Ny fiarovana ny fampiharana dia tokony ho laharam-pahamehana ho an'ny tompon'ny tranokala tsirairay. Betsaka loatra ny orinasa miandry fanitsakitsahana angon-drakitra na fanafihana mba hahatonga ny fiarovana ny tranokala ho laharam-pahamehana. Tsarovy fa tsy misy logiciel tsy misy bibikely sy teboka malemy. Tokony handray ny fepetra rehetra ianao mba hiarovana ny tranokalanao alohan'ny ahafahan'ny zavatra rehetra mampandefitra azy. Tranonkala an-tapitrisany an-tserasera amin'izao fotoana izao, manana vulnerability amin'ny fiarovana, ary mety hiharan'ny fanafihana 50 isan'andro ny tranonkala salantsalany.
Inona no atao hoe vulnerability fiarovana amin'ny fampiharana?
Ny vulnerabilities amin'ny fampiharana dia ireo lesoka na tsy fahatomombanan'ny rafitra rindrambaiko izay mety hohararaotina mba hanimba ny fiarovana ny fampiharana. Raha tsorina, ny vulnerability dia fahalemena na fanitsiana diso amin'ny tranokala na kaody fampiharana amin'ny tranonkala izay mamorona fahafahana ho an'ny mpijirika mba hifehy ny ampahany sasany amin'ny tranokalanao sy/na ny mpizara fampiantranoana.
Ny fomba mahazatra indrindra hahitana tranokala marefo dia amin'ny alàlan'ny programa mandeha ho azy toy ny scanner vulnerability sy botnets. Matetika ny hackers dia mamorona fitaovana hikaroka amin'ny Internet amin'ny sehatra toy ny WordPress, ho an'ny vulnerability malaza sy ampahibemaso. Avy eto, ny fanitsakitsahana ao amin'ny tranokalanao dia azo ampiasaina hangalatra angon-drakitra, manindrona fanimbana, mametraka votoaty maloto, ary spam ny votoaty efa misy.
Fanasokajiana ny vulnerabilities amin'ny fampiharana
Matetika ny tranonkala sy ny rindranasa an-tranonkala no lasibatry ny mpanafika an-tserasera noho ny antony ara-bola na halatra angona. Na manao raharaham-barotra e-varotra ianao, na manana orinasa madinika an-tserasera tsotra fotsiny, dia misy ny mety hisian'ny fanafihana. Noho izany dia zava-dehibe ny mahafantatra izay toherinao. Ny fanafihana ratsy rehetra dia samy hafa mifototra amin'ny mombamomba azy sy ny fahafahana miantraika amin'ny faritra samihafa amin'ny tranokalanao. Ny vulnerabilities amin'ny tranonkala mahazatra indrindra dia sokajiana mifototra amin'ny toetra 3 lehibe: azo ampiasaina, azo fantarina ary ny fiantraikany amin'ny rindrambaiko.
- Ny fanararaotana dia manondro ireo fitaovana ilaina amin'ny fanodinkodinana ny fahalemen'ny fiarovana. Rehefa azo araraotina amin'ny fampiasana navigateur web fotsiny ny tranonkala iray, dia avo ny azo trandrahana ary ny azo trandrahana ambany indrindra dia rehefa misy fandaharana sy fitaovana mandroso kokoa.
- Ny detectability dia manondro ny maha-mora ny fandrahonana. Ny fahitana avo indrindra dia rehefa aseho amin'ny URL ny fampahalalana, amin'ny endrika hafatra, na hafatra diso. Ny fandrefesana ambany indrindra dia rehefa tsy hita afa-tsy amin'ny code source ny malware.
- Ny fiantraikany amin'ny rindrambaiko na ny fahasimbana dia avy amin'ny fianjeran'ny rafitra tanteraka, izay misy fiantraikany ambony indrindra, raha ny fiantraikany ambany indrindra dia rehefa tsy nisy fahasimbana tamin'ny tranokalanao.
Karazana vulnerability
Andeha hojerentsika ny fahalemen'ny fiarovana amin'ny tranokala mahazatra indrindra, hamaritana ny karazana fanitsakitsahana ny fiarovana amin'ny tranokala, ary inona no fiantraikan'izany eo amin'ny orinasanao.
1. Fanafihana tsindrona
Misy lesoka tsindrona kaody mitranga rehefa misy mpijirika mandefa angona tsy mety amin'ny rindranasa tranonkala. Ny tanjona ao ambadik'ity karazana fanafihana ity dia ny hahatonga ny lozisialy anao hanao zavatra tsy natao hatao. Ny fandrahonana mahazatra indrindra amin'ity sokajy ity dia ny tsindrona SQL. Ity tsindrona ity dia nomanina haka angon-drakitra avy amin'ny mpampiasa amin'ny alàlan'ny fidirana amin'ny tranokalan'ny back-end an'ny tranokala na manova ny angona.
Ny fiantraikan'ny tsindrona SQL dia toy izao manaraka izao: ny mpijirika dia hampiditra votoaty ratsy ao amin'ny sahan'ny angon-drakitrao ary hangalatra angon-drakitra saro-pady toy ny anaran'ny mpampiasa, tenimiafina, sns. Ankoatra izany, afaka manova data izy ireo amin'ny fampidirana vaovao, fanavaozana, na famafana mihitsy aza. izany. Ny mpanafika dia hanana ny fahefan'ny administratera ary afaka manao izay asa rehetra hanimba ny votoatin'ny angon-drakitra.
Ny zavatra mora iharan'ity tsindrona tsindrona ity dia ny saha fampidirana sy ny URL mifandray amin'ny angon-drakitra. Ny vulnerable iray hafa mahazatra amin'ity sokajy ity dia ny tsindrona baiko izay manome alalana ny hackers handefa sy hanatanteraka ny code amin'ny mpizara fampiantranoanao lavitra. Mitranga izany rehefa alefa any amin'ny mpizara ny fampidirana mpampiasa, ary tsy voamarina tsara izany.
Amin'ity tranga ity, ny mpanafika dia afaka mampiditra baiko shell miaraka amin'ny mombamomba ny mpampiasa. Tena mampidi-doza ny tsindrona baiko satria ny mpanentana ny fanafihana dia afaka maka an-keriny ny tranokalanao manontolo, ny mpizara fampiantranoana anao, ary afaka mampiasa ny mpizara marimaritra iraisana amin'ny fanafihana botnet. Ataovy ao an-tsaina: izay rehetra mampiasa masontsivana ho fampidirana dia mety ho mora voan'ny fanafihana tsindrona kaody.
2. Fanamarinana tapaka
Ity vulnerability ity dia mamela ny mpijirika rehetra hampiasa fomba fijirika amin'ny tanana na mandeha ho azy mba hahazoana fifehezana ny kaonty rehetra ao amin'ny rafitrao, na hifehy azy tanteraka mihitsy aza. Ny tranokala manana io lesoka io dia manana olana lojika izay miseho amin'ny mekanika fanamarinana ny fampiharana. Matetika ny mpanafika dia mampiasa fomba mahery vaika mba hamaritana na hanamarina ireo mpampiasa manan-kery amin'ny rafitra iray. Ny tsy fahampian'ny fanamarinana tapaka dia tonga amin'ny endrika isan-karazany, toy ny:
- Mamela ny fidirana mandeha ho azy toy ny famenoana ny fahazoan-dàlana (ny mpijirika dia manana lisitry ny solon'anarana sy tenimiafina manan-kery).
- Mamela ny herisetra sy fanafihana mandeha ho azy hafa.
- Mamela tenimiafina mahazatra, malemy, na mahazatra ("Password1", "admin", "12345", sns.).
- Ny rafitra dia manaiky ny famerenana ny fahazoan-dàlana malemy sy tsy mahomby ary nanadino ny fizotran'ny tenimiafina (valiny mifototra amin'ny fahalalana).
- Ny rafitra dia tsy manana fanamarinana maromaro.
- Tsy mihodinkodina na mibaribary ao amin'ny URL ny kaody fidirana mahomby (mamela ny fanoratana URL).
- Ny rafitra dia tsy manafoana araka ny tokony ho izy ny ID sessions mandritra ny fivoahana na ny tsy fahavitrihana amin'ny fe-potoana iray (marika famantarana tokana (SSO)).
Ny olana momba ny fiarovana dia azo lazaina amin'ny antony maro toy ny tsy fahampian'ny traikefa amin'ny fanoratana kaody, ny fepetra fiarovana, ny rindrambaiko efa lany andro, na ny famoahana ny fampivoarana rindrambaiko maika, izay tsy vita fa miasa.
3. Fanoratana an-tsoratra (XSS)
Ny vulnerability XSS dia miseho rehefa ampidirina ao amin'ny code JavaScript ny andalana misy kaody ratsy mba hanodikodinana ny sora-baventy amin'ny pejy web iray. Ireo script ireo dia misy fiantraikany amin'ny fivorian'ny mpampiasa amin'ny alàlan'ny bara fikarohana na fanehoan-kevitra ao amin'ny tranokala. Ny vokatr'izany dia manimba ny vohikala ary mamindra ny mpampiasa amin'ny tranokala spammy izay mety ho pejy mahazatra, saingy mikasa ny hangalatra ny mombamomba ny mpampiasa izy ireo.
Misy fomba roa hampidirana scripting cross-site amin'ny tranokala iray. Ny fomba voalohany dia avy amin'ny mpampiasa tsy mahalala ary ny fomba faharoa dia ny mpanafika. Ny fampiasana mpampiasa iray hampidirana kaody XSS ratsy, dia azo atao amin'ny alàlan'ny mailaka. Afaka mahazo hafatra misy rohy sandoka izy ireo hanamafisana ny kaonty fisoratana anarana sandoka. Amin'izany fomba izany, ny script dia ao anatin'ny iray amin'ireo mari-pamantarana URL.
Raha mamela ny mpampiasa handefa tarehintsoratra manokana ao amin'ny adiresin'ny tranonkala ny rindranasa an-tranonkala, dia hatsindrona ny kaody ratsy ary hatao ho ampahany ara-dalàna amin'ny tranokala. Phishing no fomba hanatanterahana ny tsindrona. Amin'ny fomba faharoa, matetika ireo mpanafika dia mikendry ny endrika fampidirana mba hijerena izay mety ho fandikan-dalàna sy hikarakarana ny kaody.
Rehefa mamerina ny angon-drakitra nalefa avy hatrany ny tranokala, dia fantatry ny mpijirika fa misy ny vulnerability. Ny XSS dia mety hanimba ny tranokalanao amin'ny fomba maro toy ny fangalarana angon-drakitra saro-pady (fanomezan-dàlana ho an'ny mpampiasa, cookies session), mamela ny keylogging (mandrakitra ny fanalahidy rehetra voatsindry ary mandefa ny angona amin'ny mpijirika), manova ny votoatin'ny tranokala.
4. Fisokajiana fangatahan'ny tranokala (CSRF)
Ity fanafihana maloto ity dia mamitaka ny mpampiasa hanao zavatra tsy nokasainy hatao. Ny CSRF dia miasa toy izao: misy tranokalan'ny antoko fahatelo mandefa fangatahana amin'ny rindranasa tranonkala iray izay efa voamarina ny mpampiasa iray, ohatra, ny banky na ny fivarotana akanjo tiany. Ny mpijirika dia hahazo fampiasa fidirana amin'ny alàlan'ny navigateur mpampiasa. Manoro hevitra mafy anao izahay mba handinika izay rohy, mailaka, hafatra mampiahiahy, izay avy amin'ny rindranasa tranonkala toy ny media sosialy, mailaka, banky an-tserasera, fifandraisana amin'ny tranonkala ho an'ny fitaovana tambajotra.
5. Fampandrenesana angon-drakitra saro-pady
Ny fiparitahan'ny angon-drakitra saro-pady dia faharefoan'ny fiarovana amin'ny tranokala miely patrana izay araraotina mba hanararaotra ireo loharano fiarovana tsy mety. Matetika no mitranga io vulnerable io rehefa ampitaina amin'ny alalan'ny tambajotra ny angon-drakitra tsiambaratelo, saingy mety ho levona ihany koa ny angona rehefa miala sasatra. Ohatra sasantsasany amin'ny angon-drakitra saro-pady tsy maintsy arovana, ahitana:
- Laharan'ny carte de crédit.
- Ny fahazoan-dàlana amin'ny kaonty mpampiasa.
- Fampahalalana momba ny fitsaboana.
- laharana fiahiana ara-tsosialy.
- Details manokana hafa.
Ny tompona orinasa dia tokony hahatakatra ny maha-zava-dehibe ny fiarovana ny angon-drakitra sy ny fiainana manokana an'ny mpampiasa, ary tokony hanaja sy hanaraka ny lalàna momba ny fiainana manokana eo an-toerana izy ireo.
6. Filazana zavatra mivantana tsy azo antoka
Mitranga izany lesoka izany rehefa matoky ny fandraisan'ny mpampiasa ny fampiharana tranonkala iray ary mampiseho reference amin'ny zavatra fampiharana anatiny toy ny rakitra, firaketana angon-drakitra, fanalahidin'ny database, ary lahatahiry. Rehefa mipoitra ao amin'ny URL ny fanondroana zavatra anatiny iray, dia mety hitranga ny fanafihana cybersecurity hanodinana ny URL sy hahazoana fidirana amin'ny angon'ny mpampiasa iray. Ny vulnerability mahazatra dia fiasa famerenan'ny tenimiafina izay mila fidirana amin'ny mpampiasa ihany no hanapahan-kevitra hoe iza no hamerenana ny tenimiafina.
7. Fiarovana diso konfigurasi
Ny tsy fahampian'ny fiarovana dia ahitana karazana vulnerabilities marobe izay amin'ny fotony dia ny tsy fisian'ny fikojakojana ny tranokala na ny tsy fahampian'ny fanamafisana mety. Ny fanamafisana dia tsy maintsy ampiharina sy apetraka ho an'ny fampiharana, mpizara tranonkala, mpizara database, sehatra tranonkala, rafitra ary mpizara fampiharana. Ity fanitsakitsahana ny fiarovana ity dia manome ny mpijirika ny fidirana amin'ny angon-drakitra manokana sy ny endri-tranonkala. Mety hanimba ny rafitra manontolo ny vokatra.
Hanome ohatra vitsivitsy amin'ny tsy fetezan'ny fiarovana izahay mba hijerena ny masonao: ny fampiharana dia mandeha miaraka amin'ny fampiasa debugging alefa amin'ny famokarana, manana ny lisitry ny lahatahiry alefa amin'ny mpizara ianao, ny tranokalanao dia mandeha amin'ny rindrambaiko efa lany andro toy ny WordPress plugins na taloha. PhpMyAdmin, amin'ny fampiasana ny fanalahidy sy ny tenimiafina mahazatra, dia manambara ireo soritr'aretina (fampahalalam-baovao momba ny fahadisoana) amin'ny mpanafika ianao.
8. Tapaka ny fanaraha-maso ny fidirana
Ny fanaraha-maso ny fidirana dia manondro ny famerana ny fizarana na pejin-tranonkala azon'ny mpampiasa tratrarina, arakaraka ny filany. Ny tranokalan'ny eCommerce, ohatra, dia tsy hanome fidirana amin'ny tontolon'ny admin izay ahafahanao manampy vokatra, na manangana fampiroboroboana. Amin'ny alàlan'ny famelana ny mpitsidika anao hiditra amin'ny pejin'ny fidirana amin'ny tranokalanao, dia manokatra varavarana ho an'ny hackers ianao hanafika anao. Ity misy lisitry ny ohatra amin'ny fanaraha-maso ny fidirana tapaka:
- Fidirana amin'ny fanaraha-maso fampiantranoana na tontonana administratif.
- Fidirana amin'ny mpizara anao amin'ny alàlan'ny FTP, SFTP, na SSH.
- Fidirana amin'ny fampiharana amin'ny mpizara anao.
- Fidirana amin'ny angon-drakitrao.
Amin'ny alàlan'ny famelana io karazana fidirana io, ny mpanafika dia afaka miditra amin'ny fiasa sy angon-drakitra tsy nahazoana alalana, mahazo fidirana amin'ny rakitra saro-pady, ary manova ny zo fidirana mihitsy aza.
Ahoana no hisorohana ny vulnerability amin'ny fiarovana ny tranokala
Tena zava-dehibe ho an'ny orinasa an-tserasera rehetra ny mahafantatra ny fandrahonana atrehin'izy ireo ary manome lanja bebe kokoa ny fiarovana ny fampiharana. Nahoana no mampidi-doza ny zavatra rehetra aorinao, raha afaka miaro ny tenanao sy ny mpanjifanao ianao?
1. Fanafihana tsindrona
Mba hisorohana ny fanafihana tsindrona, sivanao araka ny tokony ho izy ny fidiranao. Ny hevitrao rehetra, fa tsy ny ankamaroany. Raha manana fampidirana 500 ianao ary voasivana soa aman-tsara ny 499, dia mety ho lasa fahafahana manafika izany fampidirana izany. Matokia amin'ny fiasan'ny sivananao. Ankoatra izany, tehirizo misaraka amin'ny baiko sy fanontaniana ny angonao. Mampiasà Application Programming Interface (API) azo antoka, ampiasao ny fanamarinana ny fidirana amin'ny serivisy, ampiharo ny fanovana sy ny fameperana mba hamerana ny fiparitahan'ny angona. Ambonin'izany, lisitra fotsy ny saha fampidirana ary aza aseho ny antsipirian'ny hafatra diso izay azon'ny hackers.
2. Fanamarinana tapaka
Mba hisorohana ny fanamarinana tapaka, ampiasao rafitra. Ity no fomba tsotra indrindra hialana amin'ity lesoka fiarovana ity. Tandremo ny tsy hamoahana ny fahazoan-dàlana ao amin'ny URL-nao na ny Logs, ary jereo raha mahafeno ny fenitry ny fanamarinana ny fiarovana ny fampiharana OWASP.
3. Fanoratana an-tsoratra (XSS)
Ho an'ny fisorohana ny fanoratana amin'ny tranokala (XSS), ny dingana voalohany dia ny fanadiovana ny fampidirana. Ity dingana ity dia manondro ny fanoloana ireo endri-tsoratra HTML manokana toy ny braces olioly, brackets, sns. ho enti-manana HTML, satria miantoka ny fikarakarana ny fangatahana araka ny tokony ho izy. Ankoatr'izay, azonao atao ny mametraka firewall natao hanalefahana ny fanafihana XSS, hampihatra ny kaody saro-pady amin'ny teny manodidina, ary azonao atao koa ny mametraka politika fiarovana votoaty (CSP).
4. Fisokajiana fangatahan'ny tranokala (CSRF)
Ho an'ny hosoka amin'ny fangatahan'ny tranokala dia tokony hitahiry marika miafina ao anaty saha endrika miafina izay tsy azon'ny tranokalan'ny antoko fahatelo ianao. Ity fomba ity dia miaro ny mpampiasa amin'ny fanafihana CSRF satria ireo mpijirika izay mandefa ny fangatahana dia tsy maintsy maminavina ny sandan'ny marika. Ny vaovao tsara kokoa dia rehefa mivoaka ny mpampiasa iray dia ho foana ny famantarana. Ho fanampin'izany, azonao atao ihany koa ny mampihatra ny mekanika CAPTCHA na Re-Authentication.
5. Fampandrenesana angon-drakitra saro-pady
Mba hisorohana ny fiparitahan'ny angon-drakitra saro-pady dia zava-dehibe ny mieritreritra ireo tranga roa ireo: ny angon-drakitra amin'ny fitaterana sy ny angon-drakitra ao anaty tahiry. Ho an'ny angona fitaterana dia ampiasao ny HTTPS miaraka amin'ny taratasy fanamarinana Secure Sockets Layer (SSL) ary aza manaiky izay fifandraisana tsy HTTPS. Ho an'ny angona ao anaty fitahirizana, aza mitahiry angon-drakitra saro-pady raha tsy ilaina izany, afeno ny angon-drakitra voatahiry rehetra, tazony ho tsiambaratelo ny fanalahidin'ny fanafenanao, ary afeno ny backups anao.
6. Filazana zavatra mivantana tsy azo antoka
Mba hiarovana ny fampiharanao amin'ny fanondroana zavatra mivantana tsy azo antoka, ampiharo tsara sy matetika ny fanomezan-dàlana ho an'ny mpampiasa. Halaviro ny fampiharihariana ny references amin'ny URL, hamarino ny fanomezan-dàlana ho an'ny zavatra reference rehetra, ary aza mitahiry data ao anatiny. Aza miantehitra amin'ny masontsivana CGI ihany.
7. Fiarovana diso konfigurasi
Azo sorohina ny fanitsakitsahana ny fandrindrana ny fiarovana amin'ny alàlan'ny fananana rafitra fananganana sy fametrahana mandeha ho azy azo antoka izay afaka manao fitsapana amin'ny fametrahana.
8. Tapaka ny fanaraha-maso ny fidirana
Ny fanaraha-maso ny fidirana tapaka dia azo ialana amin'ny alàlan'ny fanekena sy fampiharana rindrambaiko filozofia voalohany amin'ny fiarovana. Miaraha miasa amin'ny mpamorona mba handà amin'ny alàlan'ny default ny fidirana amin'ny loharanon-karena tsy ho an'ny besinimaro, manamaivana ny fampiasana CORS, manafoana ny lisitry ny lahatahirin'ny webserver, miantoka ny metadata amin'ny rakitra, ny tsy fahombiazan'ny fanaraha-maso ny fidirana amin'ny log, ary ny mpitantana mailo rehefa misy ny tsy fahombiazana miverimberina.
Famaranana
Na inona na inona sehatra misy anao amin'izao fotoana izao, ny fiarovana dia tena ilaina amin'ny tranokala an-tserasera na fampiharana tranonkala. Mba hamintinana azy dia diniho ireto manaraka ireto:
- Ny fandrahonana fiarovana 3 ambony dia ny tsindrona, ny lesoka amin'ny fanamarinana, ary ny scripting cross-site (XSS).
- Ny sehatra marefo indrindra dia WordPress, raha mitady sehatra azo antoka ianao dia mandehana amin'ny fampivoarana manokana. Noho ny kaody tokana misy azy, dia saika tsy misy varavarana misokatra ho an'ny fanafihana mahazatra.
- Mba hahazoana antoka fa tsy marefo ny tranokalanao, jereo sy araho tsy tapaka ny tranokalanao. Raha sanatria ka mahita tsy fitovian-kevitra ianao dia manaova hetsika avy hatrany.
- Mba hisorohana ny fanafihan'ny tranokalanao dia miezaha hanara-maso ny fampiharana anao, ampiasao ny firewall fampiharana tranonkala (WAF), ary ampiasao ny scanner malware.