Alexa myGO

სიახლეები

ვებ-საიტის უსაფრთხოება
12 მარტი 2020

ვებ-საიტის უსაფრთხოება

ვებ-საიტის უსაფრთხოების შეცდომები და მათი გამოსწორება

დღევანდელი ტექნოლოგიური განვითარება მოითხოვს უფრო მეტ ვებ უსაფრთხოებას, ვიდრე ოდესმე კიბერ შეტევების წინააღმდეგ.
ამ გარანტიებისა და ხარისხის კონტროლის  ტესტი მოიცავს:

 

ვებ Crawlers

სკანერი არის ბოტი, რომელიც სკანირებას უკეთებს პროგრამის ყველა კვადრატულ პიქსელს, მასზე ყველა ბმულზე დაჭერით. ზოგჯერ მათ შეუძლიათ დაუცველ გვერდებზე წვდომა, თუ არ მიიღება შესაბამისი ზომები. ჩვენ ვიყენებთ ვებ გადამცემებს, რომ დავრწმუნდეთ, რომ თქვენი პროგრამის ყველა გვერდს აქვს უსაფრთხოების აუცილებელი დონე.


saitis damzadeba,app,mobiluri aplikaciis damzadeba,seo,web security,saitis usaprtxoeba,საიტის დამზადება,საიტის უსაფრთხოება

 

Google Crawlers

ვებ უსაფრთხოების საკითხები ზოგჯერ გამოწვეულია ყველაზე ნაკლებად სავარაუდო დამნაშავე: Google. როგორც ერთ-ერთი ყველაზე მოწინავე ვებ – სერვერი, Google იწერს გვერდებს საკვანძო სიტყვებისთვის და მომხმარებელს წარუდგენს მათ შედეგებს. სათანადო დაცვის გარეშე, ამ შედეგებმა შეიძლება ასახოს ის, რასაც მომხმარებელს არ სურს ნახოს, მაგალითად, საკონტაქტო სიაში, საკრედიტო ბარათის ნომრებზე ან სხვა პირად ინფორმაციებზე.

 

Crawlers

როგორც QA, პირველ რიგში, მე ვაკეთებ პროგრამებს ხელით, რომ დავინახო შემიძლია თუ არა დავიცვათ ნებისმიერი დაცული ინფორმაცია. შემდეგ მე ვაყენებ პროგრამას, იმისთვის რომ ვნახო გამომრჩა თუ არა რამე მნიშვნელოვანი. არსებობს უამრავი შესანიშნავი უფასო პროგრამა, როგორიცაა Nutch და Heritrix, რომელთა ნახვა მარტივად შეგიძლიათ ინტერნეტში. ამ პროგრამების მიერ აღმოჩენილ დაუცველთა უმეტესი ნაწილი შედარებით მარტივია გამოსასწორებლად.

 

საერთო სისუსტეები შესვლის გვერდებზე

ჩვეულებრივ, შესვლის გვერდი საკმარისია იმისათვის, რომ შეაჩერონ კიბერუსაფრთხოების საფრთხეები. ისინი კვლავ დაუცველები არიან შეტევებისგან, ამიტომ ჩვენ უნდა დავრწმუნდეთ, რომ მათ არ შეუძლიათ რაიმე გვერდის ავლა ან მოტყუება.

ყველაზე მარტივი გზა შესვლის გვერდით არის საიტის მეტამონაცემები (metadata). წარმოების დროს, დეველოპერები ზოგჯერ ამატებენ მომხმარებლის სახელებს ან პაროლებს, როგორც კოდში კომენტარს. ამასთან, თუ მათ პროექტის საბოლოოდ წაშლა დაავიწყდებათ, ეს ინფორმაცია ხელმისაწვდომი იქნება ყველასთვის, ვინც იხილავს საიტის მეტამონაცემებს. ჩვენი ხარისხის უზრუნველყოფის პროცესიში, ჩვენ განვიხილავთ მეტამონაცემებს მგრძნობიარე ინფორმაციის მისაღებად, შესასვლელი გვერდის უსაფრთხოების უზრუნველსაყოფად. საიტის მეტამონაცემებზე წვდომა ძალიან მარტივია. უბრალოდ გადადით თქვენი ბრაუზერის წყაროების ჩანართზე და დაათვალიეროთ ფაილები.

 

საერთო სისუსტეები ვებ – პროგრამების პლატფორმებში

შესვლის გვერდზე შესვლის კიდევ ერთი საერთო გზა არსებობს, ზოგიერთი პლატფორმის მიერ გამოყენებული ნაგულისხმევი სახელების ჩასმა. ეს სახელები უნდა შეიცვალოს ან წაიშალოს, როდესაც დეველოპერი ასრულებს პროექტს, მაგრამ ზოგჯერ მათ ავიწყდებათ.

 

ვსაუბრობთ ჩარჩოებზე, მოდით განვიხილოთ ის ცნობილ ექსპლუატაციებზე, რომელიც ზოგიერთ მათგანს აქვს. ჩემს მაგალითს WordPress გამოვიყენებ, ვინაიდან ეს ისეთი ცნობილი პლატფორმაა. სხვა პლატფორმებისგან განსხვავებით, WordPress არ ზღუდავს შესვლის მცდელობების რაოდენობას, რომელსაც მომხმარებელს შეუძლია სცადოს. ეს შესაძლებელს ხდის უხეში ძალის შეტევებს. თქვენ შეგიძლიათ სცადოთ მომხმარებლის და პაროლის სხვადასხვა კომბინაციები, სანამ რომელიმე მათგანი არ იმუშავებს. ეს ჩვეულებრივ ხდება სკრიპტის ან პროგრამის გამოყენებით. საბედნიეროდ, ამ და სხვა მარტივ კოდზე დაფუძნებულმა გამოსავალმა, ამგვარი საქმიანობის თავიდან ასაცილებლად, შესაძლებელია სწრაფად და მარტივად დამატება.

 

SQL Injection (SQL ინექცია)

SQL Injection არის ვებ – პროგრამის დარღვევის კიდევ ერთი მეთოდი - ხშირად მონაცემების ამოღება - ტექსტის შეყვანისას დამატებით SQL მოთხოვნების დამატება მაგალითად, მომხმარებლის სახელის შეტანისას, „ადმინისტრატორი ან 1 = 1“ დამატებით SQL ეუბნება SQL– ს, რომ ის ყოველთვის მიიღოს როგორც ნამდვილი განცხადება.

SQL ჰაკი კარგად არის ცნობილი, შესაძლებელია თავიდან იქნას აცილებული მომზადებული განცხადებებით და ჯავის ჩარჩოებით (Java frameworks), რომლებიც შექმნილია ამ დაუცველობების შესამსუბუქებლად. თუ თქვენი ვებ – პროგრამა იყენებს PHP– ს, დარწმუნდით და შეამოწმეთ ამისათვის.

 
saitis damzadeba,app,mobiluri aplikaciis damzadeba,seo,web security,saitis usaprtxoeba,საიტის დამზადება,საიტის უსაფრთხოება

დაუცველი HTTP მისამართი

frameworks _დან გადასვლა, კიბერ კრიმინალებისთვის საიტის წვდომის კიდევ ერთი მეთოდია ხელით შეყვანა კონკრეტული HTTP ბილიკის საშუალებით. ეს ჩვეულებრივ ხდება იმ შემთხვევაში, თუ ვებ-საიტზე წვდომა იმალება, მაგრამ შეზღუდული არ არის. მაგალითად, ვთქვათ, რომ თქვენ Google- ის ადმინისტრაციული უფლებები გაქვთ. როდესაც საიტზე ნავიგაციისას ხედავთ დამატებით ღილაკს, რომელშიც ნათქვამია "ამჟამინდელი მომხმარებლები". ის გადაგიყვანთ https://www.google.com/currentusers (

 

ყოველთვის გამოიყენოთ TLS 1.2

ბოლო ოთხი წლის განმავლობაში დაფიქსირდა მასიური ზრდა TLS 1.2– ის გამოყენებისას. ბევრი დიდი კომპანია, როგორიცაა Google და Apple, კიდევ აგრძელებენ მის გამოყენებას სერვერებთან კომუნიკაციისთვის. როგორც QAs, ჩვენ ვიღებთ პასუხისმგებლობას, როგორიცაა Poodle, Beast და სხვები, დარწმუნდებით, რომ TLS ან SSL- ის მოძველებული ვერსიები გამორთულია.


saitis damzadeba,app,mobiluri aplikaciis damzadeba,seo,web security,saitis usaprtxoeba,საიტის დამზადება,საიტის უსაფრთხოება