የጣቢያ ደህንነት ገዳይ ኃጢአቶች፡ ከዓመቱ የተጋላጭነት ስካነር ስታትስቲክስ የተማርነው

ከአንድ አመት በፊት እኛ በዳታላይን ጀመርን። አገልግሎት በ IT መተግበሪያዎች ውስጥ ያሉ ተጋላጭነቶችን ለመፈለግ እና ለመተንተን። አገልግሎቱ በ Qualys ደመና መፍትሄ ላይ የተመሰረተ ነው, ስለ አሠራሩ አስቀድመን ተናግረናል. ከመፍትሔው ጋር በሰራን አንድ አመት ውስጥ 291 ለተለያዩ ድረ-ገጾች እና በድር አፕሊኬሽኖች ውስጥ ባሉ የተለመዱ ተጋላጭነቶች ላይ የተከማቸ ስታቲስቲክስን አካሂደናል። 

ከዚህ በታች ባለው ጽሑፍ ውስጥ በድር ጣቢያ ደህንነት ውስጥ ከተለያዩ የሂሳዊነት ደረጃዎች በስተጀርባ ምን ቀዳዳዎች እንደተደበቁ በትክክል አሳያችኋለሁ። ስካነሩ በተለይ ብዙ ጊዜ ምን አይነት ድክመቶች እንዳገኛቸው፣ ለምን ሊከሰቱ እንደሚችሉ እና እራስዎን እንዴት እንደሚከላከሉ እንይ። 

Qualys ሁሉንም የድረ-ገጽ አፕሊኬሽኖች ተጋላጭነቶችን በሦስት ወሳኝ ደረጃዎች ይከፍላል፡ ዝቅተኛ፣ መካከለኛ እና ከፍተኛ። ስርጭቱን በ "ክብደት" ከተመለከቱ, ሁሉም ነገር በጣም መጥፎ አይደለም የሚመስለው. ከፍተኛ ወሳኝ ደረጃ ያላቸው ጥቂት ተጋላጭነቶች አሉ፣ በአብዛኛው ሁሉም ወሳኝ ያልሆኑ ናቸው፡ 

ነገር ግን አለመተቸት ምንም ጉዳት የለውም ማለት አይደለም። በተጨማሪም ከባድ ጉዳት ሊያስከትሉ ይችላሉ. 

ከፍተኛ "ወሳኝ ያልሆኑ" ተጋላጭነቶች

1. የተቀላቀለ ይዘት ተጋላጭነቶች።

   የድረ-ገጽ ደህንነት መስፈርት በ HTTPS ፕሮቶኮል በኩል በደንበኛው እና በአገልጋዩ መካከል መረጃን ማስተላለፍ ነው, ይህም ምስጠራን ይደግፋል እና መረጃን ከመጥለፍ ይጠብቃል. 

   አንዳንድ ጣቢያዎች ይጠቀማሉ የተደባለቀ ይዘትአንዳንድ መረጃዎች ደህንነቱ ባልተጠበቀ የኤችቲቲፒ ፕሮቶኮል ይተላለፋሉ። ብዙውን ጊዜ የሚተላለፈው በዚህ መንገድ ነው ተገብሮ ይዘት - የጣቢያው ማሳያን ብቻ የሚነካ መረጃ: ስዕሎች ፣ css ቅጦች። ነገር ግን አንዳንድ ጊዜ በዚህ መንገድ ነው የሚተላለፈው ንቁ ይዘትየጣቢያውን ባህሪ የሚቆጣጠሩ ስክሪፕቶች። በዚህ አጋጣሚ ልዩ ሶፍትዌሮችን በመጠቀም ከአገልጋዩ በሚመጣ ንቁ ይዘት ያለውን መረጃ መተንተን፣ ምላሾችዎን በበረራ ላይ ማስተካከል እና ማሽኑ በፈጣሪዎቹ ባልታሰበ መንገድ እንዲሰራ ማድረግ ይችላሉ። 

   አዳዲስ የአሳሾች ስሪቶች ድብልቅ ይዘት ያላቸው ጣቢያዎች ደህንነታቸው የተጠበቀ እንዳልሆኑ እና ይዘቱን እንደሚያግዱ ተጠቃሚዎችን ያስጠነቅቃሉ። የድር ጣቢያ ገንቢዎች በኮንሶሉ ውስጥ የአሳሽ ማስጠንቀቂያዎችን ይቀበላሉ። ለምሳሌ ፣ በ ውስጥ እንደዚህ ይመስላል Firefox: 

   
   
   ምን አደገኛ ነው።አጥቂዎች የተጠቃሚውን መረጃ ለመጥለፍ፣ ስክሪፕቶችን ለመተካት እና እሱን ወክለው ወደ ጣቢያው ጥያቄዎችን ለመላክ ደህንነቱ ያልተጠበቀ ፕሮቶኮል ይጠቀማሉ። ምንም እንኳን አንድ ጣቢያ ጎብኝ ውሂብን ባያገባም, ይህ ከእሱ አይጠብቀውም ማስገር - የማጭበርበር ዘዴዎችን በመጠቀም ሚስጥራዊ መረጃ ማግኘት. ለምሳሌ፣ ስክሪፕት በመጠቀም ተጠቃሚውን ለተጠቃሚው እንደተለመደው ወደ ሚመስለው ደህንነቱ ያልተጠበቀ ጣቢያ ማዞር ይችላሉ። በአንዳንድ አጋጣሚዎች ተንኮል አዘል ጣቢያው ከመጀመሪያው በተሻለ ሁኔታ ይታያል, እና ተጠቃሚው ራሱ ቅጹን መሙላት እና ሚስጥራዊ ውሂብን ማስገባት ይችላል. 

   የድር ገንቢ ምን ማስታወስ እንዳለበትምንም እንኳን የጣቢያው አስተዳዳሪ SSL/TLS ሰርተፍኬት ከጫኑ እና ካዋቀሩ በሰው ስህተት ምክንያት ተጋላጭነት ሊፈጠር ይችላል። ለምሳሌ ከገጾቹ በአንዱ ላይ አንጻራዊ አገናኝ ካላደረጉ ነገር ግን ፍፁም የሆነ አገናኝ ከ http ላይ ካስቀመጡ እና በተጨማሪ ከ http ወደ https ማዞሪያዎችን አላዘጋጁም. 

   አሳሽ በመጠቀም በአንድ ጣቢያ ላይ የተደባለቀ ይዘትን ማግኘት ይችላሉ፡ የገጹን ምንጭ ኮድ ይፈልጉ፣ በገንቢ ኮንሶል ውስጥ ማሳወቂያዎችን ያንብቡ። ነገር ግን፣ ገንቢው ለረጅም ጊዜ እና አሰልቺ በሆነ መልኩ ከኮዱ ጋር መጣጣም አለበት። በአውቶሜትድ የትንታኔ መሳሪያዎች ሂደቱን ማፋጠን ይችላሉ ለምሳሌ፡- SSL Check, ነጻ Lighthouse ሶፍትዌር ወይም የሚከፈልበት ሶፍትዌር ጩኸት እንቁራሪት SEO Spider.

   እንዲሁም ተጋላጭነቱ ሊፈጠር የሚችለው ከውርስ-ኮድ ጋር በተያያዙ ችግሮች ምክንያት - የተወረሰው ኮድ ነው። ለምሳሌ፣ አንዳንድ ገፆች የድሮ አብነት በመጠቀም ከተፈጠሩ፣ ይህም የጣቢያዎችን ወደ https የሚደረገውን ሽግግር ግምት ውስጥ አያስገባም።    

2. "HTTPOnly" እና "አስተማማኝ" ባንዲራ የሌላቸው ኩኪዎች።

   የ"HTTPOnly" ባህሪው ኩኪዎችን የተጠቃሚ ውሂብን ለመስረቅ በሚጠቀሙባቸው ስክሪፕቶች እንዳይሰሩ ይከላከላል። "አስተማማኝ" ባንዲራ ኩኪዎችን ግልጽ በሆነ ጽሑፍ እንዲላኩ አይፈቅድም። ግንኙነት የሚፈቀደው ደህንነቱ የተጠበቀ HTTPS ፕሮቶኮል ኩኪዎችን ለመላክ ጥቅም ላይ ከዋለ ብቻ ነው። 

   ሁለቱም ባህሪያት በኩኪ ባህሪያት ውስጥ ተገልጸዋል፡-

   Set-Cookie: Secure; HttpOnly

   ምን አደገኛ ነው።የጣቢያው ገንቢ እነዚህን ባህሪያት ካልገለፀ አጥቂ የተጠቃሚውን መረጃ ከኩኪው ውስጥ ጠልፎ ሊጠቀምበት ይችላል። ኩኪዎችን ለማረጋገጫ እና ለፈቀዳ ጥቅም ላይ የሚውሉ ከሆነ የተጠቃሚውን ክፍለ ጊዜ ለመጥለፍ እና በእሱ ምትክ በጣቢያው ላይ እርምጃዎችን ማከናወን ይችላል። 

   የድር ገንቢ ምን ማስታወስ እንዳለበትእንደ ደንቡ ፣ በታዋቂ ማዕቀፎች ውስጥ እነዚህ ባህሪዎች በራስ-ሰር ይዘጋጃሉ። ግን አሁንም የድር አገልጋይ አወቃቀሩን ያረጋግጡ እና ባንዲራውን ያዘጋጁ፡- Cookie HttpOnly; ደህንነቱ የተጠበቀ።

   በዚህ አጋጣሚ የ"HTTPOnly" ባህሪ ኩኪዎችን በራስዎ ጃቫስክሪፕት እንዳይታዩ ያደርጋል።  

3. በመንገድ ላይ የተመሰረቱ ተጋላጭነቶች።

   ስካነሩ በይፋ ሊደረስበት የሚችል ፋይል ወይም የድረ-ገጽ ማውጫን ሚስጥራዊ ሊሆን የሚችል መረጃ ካገኘ እንዲህ ያለውን ተጋላጭነት ሪፖርት ያደርጋል። ለምሳሌ፣ የነጠላ የስርዓት ውቅር ፋይሎችን ወይም የፋይል ስርዓቱን በሙሉ መዳረሻ ያገኛል። የመዳረሻ መብቶች በጣቢያው ላይ በስህተት ከተቀመጡ ይህ ሁኔታ ይቻላል.

   ምን አደገኛ ነው።: የፋይል ስርዓቱ "ከተጣበቀ" አጥቂ ወደ ስርዓተ ክወና በይነገጽ ውስጥ ሊወድቅ ይችላል እና ግልጽ በሆነ ጽሑፍ ውስጥ ከተቀመጡ የይለፍ ቃሎች ያላቸውን አቃፊዎች ለማግኘት ይሞክራል (ይህን አታድርጉ!). ወይም የይለፍ ቃል ሃሽ መስረቅ እና የይለፍ ቃሉን በጉልበት ማስገደድ እና እንዲሁም በሲስተሙ ውስጥ ልዩ መብቶችን ከፍ ለማድረግ እና ወደ መሠረተ ልማት ውስጥ ለመግባት ይሞክሩ።  

   የድር ገንቢ ምን ማስታወስ እንዳለበትየመዳረሻ መብቶችን አይርሱ እና የመሣሪያ ስርዓቱን ፣ የድር አገልጋይን ፣ የድር መተግበሪያን ከድር ማውጫው “ማምለጥ” የማይቻል እንዲሆን ያዋቅሩ።

4. ራስ-ሙላ ከነቃ ጋር ሚስጥራዊነት ያለው ውሂብ ለማስገባት ቅጾች።

   አንድ ተጠቃሚ ብዙ ጊዜ ቅጾችን በድረ-ገጾች ላይ ከሞላቸው አሳሽቸው ይህንን መረጃ በራስ ሙላ ባህሪ በመጠቀም ያከማቻል። 

   በድረ-ገጾች ላይ ያሉ ቅጾች እንደ የይለፍ ቃሎች ወይም የክሬዲት ካርድ ቁጥሮች ያሉ ሚስጥራዊነት ያለው መረጃ ያላቸው መስኮችን ሊያካትቱ ይችላሉ። ለእንደዚህ አይነት መስኮች የቅጹን ራስ-ሙላ ተግባር በጣቢያው ላይ ማሰናከል ጠቃሚ ነው. 

   ምን አደገኛ ነው።የተጠቃሚው አሳሽ ሚስጥራዊነት ያለው መረጃ የሚያከማች ከሆነ አጥቂ በኋላ ላይ ለምሳሌ በማስገር ሊጠለፍ ይችላል። በመሰረቱ፣ ይህንን ችግር የረሳ የድር ገንቢ ተጠቃሚዎቹን እያዘጋጀ ነው። 

   የድር ገንቢ ምን ማስታወስ እንዳለበትበዚህ ጉዳይ ላይ, እኛ አንድ ክላሲክ ግጭት አለን: ምቾት vs ደህንነት. አንድ የድር ገንቢ ስለተጠቃሚው ልምድ እያሰበ ከሆነ፣ አውቆ ራስ-አጠናቅቅን መምረጥ ይችላል። ለምሳሌ, መከተል አስፈላጊ ከሆነ የድር ይዘት ተደራሽነት መመሪያዎች - ለአካል ጉዳተኞች የይዘት ተደራሽነት ምክሮች። 

   ለአብዛኛዎቹ አሳሾች ራስ-አጠናቅቅን በ autocompete="ጠፍቷል" ባህሪ ማሰናከል ይችላሉ፣ ለምሳሌ፡-

    <body>
       <form action="/am/form/submit" method="get" autocomplete="off">
         <div>
           <input type="text" placeholder="First Name">
         </div>
         <div>
           <input type="text" id="lname" placeholder="Last Name" autocomplete="on">
         </div>
         <div>
           <input type="number" placeholder="Credit card number">
         </div>
         <input type="submit">
       </form>
     </body>

   ግን ለ Chrome አይሰራም። ይህ ጃቫ ስክሪፕት በመጠቀም የተዘበራረቀ ነው ፣ የምግብ አዘገጃጀቱ ልዩነት ሊገኝ ይችላል። እዚህ. 

5. የ X-Frame-Options ራስጌ በጣቢያው ኮድ ውስጥ አልተዘጋጀም. 

   ይህ ራስጌ ፍሬምን፣ iframeን፣ መክተትን ወይም የነገር መለያዎችን ይነካል። በእሱ እርዳታ ጣቢያዎን በፍሬም ውስጥ መክተትን ሙሉ በሙሉ መከልከል ይችላሉ። ይህንን ለማድረግ, ዋጋውን መግለጽ ያስፈልግዎታል X-Frame-Options: ውድቅ. ወይም X-Frame-Options የሚለውን መግለጽ ይችላሉ፡ sameorigin፣ ከዚያ iframe ውስጥ መክተት በእርስዎ ጎራ ላይ ብቻ ይገኛል።

   ምን አደገኛ ነው።እንደዚህ ያለ ራስጌ አለመኖር በተንኮል አዘል ጣቢያዎች ላይ ጥቅም ላይ ሊውል ይችላል ጠቅ ማድረጊያ. ለዚህ ጥቃት አጥቂው በአዝራሮቹ ላይ ግልጽ የሆነ ፍሬም ይፈጥራል እና ተጠቃሚውን ያታልላል። ለምሳሌ፡ አጭበርባሪዎች የማህበራዊ ትስስር ገፆችን በድር ጣቢያ ላይ ያዘጋጃሉ። ተጠቃሚው በዚህ ጣቢያ ላይ አንድ አዝራር ጠቅ እያደረገ እንደሆነ ያስባል. በምትኩ, ጠቅታው ይቋረጣል እና የተጠቃሚው ጥያቄ ንቁ ክፍለ ጊዜ ወዳለበት ወደ ማህበራዊ አውታረ መረብ ይላካል. በዚህ መንገድ ነው አጥቂዎች ተጠቃሚውን ወክለው አይፈለጌ መልእክት የሚልኩት ወይም ተመዝጋቢዎችን እና መውደዶችን ያገኛሉ። 

   ይህን ባህሪ ካላሰናከሉት አጥቂ የመተግበሪያዎን ቁልፍ በተንኮል አዘል ጣቢያ ላይ ማድረግ ይችላል። እሱ ስለ እርስዎ ሪፈራል ፕሮግራም ወይም ለተጠቃሚዎችዎ ፍላጎት ሊኖረው ይችላል።  

   የድር ገንቢ ምን ማስታወስ እንዳለበትየተጋላጭነት እሴት ያላቸው X-Frame-Options በድር አገልጋይ ወይም በሎድ ሚዛን ላይ ከተቀናበሩ ተጋላጭነቱ ሊከሰት ይችላል። በዚህ አጋጣሚ አገልጋዩ እና ሚዛኑ ከጀርባ ኮድ ጋር ሲነፃፀሩ ከፍተኛ ቅድሚያ ስላላቸው በቀላሉ አርዕሱን እንደገና ይጽፋሉ።  

   የ X-Frame-Options ራስጌ ውድቅ እና ተመሳሳይ አመጣጥ በ Yandex ድር መመልከቻ ሥራ ላይ ጣልቃ ይገባል ። ለድር ተመልካቹ iframes መጠቀምን ለመፍቀድ በቅንብሮች ውስጥ የተለየ ህግ መፃፍ ያስፈልግዎታል። ለምሳሌ, ለ nginx እንደዚህ ማዋቀር ይችላሉ:

   http{
   ...
    map $http_referer $frame_options {
    "~webvisor.com" "ALLOW-FROM http://webvisor.com";
    default "SAMEORIGIN";
    }
    add_header X-Frame-Options $frame_options;
   ...
   }
   
   

6. PRSSI (ዱካ-አንጻራዊ የቅጥ ሉህ ማስመጣት) ተጋላጭነቶች።  

   ይህ በጣቢያው የቅጥ አሰራር ውስጥ ተጋላጭነት ነው። እንደ href="/am/somefolder/styles.css/" ያሉ አንጻራዊ አገናኞች የቅጥ ፋይሎችን ለመድረስ ጥቅም ላይ ከዋሉ ይከሰታል። አጥቂ ተጠቃሚውን ወደ ተንኮል-አዘል ገጽ የሚያዞርበትን መንገድ ካገኘ ይህንን ይጠቀማል። ገጹ አንጻራዊ ማገናኛን ወደ ዩአርኤል ያስገባ እና የቅጥ ጥሪን ያስመስላል። እንደ badsite.ru/…/somefolder/styles.css/ ያለ ጥያቄ ይደርስዎታል፣ ይህም በቅጥ ሽፋን ተንኮል አዘል ድርጊቶችን ሊፈጽም ይችላል። 

   ምን አደገኛ ነው።አጭበርባሪ ሌላ የደህንነት ቀዳዳ ካገኘ ይህን ተጋላጭነት ሊጠቀምበት ይችላል። በዚህ ምክንያት የተጠቃሚ ውሂብን ከኩኪዎች ወይም ቶከኖች መስረቅ ይቻላል.

   የድር ገንቢ ምን ማስታወስ እንዳለበትየ X-Content-Type-Options ርዕስን ወደ፡ nosniff ያዘጋጁ። በዚህ አጋጣሚ አሳሹ የይዘቱን አይነት ለቅጦቹ ይፈትሻል። አይነቱ ከጽሁፍ/css ሌላ ከሆነ አሳሹ ጥያቄውን ያግዳል።

ወሳኝ ድክመቶች

1. የይለፍ ቃል መስኩ ያለው ገጽ ደህንነቱ ባልተጠበቀ ቻናል ከአገልጋዩ ይተላለፋል (የይለፍ ቃል መስክ(ዎች) የያዘ የኤችቲኤምኤል ቅጽ በኤችቲቲፒ በኩል ይቀርባል)።

   ባልተመሰጠረ ቻናል ከአገልጋዩ የሚሰጠው ምላሽ ለ"ሰው በመሃል" ለሚሰነዘር ጥቃት የተጋለጠ ነው። ገፁ ከአገልጋዩ ወደ ደንበኛው በሚሄድበት ጊዜ አጥቂ ትራፊክን በመጥለፍ በደንበኛው እና በአገልጋዩ መካከል እራሱን ማገናኘት ይችላል። 

   ምን አደገኛ ነው።: አጭበርባሪው ገጹን በመተካት ለተጠቃሚው ሚስጥራዊ መረጃ ቅጽ መላክ ይችላል, ይህም ወደ አጥቂው አገልጋይ ይሄዳል. 

   የድር ገንቢ ምን ማስታወስ እንዳለበትአንዳንድ ድረ-ገጾች ለተጠቃሚዎች አንድ ጊዜ ኮድ በይለፍ ቃል ፈንታ በኢሜል/በስልክ ይልካሉ። በዚህ ሁኔታ, ተጋላጭነቱ በጣም ወሳኝ አይደለም, ነገር ግን ስልቱ የተጠቃሚዎችን ህይወት ያወሳስበዋል.

2. ደህንነቱ ባልተጠበቀ ቻናል መግቢያ እና የይለፍ ቃል ያለው ቅጽ መላክ (የመግባት ቅጽ በ HTTPS በኩል አልገባም)።

   በዚህ አጋጣሚ መግቢያ እና የይለፍ ቃል ያለው ቅጽ ከተጠቃሚው ወደ አገልጋዩ ባልተመሰጠረ ቻናል ይላካል።

   ምን አደገኛ ነው።: ካለፈው ጉዳይ በተለየ ይህ አስቀድሞ ወሳኝ ተጋላጭነት ነው። ሚስጥራዊነት ያለው መረጃ ለመጥለፍ ቀላል ነው ምክንያቱም እሱን ለመስራት ኮድ መጻፍ እንኳን አያስፈልግዎትም። 

3. ከሚታወቁ ተጋላጭነቶች ጋር የጃቫ ስክሪፕት ቤተ-መጻሕፍትን መጠቀም።

   በፍተሻው ጊዜ፣ በብዛት ጥቅም ላይ የዋለው ቤተ-መጽሐፍት jQuery ከብዙ ስሪቶች ጋር ነበር። እያንዳንዱ ስሪት ቢያንስ አንድ ወይም ከዚያ በላይ የሚታወቁ ድክመቶች አሉት። እንደ የተጋላጭነት ባህሪ ላይ በመመርኮዝ ተፅዕኖው በጣም የተለየ ሊሆን ይችላል.

   ምን አደገኛ ነው።ለታወቁ ተጋላጭነቶች ብዝበዛዎች አሉ፣ ለምሳሌ፡-

   
   
   የድር ገንቢ ምን ማስታወስ እንዳለበትበመደበኛነት ወደ ዑደቱ ይመለሱ: የታወቁ ድክመቶችን ይፈልጉ - ያስተካክሉ - ያረጋግጡ. የቆዩ ቤተ-መጻሕፍት ሆን ብለው የሚጠቀሙ ከሆነ፣ ለምሳሌ የቆዩ አሳሾችን ለመደገፍ ወይም ገንዘብ ለመቆጠብ፣ የታወቀ ተጋላጭነትን ለማስተካከል እድል ይፈልጉ። 

4. የጣቢያ አቋራጭ ስክሪፕት (XSS)። 
   የሳይት አቋራጭ ስክሪፕት (XSS) ወይም የሳይት አቋራጭ ስክሪፕት በድር መተግበሪያ ላይ የሚደርስ ጥቃት ማልዌር ወደ ዳታቤዝ እንዲገባ የሚያደርግ ነው። Qualys እንደዚህ አይነት ተጋላጭነት ካገኘ ይህ ማለት አንድ አጥቂ ተንኮል አዘል ድርጊቶችን ለመፈጸም የራሱን js ስክሪፕት ወደ ጣቢያው ኮድ አስተዋውቋል ማለት ነው።

   የተከማቸ XSS የበለጠ አደገኛ ፣ ምክንያቱም ስክሪፕቱ በአገልጋዩ ላይ የተካተተ እና የተጠቃው ገጽ በአሳሹ ውስጥ በተከፈተ ቁጥር የሚሰራ ነው።

   የተንጸባረቀ XSS ተንኮል አዘል ስክሪፕት በኤችቲቲፒ ጥያቄ ውስጥ ሊገባ ስለሚችል ለማከናወን ቀላል ነው። አፕሊኬሽኑ የኤችቲቲፒ ጥያቄ ይቀበላል፣ ውሂቡን አያፀድቅም፣ ያሽጎታል እና ወዲያውኑ ይልካል። አንድ አጥቂ ትራፊክን ካቋረጠ እና እንደ ስክሪፕት ከገባ

   <script>/*+что+то+плохое+*/</script> 

   ከዚያም በደንበኛው ስም ተንኮል አዘል ጥያቄ ይላካል.

   አስደናቂ የXSS ምሳሌ፡ Js sniffers ወደ CVC ለመግባት ገጾችን፣ የካርድ ማብቂያ ቀን እና የመሳሰሉትን ያስመስላሉ። 

   የድር ገንቢ ምን ማስታወስ እንዳለበትበContent-Security-Policy ራስጌ ውስጥ ደንበኛው አሳሽ ከታመነ ምንጭ ኮድ እንዲያወርድ እና እንዲሰራ ለማስገደድ የስክሪፕት-src አይነታውን ይጠቀሙ። ለምሳሌ፣ script-src 'self' ሁሉንም ስክሪፕቶች ከጣቢያችን ላይ ብቻ ያስቀምጣል። 
   በጣም ጥሩው ልምምድ የመስመር ውስጥ ኮድ ነው፡ ደህንነቱ ያልተጠበቀ የውስጠ-መስመር እሴትን በመጠቀም የውስጠ-መስመር ጃቫስክሪፕት ብቻ ፍቀድ። ይህ ዋጋ የውስጠ-መስመር js/css መጠቀምን ይፈቅዳል፣ነገር ግን js ፋይሎችን ማካተት አይከለክልም። ከስክሪፕት-src 'self' ጋር በማጣመር ውጫዊ ስክሪፕቶችን እንዳይፈጸሙ እናሰናክላለን።

   Report-uriን በመጠቀም ሁሉንም ነገር መመዝገብዎን ያረጋግጡ እና ወደ ጣቢያው ለመተግበር ሙከራዎችን ይመልከቱ።

5. የ SQL መርፌዎች.
   ተጋላጭነቱ የ SQL ኮድ በቀጥታ የድረ-ገጹን ዳታቤዝ ወደ ሚገባ ድህረ ገጽ የማስገባት እድልን ያሳያል። ከተጠቃሚው የተገኘው መረጃ ካልተጣራ የ SQL መርፌ ይቻላል: ለትክክለኛነቱ አልተረጋገጠም እና ወዲያውኑ በጥያቄው ውስጥ ጥቅም ላይ ይውላል. ለምሳሌ፣ ይህ የሚሆነው በድር ጣቢያ ላይ ያለ ቅጽ ግብአቱ ከውሂቡ አይነት ጋር የሚዛመድ መሆኑን ካላጣራ ነው። 

   ምን አደገኛ ነው።አንድ አጥቂ የ SQL ጥያቄን በዚህ ቅጽ ውስጥ ከገባ ዳታቤዙን ሊያበላሽ ወይም ሚስጥራዊ መረጃን ሊያጋልጥ ይችላል። 

   የድር ገንቢ ምን ማስታወስ እንዳለበትከአሳሹ የሚመጣውን አትመኑ። ከደንበኛው እና ከአገልጋዩ ጎን እራስዎን መጠበቅ አለብዎት። 

   በደንበኛው በኩል ጃቫ ስክሪፕትን በመጠቀም የመስክ ማረጋገጫን ይፃፉ። 

   በታዋቂ ማዕቀፎች ውስጥ አብሮ የተሰሩ ተግባራት በአገልጋዩ ላይ አጠራጣሪ ገጸ-ባህሪያትን ለማምለጥ ይረዳሉ። እንዲሁም በአገልጋዩ ላይ የፓራሜትሪ ዳታቤዝ መጠይቆችን ለመጠቀም ይመከራል።

   በትክክል ከመረጃ ቋቱ ጋር ያለው መስተጋብር በድር መተግበሪያ ላይ የት እንደሚካሄድ ይወስኑ። 

   መስተጋብር የሚከሰተው ማንኛውንም መረጃ ስንቀበል ነው፡ ከመታወቂያ ጋር የቀረበ ጥያቄ (የመታወቂያ ለውጥ)፣ አዲስ ተጠቃሚ መፍጠር፣ አዲስ አስተያየት ወይም በመረጃ ቋቱ ውስጥ አዲስ ግቤቶች። ይህ የ SQL መርፌዎች ሊከሰቱ ይችላሉ. ምንም እንኳን ከመረጃ ቋቱ ውስጥ መዝገብ ብንሰርዝ ፣ SQL መርፌ ማድረግ ይቻላል ።

አጠቃላይ ምክሮች

መንኮራኩሩን እንደገና አያድርጉ - የተረጋገጡ ማዕቀፎችን ይጠቀሙ. እንደ አንድ ደንብ, ታዋቂ ማዕቀፎች የበለጠ አስተማማኝ ናቸው. ለ NET - ASP.NET MVC እና ASP.NET Core ፣ ለ Python - Django ወይም Flask ፣ ለ Ruby - Ruby on Rails ፣ ለ PHP - Symfony ፣ Laravel ፣ Yii ፣ ለJavaScript - Node.JS-Express.js ፣ ለጃቫ - ጸደይ MVC.

የአቅራቢ ዝመናዎችን ይከተሉ እና በመደበኛነት ያዘምኑ. ተጋላጭነትን ያገኛሉ፣ ከዚያ ብዝበዛ ይፃፉ፣ በይፋ የሚገኝ ያደርጉታል፣ እና ሁሉም ነገር እንደገና ይሆናል። ከሶፍትዌር አቅራቢው ለተረጋጋ ስሪቶች ዝማኔዎች ይመዝገቡ።

የመዳረሻ መብቶችን ያረጋግጡ. በአገልጋዩ በኩል ፣ ኮድዎን ሁል ጊዜ ከመጀመሪያው እስከ መጨረሻው ደብዳቤ ፣ በጣም በተጠላው ጠላትዎ የተጻፈ ፣ ጣቢያዎን ለመስበር የሚፈልግ ፣ የውሂብዎን ትክክለኛነት የሚጥስ አድርገው ይያዙት። ከዚህም በላይ አንዳንድ ጊዜ ይህ እውነት ነው.

ክሎኖችን፣የሙከራ ጣቢያዎችን ተጠቀም እና ከዚያ ለማምረት ተጠቀምባቸው. ይህ በመጀመሪያ, በምርታማ አካባቢ ውስጥ ስህተቶችን እና ስህተቶችን ለማስወገድ ይረዳል: ምርታማ አካባቢ ገንዘብን ያመጣል, ቀላል ምርታማ አካባቢ ወሳኝ ነው. ማንኛውንም ችግር ሲጨምሩ ፣ ሲያስተካክሉ ወይም ሲዘጉ ፣ በሙከራ አካባቢ ውስጥ መሥራት ፣ ከዚያ የተገኙትን ተግባራት እና ተጋላጭነቶች መፈተሽ እና ከምርት አካባቢ ጋር ለመስራት ማቀድ ተገቢ ነው ። 

የድር መተግበሪያዎን በ ጋር ይጠብቁ የድር መተግበሪያ ፋየርዎል እና ከተጋላጭነት ስካነር ሪፖርቶችን ከእሱ ጋር ያዋህዱ. ለምሳሌ፣ DataLine Qualys እና FortiWebን እንደ የአገልግሎት ጥቅል ይጠቀማል።

ምንጭ: hab.com