ปกป้องแอปพลิเคชันเว็บไซต์ของคุณให้ราวกับบ้านของคุณเอง

แนวทางกล้วยๆสำหรับการมองความปลอดภัยของเว็บไซต์แอปพลิเคชันคือการนึกภาพบ้านของคุณ มันมีประตูหน้าประตูหลังหน้าต่างปริมาณห้องหลังคารั้วชายแดนแล้วก็เส้นทางการเข้าถึงที่ต่างกัน คำศัพท์เฉพาะนั้นแตกต่างกัน

ประตูหน้า.
ประตูหน้าของเว็บแอปพลิเคชันใดๆก็ตามคือหน้าเข้าระบบและไม่น่าฉงนใจที่มันเป็นจุดสำคัญของการโจมตี หน้าเข้าสู่ระบบจะมีกล่องปรับแก้เพื่อพิมพ์ชื่อผู้ใช้รวมทั้งรหัสผ่านและก็ปุ่มเพื่อส่งสิ่งพวกนี้สำหรับเซิร์ฟเวอร์เพื่อวิเคราะห์สิทธิ์การเข้าถึงที่เหลือของเว็บแอปพลิเคชันของคุณหน้าเข้าสู่ระบบบางหน้าบางทีอาจจัดให้มี captcha เพื่อให้มั่นใจว่าคุณเป็นมนุษย์และไม่เยาะเย้ยของแบบอย่างเดียวกันบนเซิร์ฟเวอร์ที่แตกต่างกันฟอร์มเลียนแบบจะวนไปตามชื่อผู้ใช้และรหัสผ่านที่นานาประการจนกระทั่งจะสามารถเข้าถึงแอปพลิเคชันได้ สิ่งนี้เรียกว่าการปลอมแปลงผ่านไซต์แล้วก็คล้ายกับการขโมยกุญแจบ้านของคุณ

Captchas 
เป็นภาพที่มีตัวอักษและตัวเลขที่มีเสียงรบกวนซึ่งทำให้ไม่สามารถที่จะอ่านสคริปต์อัตโนมัติได้โชคร้ายที่เมื่อสคริปต์อ่านเฉลี่ยวฉลาดขึ้นภาพกลุ่มนี้ภาพแคปช่าควรต้องซับซ้อนรวมทั้งยากขึ้นสำหรับมนุษย์ที่จะอ่าน สิ่งนี้กระตุ้นให้เกิดความอารมณ์เสียสำหรับผู้ใช้ที่หมายเนื่องจากว่าผู้ใช้ล้มเหลวซ้ำซากจำเจสำหรับในการพยายามเข้าถึงบัญชีของพวกเขาเนื่องด้วย captcha ไม่สามารถอ่านได้ แนวทางแก้ปัญหานี้เป็นการเข้าแทนที่แคปต์ชาด้วยโทเค็นที่ปลอดภัย โทเค็นที่ไม่มีอันตรายถูกผลิตขึ้นของฉันร่วมชื่อผู้ใช้รหัสผ่านแล้วก็ข้อมูลผู้ใช้อื่นๆที่มีอยู่กับคีย์ที่ทำขึ้นโดยไม่ซ้ำกัน การจัดเรียงต่อกันนี้จะถูกเข้ารหัสและเก็บไว้เป็นเขตข้อมูลที่ซ่อนอยู่ในแบบฟอร์มก็เลยทำให้เป็นไปไม่ได้สำหรับรูปแบบเลียนแบบอะไรก็แล้วแต่ที่จะอุตสาหะเข้าระบบที่บรรลุความสำเร็จ

หน้าต่างและประตูข้างหลัง
หน้าต่างแอปพลิเคชันเว็บไซต์เป็นยังไง ฉันมิได้คือระบบปฏิบัติการบนเซิร์ฟเวอร์ ฉันกำลังกล่าวถึงพื้นที่ที่อาจเกิดขึ้นของแต่ละหน้าซึ่งอาจใช้การไม่ได้ พื้นที่พวกนี้เป็นกล่องปรับปรุงและก็พื้นที่ใจความที่อนุญาตให้ผู้ใช้พิมพ์ข้อมูล ผู้จู่โจมจะใช้กล่องปรับปรุงแก้ไขและพื้นที่เนื้อความเพื่อป้อนคำสั่งที่ฐานข้อมูลรู้เรื่อง แม้ซอฟต์แวร์มิได้ถูกเขียนโดยสวัสดิภาพมันจะไม่ยุ่งยากต่อการขัดจังหวะฐานข้อมูลเมื่อมีการบันทึกข้อมูลเพื่อดำเนินงานตามคำสั่งของผู้โจมตี การจู่โจมทั่วไปอาจส่งผลให้ฐานข้อมูลถูกทำลายข้อมูลถูกลักขโมยหรือข้อมูลผู้ใช้ถูกบุกรุกการจู่โจมชนิดนี้เรียกว่าการฉีด SQL

รั้วอาณาเขต
รั้วขอบเขตของหน้าเว็บคือลิงค์ใดๆพื้นที่ซึ่งสามารถแก้ไขได้แล้วก็ที่อยู่ URL หลัก URL ของหน้ารวมทั้งลิงค์ที่ฝังอยู่ในหน้าสามารถก๊อปปี้และก็ปรับปรุงแก้ไขจากเว็บอื่นเพื่อให้เซิร์ฟเวอร์สามารถปฏิบัติงานคำบัญชาได้รหัสจาวาสคริปต์สามารถแทรกลงในพื้นที่ซึ่งสามารถปรับแต่งได้เพื่อบังคับให้ข้อมูลถูกส่งไปยังไซต์ทุจริตหรือเพื่อควบคุมโปรแกรมเบราเซอร์ของผู้ใช้ คำบัญชาฐานข้อมูลสามารถแทรกลงในที่อยู่ URL หลักการจู่โจมเหล่านี้เรียกว่าการจู่โจมผ่านไซต์สคริปต์(XSS) เหตุเพราะเป็นสคริปต์ที่นำผู้ใช้ไปยังเว็บไซต์ของผู้โจมตี การโจมตี XSS สามารถใช้เพื่อขโมยตัวกำหนดเซชันที่ได้รับการยืนยันความถูกต้องของผู้ใช้แล้วก็ใช้เพื่อเพิ่มระดับการเข้าถึงบัญชีอื่นที่พวกเขาทำขึ้นแล้ว

เพื่อคุ้มครองการเขียนสคริปต์ข้ามไซต์โปรแกรมคอมพิวเตอร์ต้องสแกนพื้นที่ที่สามารถปรับแก้ได้ทั้งปวงสำหรับรหัสแล้วก็รวมโทเค็นที่ไม่มีอันตรายในแต่ละ URL และก็ลิงก์ ควรจะปิดรูและช่องว่างในรั้ว เพจที่ปลอดภัยทั้งหมดทั้งปวงควรจะสำรวจว่ามีผู้ใช้ที่ผ่านการตรวจสอบแล้วหรือไม่

การแสดงบทบาท
เรามีผู้โทรเข้าบ้านเลียนแบบที่มีประสบการณ์ซึ่งอ้างว่าเป็นคนแก๊สหรือ บริษัท น้ำบอกว่าพวกเขาต้องเข้าถึงบ้านของคุณเพื่อปิดการจัดหาของคุณ ผู้โจมตีเว็บไซต์บางทีอาจติดต่อคุณหรือผู้ใช้อื่นๆของเว็บไซต์ของคุณทางอีเมลโซเชียลเน็ตเวิร์คหรือโทรศัพท์แล้วก็หลอกให้คุณเปิดเผยเนื้อหาการเข้าสู่ระบบของคุณ เหตุผลที่พวกเขาอาจให้ได้อาจจะเกิดขึ้นได้ก็เพราะเว็บไซต์ของคุณถูกแฮ็กแล้วรวมทั้งพวกเขาสามารถปรับปรุงได้ถ้าเกิดคุณให้สิทธิ์การเข้าถึงแก่พวกเขา การคุ้มครองเพียงอย่างเดียวเป็นการตักเตือนผู้ใช้ของคุณโดยตลอดว่าพวกเขาไม่สมควรเปิดเผยชื่อผู้ใช้และรหัสผ่านแก่คนไหนและคุณในฐานะเจ้าของเว็บจะไม่ขอให้พวกเขาเปิดเผยรหัสผ่านของตนเอง คุณควรจะให้ลิงค์เพื่ออนุญาตให้ผู้ใช้ของคุณรีเซ็ตรหัสผ่านที่ลืมโดยส่งลิงก์อีเมลพร้อมโทเค็นที่เข้ารหัสเพื่อรับประกันมูลเหตุ

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *