರವೇಶಿಸಲು ಸಂಕೀರ್ಣ ಮತ್ತು ಬಲವಾದ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಬಳಸಿ.

ವೆಬ್ಸೈಟ್ ಒಂದು CMS ಆಧರಿಸಿದೆ, ನೀವು ತಕ್ಷಣ ಸಾಬೀತಾಗಿದೆ ಪ್ಲಗಿನ್ಗಳನ್ನು, ಟೆಂಪ್ಲೇಟ್ಗಳು ಮತ್ತು ಮಾಡ್ಯೂಲ್ ಆಗಾಗ್ಗೆ ಮಾಡಬಹುದು ಅಪ್ಡೇಟ್ ಮತ್ತು ಅನ್ವಯಿಸುವುದೇ ಅಗತ್ಯವಿದೆ. ಅನಗತ್ಯ ಭಾಗಗಳೊಂದಿಗೆ ಸೈಟ್ ಓವರ್ಲೋಡ್ ಮಾಡಬೇಡಿ.

ಸಾಮಾನ್ಯವಾಗಿ ಯಾವುದೇ ಸಂಶಯಾಸ್ಪದ ಘಟನೆಗಳು ಅಥವಾ ಕ್ರಮಗಳು ಸರ್ವರ್ ದಾಖಲೆಗಳು ಪರಿಶೀಲಿಸಿ.

ನಿಮ್ಮ ಸ್ವಂತ ಸೈಟ್ ಹಲವಾರು ಸ್ಕ್ಯಾನರ್ಗಳು ಮತ್ತು ಸೇವೆಗಳು ಪರಿಶೀಲಿಸಿ.

ಸರಿಯಾದ ಸರ್ವರ್ ಕಾನ್ಫಿಗರೇಶನ್ - ಇದರ ಸ್ಥಿರ ಮತ್ತು ಸುರಕ್ಷಿತ ಕಾರ್ಯಾಚರಣೆಗೆ ಪ್ರಮುಖ.

ಸಾಧ್ಯವಾದರೆ, ಒಂದು SSL ಪ್ರಮಾಣಪತ್ರವನ್ನು. ಈ ಸರ್ವರ್ ಮತ್ತು ಬಳಕೆದಾರರ ನಡುವಿನ ವೈಯಕ್ತಿಕ ಅಥವಾ ಗೌಪ್ಯ ಮಾಹಿತಿ ಪ್ರತಿಬಂಧ ತಡೆಯುತ್ತದೆ.

ಭದ್ರತೆಗಾಗಿ ಇನ್ಸ್ಟ್ರುಮೆಂಟ್ಸ್. ಇದು ಅನುಸ್ಥಾಪಿಸಲು ಅಥವಾ ಅನುಮತಿಯಿಲ್ಲದ ಮತ್ತು ಬಾಹ್ಯ ಬೆದರಿಕೆಗಳನ್ನು ತಡೆಯಲು ಸಾಫ್ಟ್ವೇರ್ ಸಂಪರ್ಕ ಅರ್ಥವಿಲ್ಲ.

ತೀರ್ಮಾನಕ್ಕೆ

ಲೇಖನ ಧನಾತ್ಮಕ ಸ್ಥಾನಾಂತರಣ ತಿರುಗಿ, ಆದರೆ ಇದು ನೆಟ್ವರ್ಕ್ ಭದ್ರತಾ ಎಲ್ಲಾ ಅಂಶಗಳನ್ನು ವಿವರ ವಿವರಿಸಲು ಸಾಕಾಗುವುದಿಲ್ಲ. ಮಾಹಿತಿ ಭದ್ರತಾ ಸಮಸ್ಯೆಯನ್ನು ನಿಭಾಯಿಸಲು, ಇದು ವಸ್ತುಗಳು ಮತ್ತು ಸೂಚನೆಗಳನ್ನು ಬಹಳಷ್ಟು ಅಧ್ಯಯನ ಅಗತ್ಯ. ಮತ್ತು ಉಪಕರಣಗಳು ಮತ್ತು ತಂತ್ರಜ್ಞಾನಗಳ ಒಂದು ಗುಂಪೇ ತಿಳಿಯಲು. ನೀವು ಸಲಹೆಯನ್ನು ಮತ್ತು Pentest ಮತ್ತು ಆಡಿಟ್ ವೆಬ್ ಆಕರಗಳು ಪರಿಣತಿ ವೃತ್ತಿಪರ ಕಂಪನಿಗಳಿಂದ ಸಹಾಯ ಮಾಡಬಹುದು. ಈ ಸೇವೆಗಳನ್ನು ಸಹ, ಮತ್ತು ಉತ್ತಮ ಪ್ರಮಾಣವನ್ನು ಮಾಡುತ್ತದೆ, ಒಂದೇ ಸೈಟ್ ಭದ್ರತಾ ಆರ್ಥಿಕವಾಗಿ ಮತ್ತು ಗೌರವಕ್ಕೆ ಹೆಚ್ಚು ದುಬಾರಿಯಾಗಬಹುದು.