د غوښتنلیک امنیت باید د هر ویب پاڼې مالک لپاره لومړیتوب وي. ډیری شرکتونه د معلوماتو سرغړونې یا برید ته انتظار باسي ترڅو د ویب سایټ امنیت ته لومړیتوب ورکړي. په یاد ولرئ چې د بګ او ضعیف ټکو پرته هیڅ سافټویر شتون نلري. تاسو باید د خپلې ویب پاڼې د ساتنې لپاره ټول اقدامات وکړئ مخکې له دې چې هر څه ورسره موافقت وکړي. نن ورځ ملیونونه ویب پاڼې آنلاین، امنیتي زیانونه لري، او په اوسط ډول ویب پاڼه هره ورځ تر 50 پورې بریدونو سره مخ کیدی شي.
د غوښتنلیک امنیت زیانمنتیا څه ده؟
د غوښتنلیک زیانونه د سافټویر سیسټم نیمګړتیاوې یا بې ثباتۍ دي چې د غوښتنلیک امنیت سره موافقت کولو لپاره کارول کیدی شي. په ساده ډول ووایاست، زیانمنتیا د ویب پاڼې یا ویب اپلیکیشن کوډ ضعیف یا غلط ترتیب دی چې د هیکر لپاره فرصت رامینځته کوي ترڅو ستاسو د ویب پاڼې ځینې برخې او/یا کوربه سرور کنټرول ترلاسه کړي.
د زیان منونکو ویب پاڼو موندلو ترټولو عام لاره د اتوماتیک پروګرامونو لکه د زیان منونکي سکینرونو او بوټینټونو له لارې ده. هیکران ډیری وختونه د ورڈپریس په څیر پلیټ فارمونو لپاره د انټرنیټ لټون کولو لپاره وسیلې رامینځته کوي ، د پیژندل شوي او عامه زیانونو لپاره. له دې ځایه، ستاسو په سایټ کې سرغړونې د معلوماتو غلا کولو لپاره کارول کیدی شي، تخریب کول، ناوړه مینځپانګې پلي کول، او موجوده مینځپانګې سپیم کول.
د غوښتنلیک زیانمننې طبقه بندي
ویب پاڼې او ویب غوښتنلیکونه ډیری وختونه د مالي دلایلو یا معلوماتو غلا لپاره د سایبر برید کونکو هدف وي. مهمه نده که تاسو د ای کامرس سوداګرۍ پرمخ وړئ ، یا تاسو یوازې یو ساده کوچني آنلاین سوداګرۍ لرئ ، د برید احتمال شتون لري. نو ځکه، دا مهمه ده چې پوه شئ چې تاسو د څه په وړاندې یاست. هر ناوړه برید د دې ځانګړتیاو او ستاسو د سایټ مختلف برخو اغیزه کولو وړتیا پراساس توپیر لري. د ویب پاڼې خورا عام زیانونه د 3 اصلي ځانګړتیاو پراساس طبقه بندي شوي: استخراج، کشف کول، او په سافټویر باندې د دوی اغیز.
- استخراج هغه وسیلو ته اشاره کوي چې د امنیت زیانمننې اداره کولو لپاره اړین دي. کله چې یوه ویب پاڼه یوازې د ویب براوزر کارولو څخه ګټه پورته کولی شي، د استخراج وړتیا لوړه ده او ترټولو ټیټه ګټه اخیستنه هغه وخت ده چې نور پرمختللي پروګرامونه او وسایل پکې ښکیل وي.
- کشف کول د ګواښ کشف کول څومره اسانه دي. ترټولو لوړه کشف کول هغه وخت دي کله چې معلومات په URL کې ښکاره شي، په فورمه پیغام کې، یا د خطا پیغام. ترټولو ټیټ کشف کول هغه وخت دي چې مالویر یوازې د سرچینې کوډ کې کشف کیدی شي.
- په سافټویر اغیزه یا زیان د بشپړ سیسټم حادثې څخه تیریږي، کوم چې ترټولو لوړ اغیزه لري، پداسې حال کې چې ترټولو ټیټ اغیزه هغه وخت ده چې ستاسو سایټ ته هیڅ زیان نه وي رسیدلی.
د زیان مننې ډولونه
راځئ چې د ویب پاڼې ترټولو عام امنیتي زیانمننې وپلټئ، د هر ډول ویب پاڼې امنیت سرغړونې تعریف کړئ، او دا ستاسو په سوداګرۍ څه اغیزه لري.
1. د انجکشن حملې
د کوډ انجیکشن نیمګړتیا هغه وخت رامینځته کیږي کله چې هیکر ویب غوښتنلیک ته غلط معلومات لیږي. د دې ډول برید ترشا هدف دا دی چې ستاسو سافټویر داسې څه وکړي چې د ترسره کولو لپاره ندي ډیزاین شوي. په دې کټګورۍ کې ترټولو عام ګواښ د SQL انجیکشن دی. دا انجکشن د ویب پاڼې شاته پای ډیټابیس ته د لاسرسي یا ډیټابیس بدلولو له لارې د کاروونکو څخه ډیټا اخیستلو لپاره برنامه شوی.
د ایس کیو ایل انجیکشنونو اغیزې په لاندې ډول دي: هیکر به ستاسو ډیټابیس زیان منونکي ساحو کې ناوړه مینځپانګې داخل کړي او حساس معلومات لکه د کارونکي نومونه ، پاسورډونه او نور غلا کړي. سربیره پردې ، دوی کولی شي د معلوماتو دننه کولو ، تازه کولو یا حتی حذف کولو سره ډیټا بدل کړي. دا برید کونکي به د مدیر ځواک ولري او کولی شي د ډیټابیس مینځپانګې فاسد کولو لپاره هر ډول عملیات ترسره کړي.
هغه توکي چې د دې انجیکشن نیمګړتیا لپاره زیان منونکي دي د ننوتلو ساحه او URLs دي چې د ډیټابیس سره اړیکه لري. په دې کټګورۍ کې بل عام زیان د کمانډ انجیکشن دی چې هیکرانو ته اجازه ورکوي چې ستاسو په کوربه توب سرور کې کوډ تیر او اجرا کړي. دا هغه وخت پیښیږي کله چې د کارونکي ان پټ سرور ته لیږدول کیږي، او دا په سمه توګه نه وي تایید شوی.
پدې حالت کې ، برید کونکي کولی شي د کارونکي معلوماتو سره د شیل کمانډونه شامل کړي. د کمانډ انجیکونه خورا خطرناک دي ځکه چې د برید پیل کونکی کولی شي ستاسو ټوله ویب پاڼه، ستاسو کوربه سرور، او همدارنګه د بوټینیټ بریدونو کې د جوړ شوي سرور څخه کار واخلي. په یاد ولرئ: هر هغه څه چې پیرامیټونه د ان پټ په توګه کاروي د کوډ انجیکشن بریدونو لپاره زیان منونکي کیدی شي.
2. مات شوی تصدیق
دا زیانمنتیا هر هیکر ته اجازه ورکوي چې ستاسو په سیسټم کې د هر حساب کنټرول ترلاسه کولو لپاره د لاسي یا اتوماتیک هیک کولو میتودونه وکاروي ، یا حتی په بشپړ کنټرول ولري. هغه ویب پاڼې چې دا نیمګړتیا لري د منطق مسلې لري چې د غوښتنلیک تصدیق کولو میکانیزم کې ښکاري. برید کونکي معمولا په سیسټم کې د اعتبار وړ کاروونکو اټکل یا تصدیق کولو لپاره د وحشي ځواک چلند کاروي. د مات شوي تصدیق نیمګړتیا په مختلفو بڼو کې راځي، لکه:
- د اتوماتیک مداخلو اجازه ورکول لکه د اسنادو ډکول (هیکر د باوري کارن نومونو او پاسورډونو لیست لري).
- د وحشي ځواک او نورو اتوماتیک بریدونو ته اجازه ورکوي.
- د ډیفالټ، ضعیف، یا عام پاسورډونو اجازه ورکوي ("Password1"، "admin"، "12345"، او داسې نور).
- سیسټم ضعیف او غیر موثر اعتبار بیرته ترلاسه کوي او د پټنوم پروسې هیر شوي (د پوهې پراساس ځوابونه).
- سیسټم د څو فکتور تصدیق نلري.
- د بریالي ننوتلو IDs نه ګرځیږي یا دوی په URL کې ښکاره کیږي (د URL بیا لیکلو اجازه ورکوي).
- سیسټم د یوې ټاکلې مودې لپاره د ننوتلو یا غیر فعالیت پرمهال د ناستې IDs په سمه توګه نه باطلوي (واحد لاسلیک (SSO) ټوکنونه).
د امنیت مسلې ډیری فکتورونو ته منسوب کیدی شي لکه د کوډ لیکلو کې د تجربې نشتوالی، د امنیت اړتیاوې، زاړه سافټویر، یا د چټک سافټویر پراختیا خوشې کول، کوم چې نیمګړی مګر فعال دی.
3. د کراس سایټ سکریپټینګ (XSS)
د XSS زیان منونکي هغه وخت څرګندیږي کله چې د جاواسکریپټ کوډ کې د ناوړه کوډ لینونه د ویب پاڼې د مراجعینو اړخ سکریپټونو سمبالولو لپاره داخل شي. دا سکریپټونه د ویب پاڼې د لټون بار یا تبصرو له لارې د کاروونکو غونډو اغیزه کوي. اغیزه د ویب پاڼې خرابول دي او کاروونکي سپیمي ویب پاڼو ته لیږل کیږي چې ممکن نورمال پاڼې ښکاري، مګر دوی د کاروونکي معلومات غلا کوي.
په ویب پاڼه کې د کراس سایټ سکریپټینګ انجیکشن کولو لپاره دوه لارې شتون لري. لومړۍ طریقه د ناڅرګند کارونکي لخوا او دویمه طریقه د برید کونکي لخوا ده. د ناوړه XSS کوډ داخلولو لپاره د کاروونکي کارول، د بریښنالیک له لارې ترسره کیدی شي. دوی کولی شي یو پیغام ترلاسه کړي چې پکې د جعلي راجسټریشن حساب تصدیق کولو لپاره جعلي لینک شامل وي. په دې توګه، سکریپټ د یو آر ایل پیرامیټونو څخه دی.
که د ویب اپلیکیشن کارونکي ته اجازه ورکړي چې د ویب پاڼې په پته کې ځانګړي حروف تیر کړي، ناوړه کوډ به د ویب پاڼې د قانوني برخې په توګه داخل او ترسره شي. فشینګ د انجیکشن اجرا کولو لاره ده. په دویمه طریقه کې، برید کونکي معمولا د هر ډول سرغړونې او کوډ پروسس کولو لپاره د ان پټ فارمونه په نښه کوي.
کله چې ویب پاڼه هغه معلومات بیرته راولي چې سمدلاسه تیر شوي، نو هیکر پوهیږي چې یو زیان شتون لري. XSS کولی شي ستاسو ویب پاڼه په ډیری لارو کې زیانمن کړي لکه د حساس معلوماتو غلا کول (د کارونکي اعتبار، د سیشن کوکیز)، د کیلوګ کولو اجازه (د هر فشار شوي کیلي ثبتول او هیکر ته د معلوماتو لیږل)، د ویب پاڼې مینځپانګې بدلول.
4. د کراس سایټ غوښتنه جعل (CSRF)
دا ناوړه برید کاروونکي هڅوي چې هغه څه وکړي چې دوی یې اراده نه لري. CSRF په دې ډول کار کوي: د دریمې ډلې ویب پاڼه د ویب غوښتنلیک ته یوه غوښتنه لیږي چیرې چې یو کاروونکي دمخه تصدیق شوی، د بیلګې په توګه، د دوی بانک یا د غوره جامو پلورنځی. هیکر به د کارونکي براوزر له لارې د لاسرسي فعالیت ترلاسه کړي. موږ تاسو ته په کلکه مشوره درکوو چې هر ډول شکمن لینکونو، بریښنالیکونو، پیغامونو ته پام وکړئ، کوم چې د ویب غوښتنلیکونو څخه راځي لکه ټولنیز رسنۍ، بریښنالیکونه، آنلاین بانکداري، د شبکې وسیلو لپاره ویب انٹرفیس.
5. د حساسو معلوماتو افشا کول
د حساس معلوماتو افشا کول د ویب سایټ پراخه امنیت زیان منونکی دی چې د عیب محافظت سرچینو څخه د ګټې اخیستنې لپاره کارول کیږي. دا زیان معمولا هغه وخت رامینځته کیږي کله چې محرم معلومات د شبکې له لارې لیږدول کیږي، مګر د آرامۍ په وخت کې ډاټا سره همغږي کیدی شي. د حساسو معلوماتو ځینې مثالونه چې باید خوندي شي، پدې کې شامل دي:
- د کریډیټ کارت شمیرې.
- د کارن حسابونو اعتبار.
- طبي معلومات.
- د ټولنیز امنیت شمیرې.
- نور شخصي توضیحات.
د سوداګرۍ مالکین باید پوه شي چې د کارونکي ډیټا او محرمیت ساتل څومره مهم دي، او دوی باید د محلي محرمیت قوانینو ته درناوی او اطاعت وکړي.
6. ناامنه مستقیم اعتراض حواله
دا نیمګړتیا هغه وخت رامینځته کیږي کله چې یو ویب غوښتنلیک د کارونکي ان پټ باور کوي او د داخلي پلي کولو څیز لکه فایلونه ، ډیټابیس ریکارډونه ، ډیټابیس کیلي ، او لارښودونو ته حواله افشا کوي. کله چې یو داخلي څیز ته حواله په URL کې ښکاره شي، د سایبر امنیت برید د URL اداره کول او د کارونکي ډیټا ته لاسرسی موندلی شي. یو عام زیان د پټنوم د بیا تنظیم کولو فعالیت دی چې یوازې د کارونکي ان پټ ته اړتیا لري ترڅو پریکړه وکړي چې د چا پټنوم بیا تنظیم کیږي.
7. د امنیت ناسم ترتیب
د امنیت غلط ترتیب کې ډیری ډوله زیانونه شامل دي کوم چې په اصلي توګه د ویب پاڼې د ساتنې نشتوالی یا د مناسب ترتیب نشتوالی لري. تشکیلات باید د غوښتنلیک ، ویب سرور ، ډیټابیس سرور ، ویب پلیټ فارم ، چوکاټونو ، او غوښتنلیک سرور لپاره پلي او ځای په ځای شي. دا امنیتي سرغړونې هیکرانو ته شخصي معلوماتو او د ویب پاڼې ځانګړتیاو ته لاسرسی ورکوي. پایله کولی شي ټول سیسټم ګډوډ کړي.
موږ به تاسو ته د امنیتي غلطو تشکیلاتو ځینې مثالونه درکړو ترڅو ستاسو سترګې وساتئ: غوښتنلیک په تولید کې د فعال شوي ډیبګ کولو خصوصیت سره پرمخ ځي، تاسو په سرور کې د لارښود لیست فعال کړی، ستاسو ویب پاڼه په زاړه سافټویر کې روانه ده لکه د ورډپریس پلگ ان یا زاړه. PhpMyAdmin، د ډیفالټ کیلي او پاسورډونو په کارولو سره ، تاسو برید کونکي ته د سټیک نښې (د غلطۍ اداره کولو معلومات) ښکاره کوئ.
8. مات شوي لاسرسي کنټرول
د لاسرسي کنټرول محدودیت ته اشاره کوي کومو برخو یا ویب پا pagesو ته کارونکي د دوی اړتیاو پراساس لاسرسی کولی شي. د ای کامرس ویب پاڼې، د بیلګې په توګه، به د اډمین پینل ته لاسرسی نه ورکوي چیرې چې تاسو محصولات اضافه کړئ، یا ترویجونه تنظیم کړئ. ستاسو لیدونکو ته ستاسو د ویب پاڼې د ننوتلو پاڼې ته د رسیدو اجازه ورکولو سره، تاسو د هیکرانو لپاره دروازه پرانیزي چې تاسو برید وکړي. دلته د مات شوي لاسرسي کنټرول مثالونو لیست دی:
- د کوربه توب کنټرول یا اداري پینل ته لاسرسی.
- د FTP، SFTP، یا SSH له لارې خپل سرور ته لاسرسی.
- ستاسو په سرور کې غوښتنلیکونو ته لاسرسی.
- ستاسو ډیټابیس ته لاسرسی.
د دې ډول لاسرسي اجازه ورکولو سره ، برید کونکي کولی شي غیر مجاز فعالیت او ډیټا ته لاسرسی ومومي ، حساس فایلونو ته لاسرسی ومومي او حتی د لاسرسي حقونه بدل کړي.
د ویب پاڼې امنیتي زیانونو مخنیوي څرنګوالی
دا د هر آنلاین سوداګرۍ لپاره خورا مهم دی چې هغه ګواښونه وپیژني چې دوی ورسره مخ دي او د غوښتنلیک امنیت ته ډیر اهمیت ورکوي. ولې هر هغه څه چې تاسو یې جوړوئ په خطر کې اچوئ، کله چې تاسو کولی شئ خپل ځان او خپل مراجعین خوندي کړئ؟
1. د انجکشن حملې
د انجیکشن بریدونو مخنیوي لپاره ، تاسو باید خپل ان پټ په سمه توګه فلټر کړئ. ستاسو ټول معلومات، نه د دوی اکثریت. که تاسو 500 داخلونه لرئ او 499 په بریالیتوب سره فلټر شوي، دا یو ان پټ کولی شي د برید فرصت شي. د خپل چوکاټ د فلټر کولو کارونو باندې باور ولرئ. همدارنګه، خپل معلومات د کمانډونو او پوښتنو څخه جلا وساتئ. د خوندي غوښتنلیک برنامه کولو انٹرفیس (API) وکاروئ ، د سرور اړخ ان پټ تایید وکاروئ ، د معلوماتو افشا کولو محدودولو لپاره تنظیمات او محدودیتونه پلي کړئ. سربیره پردې، د ننوتلو ساحې سپین لیست کړئ او د خطا پیغام توضیحاتو ښودلو څخه مخنیوی وکړئ چې د هیکرانو لخوا کارول کیدی شي.
2. مات شوی تصدیق
د مات شوي تصدیق مخنیوي لپاره ، یو چوکاټ وکاروئ. دا د دې امنیتي نیمګړتیا څخه مخنیوي لپاره ترټولو ساده لاره ده. پام وکړئ چې ستاسو په URLs یا لاګونو کې کوم اسناد افشا نه کړئ، او وګورئ چې ستاسو د تصدیق او سیشن مدیریت اړتیاوې د OWASP غوښتنلیک امنیت تصدیق معیارونه پوره کوي.
3. د کراس سایټ سکریپټینګ (XSS)
د (XSS) د کراس سایټ سکریپټینګ مخنیوي لپاره، لومړی ګام د معلوماتو پاکول دي. دا پروسه د ځانګړو HTML حروفونو بدلولو ته اشاره کوي لکه د کرلي بریکونو، زاویې قوسونو، او نور په HTML ادارو کې، ځکه چې دوی د مناسبې غوښتنې پروسس ډاډمن کوي. سربیره پردې ، تاسو کولی شئ د XSS بریدونو کمولو لپاره ډیزاین شوی فایر وال نصب کړئ ، د شرایطو حساس کوډ کول پلي کړئ ، او تاسو کولی شئ د مینځپانګې امنیت پالیسي (CSP) هم فعاله کړئ.
4. د کراس سایټ غوښتنه جعل (CSRF)
د کراس سایټ غوښتنې جعل لپاره، تاسو باید یو پټ نښه په پټ فارم ساحه کې ذخیره کړئ چې د دریمې ډلې سایټ ته د لاسرسي وړ نه وي. دا طریقه کاروونکي د CSRF بریدونو څخه ساتي ځکه چې هکران چې غوښتنه لیږي باید د نښه ارزښت اټکل کړي. ښه خبر دا دی چې د یو کاروونکي د ننوتلو وروسته، نښه به باطله شي. د دې سربیره، تاسو کولی شئ د CAPTCHA یا د بیا تصدیق کولو میکانیزمونه هم پلي کړئ.
5. د حساسو معلوماتو افشا کول
د حساس معلوماتو افشا کیدو مخنیوي لپاره ، دا مهمه ده چې د دواړو حالتونو په اړه فکر وکړئ: په لیږد کې ډیټا او په ذخیره کې ډاټا. د ټرانزیټ ډیټا لپاره HTTPS د مناسب سیکور ساکټ لیر (SSL) سند سره وکاروئ او هیڅ ډول اړیکه مه منئ چې HTTPS نه وي. په ذخیره کې د معلوماتو لپاره، حساس معلومات مه ذخیره کړئ که اړین نه وي، ټول ذخیره شوي ډاټا کوډ کړئ، خپل د کوډ کولو کیلي پټ وساتئ، او خپل بیک اپ کوډ کړئ.
6. ناامنه مستقیم اعتراض حواله
د ناامنه مستقیم اعتراضونو څخه ستاسو غوښتنلیک خوندي کولو لپاره، د کارونکي واک په سمه توګه او په مکرر ډول پلي کړئ. په URLs کې د اعتراضونو حوالې افشا کولو څخه ډډه وکړئ، د هر حواله اعتراض تایید تایید کړئ، او په داخلي توګه د معلوماتو ذخیره کولو څخه ډډه وکړئ. یوازې د CGI پیرامیټونو باندې تکیه مه کوئ.
7. د امنیت ناسم ترتیب
د امنیت ناسم تنظیم کولو سرغړونې د باور وړ اتوماتیک جوړونې او پلي کولو پروسې په درلودلو سره مخنیوی کیدی شي چې کولی شي په ګمارلو کې ازموینې پرمخ بوځي.
8. مات شوي لاسرسي کنټرول
د مات شوي لاسرسي کنټرول د امنیت - لومړي فلسفې سافټویر په پلي کولو او پلي کولو سره مخنیوی کیدی شي. د پراختیا کونکي سره کار وکړئ چې هرې سرچینې ته د ډیفالټ لاسرسي څخه انکار وکړئ چې د خلکو لپاره نه وي ، د CORS کارول کم کړئ ، د ویب سرور لارښود لیستونه غیر فعال کړئ ، د فایل میټاډاټا ډاډه کړئ ، د لاسرسي کنټرول ناکامي ، او د بار بار ناکامۍ رامینځته کیدو پرمهال د خبرتیا مدیران.
پایله
مهمه نده چې اوس ستاسو سوداګرۍ کوم مرحله ده، امنیت د هرې آنلاین ویب پاڼې یا ویب غوښتنلیک لپاره خورا مهم دی. د دې د خلاصولو لپاره، لاندې ټکي په پام کې ونیسئ:
- لوړ 3 امنیتي ګواښونه انجیکشنونه، د تصدیق کولو نیمګړتیاوې، او د کراس سایټ سکریپټینګ (XSS) دي.
- ترټولو زیان منونکی پلیټ فارم ورڈپریس دی ، که تاسو د خورا خوندي پلیټ فارم په لټه کې یاست ، د دودیز پراختیا لپاره لاړشئ. د دې ځانګړي کوډ له امله ، دا د عام بریدونو لپاره نږدې خلاص دروازه نه پریږدي.
- د دې لپاره چې ډاډ ترلاسه کړئ چې ستاسو ویب پاڼه زیانمنه نه ده، ستاسو ویب پاڼه په منظمه توګه سکین او څارنه وکړئ. په هغه صورت کې چې تاسو کوم توپیر ومومئ، سمدستي اقدام وکړئ.
- ستاسو د ویب پاڼې د برید څخه مخنیوي لپاره، هڅه وکړئ چې خپل غوښتنلیک تازه وساتئ، د ویب پاڼې اپلیکیشن فایر وال (WAF) وکاروئ، او د مالویر سکینر وکاروئ.