د ویب غوښتنلیک هیکینګ طریقې
ویب غوښتنلیکونه هغه برنامې دي چې کاروونکو ته اجازه ورکوي د ویب سرورونو سره تعامل وکړي. دوی د مراجعینو او سرور - اړخ سکریپټونو په مرسته په ویب براوزرونو کې پرمخ وړل کیږي.
د ویب غوښتنلیک جوړښت لاندې دی:
- د پیرودونکي / پریزنټشن پرت
- د سوداګرۍ منطق پرت
- د ډیټابیس پرت
د پیرودونکي / پریزنټشن پرت کې وسایل شامل دي په کوم کې چې غوښتنلیک پرمخ ځي. په داسې وسیلو کې لپټاپ ، ټابلیټونه ، سمارټ فونونه او داسې نور شامل دي.
د سوداګرۍ منطق پرت دوه پرتونه لري:
د ویب سرور منطق پرت چې هغه برخې لري چې غوښتنې او ځوابونه اداره کوي ، او کوډ کول چې براوزر ته ډیټا لوستل او راستنوي
د سوداګرۍ منطق پرت چې د غوښتنلیک ډاټا لري
د ډیټابیس پرت د B2B پرت او ډیټابیس سرور لري په کوم کې چې د سازمان ډیټا زیرمه شوي.
د ویب غوښتنلیک ګواښونه او بریدونه
OWASP یوه خلاصه ټولنه ده چې سازمانونو ته وړتیا ورکوي چې د غوښتنلیکونو تصور ، وده ، لاسته راوړل ، چلولو ، او ساتلو لپاره وړتیا ولري چې اعتماد کیدی شي.
د OWASP ټاپ 10 پروژه یو داسې سند تولیدوي چې د 10 غوښتنلیکونو امنیت ګواښونو په ګوته کوي.
وروستی سند لاندې 10 غوره ګواښونه لیستوي:
انجکشن
د انجیکشن برید یو برید دی په کوم کې چې برید کونکی غلط معلومات ډیټا کمانډونو او پوښتنو ته اړوي کوم چې بیا وروسته په غوښتنلیک کې اعدام شوي.
دا برید د غوښتنلیک ساحې یا د غوښتنې ننوتلو ځایونه په نښه کوي او بریدګرو ته اجازه ورکوي چې حساس معلومات راوباسي.
د ټپیانو ډیری عام بریدونه په لاندې ډول دي:
- د SQL انجیکشن دا یو برید دی په کوم کې چې برید کونکی په SQL پوښتنو کې غوښتنلیک ته زیان اړوي
- کمانډ انجیکشن دا یو برید دی په کوم کې چې برید کونکی په غوښتنلیک کې ناوړه حکمونه اچوي
- LDAP انجیکشن دا یو برید دی په کوم کې چې برید کونکی په LDAP ناوړه بیانات غوښتنلیک کې دننه کوي
مات شوی اعتبار
مات شوی اعتبار د تصدیق او ناستې مدیریت کې ګواښونو او زیانونو ته ګوته نیسي.
برید کونکي د دې اهدافو څخه کار اخلي ترڅو د خپلو اهدافو نقض کړي.
ځینې شته زیانونه عبارت دي له:
- په URL کې د سیشن IDs
- بې کوډ شوي شفرونه
- په ناسمه توګه د وخت ټاکل
حساس معلومات
د معلوماتو ډیرو افشا کولو تهدیدونه په غوښتنلیکونو کې پیښیږي چې د ډیټا کوډ کولو او ذخیره کولو لپاره د ضعیف کوډ کوډ کاروي.
دا زیان منونکي برید کونکي د دې توان ورکوي چې په اسانۍ سره کوډونه مات کړي او ډاټا غلا کړي.
د ایکس ایم ایل بهرني واحد
د ایکس ایم ایل خارجي شرکت برید یو برید دی په کوم کې چې برید کونکی د خراب ترتیب شوي XML پارسیر څخه ګټه اخلي د دې لپاره چې غوښتنلیک د XML آخذې تجزیه کوي د بې اعتباري سرچینې څخه راځي.
د مات مات کنټرول
د لاسرسي کنټرول مات شوي کنټرول خطرونو او زیانونو ته ګوته نیسي. برید کونکي دا زیانونه د تصدیق څخه د تیښتې او د اداري امتیازاتو ترلاسه کولو لپاره کاروي.
د امنیت تېروتنه
د امنیت ناسم تشکیلاتو هغه زیانونو ته اشاره کوي چې په غوښتنلیکونو کې شتون نلري د غوښتنلیک ضعیف تنظیم شوی.
ځینې ستونزې چې د امنیت غلط ناسم زیانونو لامل کیږي په لاندې ډول دي:
- د نامعلومه لیکونې برخې
- فورمه او د پیرامیټر کارول
- خرابه اداره کول
د کراس سایټ سکریپټ (XSS)
د کراس سایټ سکریپینګ برید یو برید دی په کوم کې چې بریدګر سکریپټونه ویب پا pagesو ته اړوي کوم چې د هدف سیسټم کې اعدام شوي.
د ناامني ناکراره کول
د ناامني غیرمجازیت زیان رسولو ته اشاره کوي کوم چې برید کونکي د غلط شوي کوډ په واسطه سریال شوي ډاټا ته انجکشن کوي چې بیا هدف ته لیږل کیږي.
د نا امنه کولو له امله د زیان منونکي زیان مننې له امله ، ناوړه سریال شوې ډاټا د ناوړه کوډ کشف کولو پرته له کنټرول شوې ده ، کوم چې برید کونکي ته اجازه ورکوي سیسټم ته غیر رسمي لاسرسی ترلاسه کړي.
د پیژندل شویو زیانونو سره د اجزاو کارول
د پیژندل شوي زیانونو سره د برخو کارول د برید کونکو ته اجازه ورکوي چې دوی استحصال او بریدونه ترسره کړي.
ناکافي ونې او څارنه
ناکافي ننوتل او څارنه هغه وخت پیښیږي کله چې غوښتنلیک د ناوړه پیښو او فعالیتونو لاگ کولو کې پاتې راشي. دا په سیسټم کې د بریدونو کشف کولو کې ستونزې رامینځته کوي.
د هیکینګ میتودولوژي
د ویب غوښتنلیک هیکینګ میتودولوژی برید کونکي چمتو کوي ترڅو د بریالي برید ترسره کولو تعقیب کړي.
دا ګامونه دي:
د ویب زیربناوو د پاprو چاپ کول
د فوټوپینټینګ ویب زیربنا برید کونکي سره مرسته کوي د هدف ویب ویب زیربناو په اړه معلومات راټول کړي او زیانونه وپیژني چې ګټه ترې اخیستل کیدی شي.
پدې پروسه کې ، برید کونکی فعالیت کوي:
- د سرورونو کشف د سرورونو په اړه زده کړې چې غوښتنلیک کوربه کوي
- د خدمت کشف ترڅو معلومه کړي چې په کوم خدمت برید کولی شي
- د سرور پیژندنه د سرور په اړه معلوماتو زده کول لکه نسخه او جوړول
- د پټو مینځپانګو کشف کولو لپاره د پټ مینځپانګې کشف
د ویب سرور برید
د فوټینینګ ګام کې راټول شوي معلومات هکرانو ته اجازه ورکوي چې دا تحلیل کړي ، د استخراج لپاره زیانونه ومومي ، او په سرور باندې د بریدونو پیل کولو لپاره بیلابیل تخنیکونه کاروي.
د ویب غوښتنلیک تحلیل
برید کونکي د هدف زیانونو پیژندلو لپاره د هدف ویب غوښتنلیک تحلیل کوي او د دوی استحصال کوي.
د غوښتنلیک هیک کولو لپاره ، برید کونکي اړتیا لري:
- د کارن آخذې لپاره د ننوتلو ځایونه وپیژنئ
- د متحرک ویب پا pagesو جوړولو لپاره کارول شوي سرور - اړخ ټیکنالوژیو پیژني
- د سرور اړخ فعالیت وپیژنۍ
- د برید ساحې او اړوند زیانونه مشخص کړئ
د پیرودونکي اړخ د اوریدو کنټرول کوي
برید کونکي هڅه کوي د پیرودونکي اړخ کنټرول ګوښه کړي د کاروونکو تاثیرات او متقابل عمل.
د پیرودونکي اړخ کنټرولونو لرې کولو لپاره ، برید کونکي هڅه کوي چې:
- د پټ شوي فارمونو بریدونه
- د برید کونکي غځول
- د سرچینې کوډ بیاکتنه
د اعتبار بریدونه
برید کونکي د زیان منونکو استخراج هڅه کوي چې د تصدیق میکانیزمونو کې شتون لري.
د دې ډول زیانونو په کارولو سره ، برید کونکي د ترسره کولو وړ دي:
- د کارونکي نوم انګیرنه
- د شفر بریدونه
- سیشن بریدونه
- عملیاتي کوکي
د واک ورکولو بریدونه
د تایید حمله یو برید دی په کوم کې چې برید کونکی د قانوني حساب له لارې غوښتنلیک ته لاسرسی لري چې محدود امتیازات لري او بیا هغه املا د امتیازاتو لوړولو لپاره کاروي.
د اجازه ورکولو حملې ترسره کولو لپاره ، برید کونکي لاندې سرچینې کاروي:
- کرکه
- د پیرامیټر چال چلن
- پوسټ ډاټا
- د HTTP سرلیکونه
- کوکیز
- پټ پټې
د لاسرسي کنټرول بریدونه
برید کونکي د لاسرسي کنټرول پلي شوي کنټرول په اړه توضیحاتو زده کولو په هڅه کې د هدف ویب پا analyه تحلیل کوي.
د دې پروسې په جریان کې ، برید کونکي هڅه کوي پدې اړه زده کړي چې چا ته لاسرسی لري کومې ډاټا ته لاسرسی لري ، چا ته د لاسرسي کچه لري ، او د امتیازاتو څرنګوالي څرنګوالی.
د ناستې مدیریت بریدونه
برید کونکي د دوی د اهدافو نقض کولو لپاره د اعتبار او ناستې مدیریت کې زیانمنونکي ګټه اخلي.
د باوري غونډي نښه تولید کولو پروسه دوه مرحلې لري:
- د ناستې نښه نښه
- د سیشن نښه ټیمپرنګ
د اعتبار وړ نښې سره ، برید کونکي د برید ترسره کولو توان لري لکه MITM ، سیشن هایجیکینګ ، او د سیشن سپړنه.
د انجیکشن بریدونه
برید کونکي د ناوړه پوښتنو او حکمونو انجیک کولو لپاره د نامناسب فارم معلوماتو څخه ګټه اخلي.
د غوښتنلیک منطق زیان منونکي توضیحات
د کوډ کولو خراب مهارتونه کولی شي غوښتنلیک د دې منطقي نیمګړتیاو له امله زیانمن کړي. که چیرې برید کونکی د ورته نیمګړتیاو په پیژندلو کې بریالی شي ، نو بیا دوی وړتیا لري چې برید وکړي او برید پیل کړي.
د ډیټابیس پیوستون بریدونه
برید کونکي ډیټابیس کنټرول باندې بریدونه ترسره کوي ترڅو ډیټابیس کنټرول ترلاسه کړي او پدې توګه حساس معلوماتو ته لاسرسی ومومي.
د ویب خدماتو بریدونه
برید کونکي د ویب غوښتنلیک کې مدغم شوي ویب خدمات په نښه کوي ترڅو د غوښتنلیک سوداګرۍ منطق زیانونه ومومي او ګټه ترې واخلي.
دوی بیا په غوښتنلیک د برید ترسره کولو لپاره بیلابیل تخنیکونه کاروي.
