Reklāma
Vai, ja es jums teiktu, ka ir viena vieta, kur jūs varat doties, lai iegūtu mieru, ka jūsu vietne ir droša, vai jūs ticat man? Nu jums vajadzētu, jo ir. To sauc Noteikt.
Es esmu tāds vietnes īpašnieks, kurš vienmēr ir noliedzis. Ar mani tā nevar notikt. Kāpēc kāds kādreiz gribētu uzlauzt manu vietni?
Visi šie maldi 2011. gadā man aprāvās, kad manas mājas lapas galvenais PHP fails tika aizstāts ar vietni, kurā tika paziņots, ka vietne ir veiksmīgi uzlauzta. Tas bija ne tikai šoks saprast, ka kāds tiešām ir nomainījis failu manā tīmekļa serverī, bet tas bija ļoti liels trieciens manam lepnumam. Kāds idiots ļauj viņa vietnei uzlauzties?
Realitāte ir tāda, ka laika gaitā mans WordPress emuārs bija novecojis un arvien vairāk pakļauts uzbrukumiem kad hakeri skāra interneta meklēšanu vecākai WordPress versijai ar zināmo, nepieradināto ievainojamības. Liela neveiksme no manas puses. Tātad, nesen es beidzot pabeidzu atjaunināt savu emuāru par pavisam jaunu tēmu. Pārliecināts, ka man nebija par ko uztraukties drošības nodaļā, es pat neuztraucos pārbaudīt, vai tēmai vai kādam no maniem instalētajiem spraudņiem nav zināmu drošības problēmu. Tikai tad, kad saskāros ar Detectify, es sapratu, cik tuvu manam emuāram jāuzbrūk un, iespējams, uzlauztam,
vēlreiz.Instalēšana Detectify
Protams, ir arī citi drošības skenēšanas spraudņi Piešķiriet savai vietnei rūpīgu drošības pārbaudi, izmantojot HackerTargetTā kā internets attīstās un sistēmas, kurās tas darbojas, kļūst grūtāk uzlaužamas, jūs domājat, ka vietnēm tiks uzlauzts mazāk! Patiesībā ir tieši pretēji - problēma ar numuru viena neatrodas ... Lasīt vairāk jūs varat izmantot savā vietnē, taču Detectify iestatīšana un lietošana ir tik vienkārša, pat iesācējiem. Detectify ir spraudņa un tīmekļa pakalpojuma kombinācija. Pirmais solis, kā tas parasti notiek ar tīmekļa pakalpojumiem - jums ir jāreģistrējas.
Nākamais solis ir lejupielādēt un instalēt Noteikt spraudni. Šis ir diezgan vienkāršs spraudnis, taču tas tīmekļa drošības lietotnei dod iespēju iedziļināties visos jūsu emuāra aspektos un analizēt tajā drošības trūkumus. Atklājiet meklēšanu tādās lietās kā lokālā un attālā failu iekļaušana, DOM vai citas vietņu skriptu problēmas, PHP masīva ceļa problēmas, komandu attālināta izpilde un vēl daudz vairāk. Spraudņa lapā varat redzēt visas ievainojamības, kuras Detectify meklē.
Kad esat reģistrējies pakalpojumam un spraudnis ir instalēts, pēdējais solis ir apstiprināt instalēšanu, spraudņa laukā ierakstot verifikācijas atslēgu, kuru saņemat pa e-pastu. Tad jūs visi esat izveidojis savienojumu un gatavs roll.
Skenēšanas noteikšanas palaišana
Kad jūsu vietne ir saistīta, jūs to redzēsit pieejamo domēnu sarakstā jūsu tiešsaistes detektēšanas kontā. Ja vēlaties, varat reģistrēties, lai skenētu vairākus domēnus.
Kad esat gatavs sākt vietnes ievainojamības skenēšanu, vienkārši noklikšķiniet uz pogas Skenēt un ļaujiet tai veikt savu darbu. Daži ieteikumi šajā posmā: mēģiniet veikt skenēšanu laikā, kad jūsu vietnē ir vismazāk trafika. Noteikt būs pārmeklēšana un failu skenēšana jūsu vietnē, tāpēc šīs apstrādes dēļ būs nedaudz veiktspējas.
Otrkārt, dodiet dienestam laiku, kas tam nepieciešams, lai veiktu visu pārmeklēšanu un skenēšanu. Tas nebūs ātrs 30–60 minūšu darbs, ja vien jūsu vietne nebūs nožēlojama. Likmes ir paredzētas vidēja lieluma emuāriem, kurus skatāt vairāk nekā 6 stundas. Lielam emuāram, vēl daudziem citiem.
Labākais risinājums lielākajai daļai cilvēku ir sākt skenēšanu pirms gulētiešanas, un rezultāti jums būs jāgaida no rīta. Manā gadījumā, neraugoties uz manu zīmolu, spīdīgo jauno tēmu un palaižot WordPress jaunāko versiju, es atklāju, ka man ir vairāki brīdinājumi, kas saistīti ar mana emuāra drošību.
Noklikšķinot uz pogas Ziņot, jūs nonāksit lapā, kurā norādīta jūsu domēna skenēšanas informācija.
Izpratne par skenēšanas rezultātiem
Pirmā informācijas paneļa lapa būtībā sniedz pārskatu par to, cik daudz failu tika skenēti, skenēto failu tipi un cik ilgs laiks bija nepieciešams to skenēšanai.
Tas ir katrs fails uz jūsu servera, tāpēc, ja jums ir daudz multivides failu, labāk ticēt, ka skenēšana prasīs daudz laika. Rezultāti, par kuriem ziņots, sīki izklāsta arī precīzu skenēšanas laika sadalījumu, lai jūs varētu redzēt, kura skenēšanas daļa patērēja visvairāk apstrādes laika. Manā gadījumā Pārmeklēšana Kā izveidot pamata tīmekļa rāpuļprogrammu, lai iegūtu informāciju no vietnesVai esat kādreiz gribējuši iegūt informāciju no vietnes? Lūk, kā uzrakstīt rāpuļprogrammu, lai pārvietotos vietnē un iegūtu nepieciešamo. Lasīt vairāk un ekspluatācijas pārbaude sastādīja lielāko skenēšanas laika daļu.
Pārskatā tiks parādīta arī pēdējā jūsu veiktā skenēšanas vēsture ar atklātajām ievainojamībām. Atrisinot problēmas savā vietnē, varat atgriezties šeit, lai pārliecinātos, vai jaunie skenētie attēlo uzlabojošo situāciju jūsu vietnē, nevis pieaugošo problēmu skaitu.
Protams, vislabākā Detectify sastāvdaļa (un visa jēga to patiešām izmantot) ir detaļu sadaļa, kurā ir aprakstītas ļoti specifiskas problēmas, kas tika atklātas jūsu vietnē.
Vietnes drošības problēmu novēršana
Tātad, lūk, lieta mani glāba. Bija daži brīdinājumi, kas man lika saprast, ka manā vietnē ir aktuālas problēmas, neskatoties uz to, ka es tikko biju visu modernizējis un domāju, ka esmu augsts un sauss. Viens no pirmajiem brīdinājumiem nebija pārāk nopietns, bet bija saistīts ar faktu, ka PHP instalēšana manā Apache serverī piedāvā “Lieldienu ola 10 jautras un pārsteidzošas operētājsistēmas Lieldienu olasAtrodiet slēptu jautrību un savādus materiālus, kas ir iebūvēti tieši jūsu izmantotajā operētājsistēmā. Viņi slēpjas vienkāršā vietā, programmatūrā, kuru izmantojat katru dienu, un, kad tos atradīsit, jūs iepriecināsit - ... Lasīt vairāk ”, Kas potenciālajiem hakeriem varētu ļaut noteikt, kuru PHP versiju izmantoju, pārbaudot, kura ikona tiek parādīta, kad manas vietnes URL ir pievienota ikona Lieldienu olu kods.
Es neapzināti ļāvu atklāt PHP versiju, kas arī hakeriem atklāj, kur medīt ievainojamības, kuras var izmantot, lai uzlauztos manā vietnē. Es to nebiju ļoti priecīgs redzēt (man nebija ne mazākās nojausmas par šiem Lieldienu olu kodiem).
Jauka lieta par Detectify ir tā, ka pat tad, ja neesat tīmekļa izstrādātājs vai programmētājs, problēmu, un ieteiktais risinājums ir pietiekami vienkāršs, lai saprastu, ka jūs varētu viegli novērst lielāko daļu atklāto problēmu sevi.
Detectify atklāja otru ievainojamību, kas saistīta ar to, kā es WordPress atstāju pastāvīgo saiti Lietotājvārds, lai uzskaitītu vērtības, ļaujot hakeri ir vienkāršs veids, kā izvilkt lietotāju saites, un palaist caur paroli uzlaušanas algoritmus, lai atklātu kontu ar vāju paroli.
Trešā ievainojamība, kuru atrada Detectify, bija saistīta ar vecu spraudni, kuru biju instalējis vietne, un JavaScript bibliotēkas ievainojamība ir aprakta dziļi vienā no demonstrācijas mapēm tajā iespraust. Man nebija ne mazākās nojausmas, ka šī mape pat pastāv uz servera, bet tur tā bija, ievainojamība tikai gaidīja, kad kāds hakeris nāks līdzi un izmantos to.
Un tur es domāju, ka es stāvu spēcīgi ar necaurlaidīgu vietni. Atkal Detectify sniedza ļoti skaidras un viegli saprotamas rezolūcijas katram brīdim par ievainojamību.
Informācijas drošības jautājumi
Nosakot, tiek sperts solis tālāk par drošību, nodrošinot jūsu vietnē ar informācijas drošības jautājumiem. Tās lielākoties ir ļoti nelielas problēmas, kas nav tieši drošības problēmas, bet varētu būt veidi, kā hakeri varētu iegūt vairāk informāciju par jūsu vietni, nodrošinot viņus ar pētniecības rīkiem, lai atrastu zināmās ievainojamības jūsu instalētajā vietnē tīmekļa serveris.
Tos var labot, ja esat īsts drošības pielūdzējs, taču vairums no tiem ir tikai ieteikumi. Jums nav nopietnu briesmu, ja nolemjat atteikties no lielākās daļas šo risku.
Es pamanīju, ka šie rezultāti ietver arī faktu, ka rāpuļprogramma manā vietnē varēja atklāt e-pasta adreses vienkāršā tekstā. Tajā bija pat visu atrasto adrešu saraksts - galvenokārt no veciem komentāriem.
Pārsteidzoši ir tas, ka gadu gaitā es domāju, ka esmu bloķējis visu e-pasta adrešu ievietošanu vietnē. Detectify ieteica man citādi, un uzskaitīja katru atklāto e-pasta adresi.
Vai mana vietne varēja tikt uzlauzta, ja es nebūtu izmantojis Detectify un labojis šos brīdinājumus? Iespējams. Tā ir vietņu drošība. Var domāt, ka problēmas, kas pastāv uz jūsu servera, nav pietiekami nopietnas, lai garantētu jūsu laiku un enerģiju, bet visas ir nepieciešams viens atjautīgs un motivēts hakeris, lai izpētītu šo drošības caurumu un pēc tam veltītu laiku, lai to reāli izmantotu tā.
Kad jūs pavadāt neskaitāmas stundas tīmekļa vietnes izveidošana Kā izveidot savu vietni minūtēs bez kodēšanas prasmēmPieaugot tīmeklim, un tas darbojas tik žilbinoši ātri, nepieciešamība pēc klātbūtnes tīklā kļūst arvien aktuālāka. Daudzās pasaules daļās, lai jūs būtu ... Lasīt vairāk kas jums patīk, un ieguldot bezdievīgi skaidras naudas apjomus tīmekļa mitināšanā un citos vietņu izdevumos, pēdējais, kas jums nepieciešams, ir kāds resns hakeris, kurš iznīcina visu, ko esat kādreiz uzbūvējis. Tātad, instalējiet Detectify. Skenējiet vietni. Atrisiniet šos jautājumus. Uzticieties man, jums būs prieks, ka jūs to izdarījāt. Es zinu, ka esmu.
Ryanam ir bakalaura grāds elektrotehnikā. Viņš ir strādājis 13 gadus automatizācijas inženierijā, 5 gadus IT jomā un tagad ir Apps Engineer. Bijušais MakeUseOf galvenais redaktors, viņš uzstājās nacionālajās datu vizualizācijas konferencēs un tiek demonstrēts nacionālajā televīzijā un radio.
