Hacks za seva hufanyika kila siku. Wadukuzi wanafahamu mamia ya mianya ambayo kupitia moja au nyingine kiwango cha ufikiaji wa seva kinaweza kupatikana. Katika hali nyingine, udhaifu hukuruhusu kufikia data ya siri ya watumiaji, na wakati mwingine hacker hupata udhibiti kamili wa rasilimali. Jinsi ya kujikinga na mashambulio ya wadukuzi?
Maagizo
Hatua ya 1
Ili kulinda seva yako kutokana na udukuzi, unahitaji kujua njia za kimsingi za mashambulio ya wadukuzi. Kwa kufunga mianya inayowezekana, unaongeza sana usalama wa rasilimali yako. Yote yafuatayo hayapendi kwa wadukuzi (wote wanajua hii vizuri sana), lakini inaweza kuwa muhimu kwa wamiliki wa seva.
Hatua ya 2
Je! Seva inashambuliwaje? Kwanza kabisa, hacker anajaribu kuelewa ni programu gani imewekwa juu yake. Ili kufanya hivyo, anaweza kufungua tovuti iliyo kwenye seva na ingiza ombi lenye makosa. Kwa kujibu ombi kama hilo, seva iliyosanidiwa vibaya hutoa ujumbe wa kosa na huambatana na kitu kama hiki: Apache / 2.2.14 (Unix) mod_ssl / 2.2.14 OpenSSL / 0.9.8e-fips-rhel5 mod_auth_passthrough / 2.1 mod_bwlimited / 1.4 FrontPage / 5.0.2.2635 Server katika www.servername.com Port 80.
Hatua ya 3
Kwa mtapeli, habari iliyo hapo juu inaweza kuwa muhimu sana - anaona toleo la seva iliyowekwa ya HTTP (Apache / 2.2.14) na matoleo ya programu na huduma zingine. Sasa anaweza kutafuta ushujaa (nambari mbaya) kwa udhaifu katika matoleo ya huduma hizi. Na ikiwa msimamizi wa mfumo hajazuia mianya iliyopo, hacker ataweza kupata kompyuta. Seva iliyosanidiwa vizuri haipaswi kutoa habari yoyote ya kina juu yake, au inaweza kuonyesha habari iliyopotoshwa kwa makusudi.
Hatua ya 4
Njia moja rahisi ya kudanganya, mara nyingi kutoa matokeo, ni kutazama folda kwenye seva. Mara nyingi, wasimamizi husahau kuweka haki za kuziona, kwa hivyo hacker, akiamua muundo wa wavuti kwa msaada wa huduma zinazofaa, hufungua kwa urahisi folda ambazo hazikusudiwa kutazamwa. Ikiwa msimamizi ni novice, hacker anaweza kupata habari nyingi muhimu kwenye folda kama hizo. Kwa mfano, kuingia kwa msimamizi na nywila. Nenosiri kawaida huwekwa kwa njia fiche na hesabu ya md5, lakini kuna huduma nyingi kwenye mtandao kusimbua. Kama matokeo, hacker anapata udhibiti kamili wa wavuti. Hitimisho: weka haki za kusoma faili na kufungua folda.
Hatua ya 5
Mara nyingi, wadukuzi huingia kwenye hifadhidata kutumia udhaifu wa sql. Kuna huduma maalum ambazo zinawezesha sana "kazi" ya hacker. Kwa msaada wao, katika suala la dakika, uwepo wa mazingira magumu umedhamiriwa, basi jina la hifadhidata imedhamiriwa, meza na safu zinahesabiwa, baada ya hapo wadukuzi wanapata ufikiaji kamili wa habari iliyohifadhiwa kwenye hifadhidata - kwa mfano, kuingia na nywila, data ya kadi ya mkopo, nk.
Hatua ya 6
Hakikisha kujaribu rasilimali zako kwa udhaifu wa sql, kwa hii unaweza kutumia programu za hacker. Kwa mfano, NetDeviLz SQL Scanner. Ingiza anwani ya tovuti yako kwenye programu, bonyeza kitufe. Ikiwa kuna hatari, anwani ya tovuti itaonekana kwenye dirisha la chini.
Hatua ya 7
Ni kawaida kabisa kwa msimamizi kutumia nywila rahisi sana ambayo ni rahisi kukisia. Kwa hili, programu maalum hutumiwa - nguvu za brute, ambazo huchukua nywila kwa kutumia kamusi au kutumia algorithms maalum. Nenosiri lako lazima liwe na urefu wa angalau wahusika 8, iliyoingizwa katika hali tofauti na ni pamoja na herufi, nambari na herufi maalum - @, $, n.k.
Hatua ya 8
Angalia rasilimali zako kwa udhaifu wa XSS, ni kawaida sana. Kutumia mwanya kama huo, hacker anaweza kupata kuki zako. Akibadilisha badala ya yake, ataingia kwa urahisi kwenye tovuti chini ya akaunti yako. Kuangalia rasilimali yako kwa udhaifu unaowezekana, tumia programu ya kisheria kabisa XSpider.
