ពួកគេបានទៅឆ្ងាយដើម្បីពិភាក្សាអំពីលទ្ធភាពនៃការឱ្យអ្នកបើកបរ UPS ប្រឈមមុខនឹងជនសង្ស័យ។ ឥឡូវយើងពិនិត្យមើលថាតើអ្វីដែលបានដកស្រង់នៅលើស្លាយនេះគឺស្របច្បាប់?
នេះជាអ្វីដែល FTC និយាយនៅពេលត្រូវបានសួរថា "តើខ្ញុំគួរត្រលប់មកវិញ ឬបង់ប្រាក់សម្រាប់ទំនិញដែលខ្ញុំមិនដែលបានបញ្ជាទិញ?" - "ទេ ប្រសិនបើអ្នកទទួលបានទំនិញដែលអ្នកមិនបានបញ្ជាទិញ អ្នកមានសិទ្ធិស្របច្បាប់ក្នុងការទទួលយកវាជាអំណោយឥតគិតថ្លៃ។ តើនេះស្តាប់ទៅតាមក្រមសីលធម៌ទេ? ខ្ញុំលាងដៃរឿងនេះព្រោះខ្ញុំមិនឆ្លាតគ្រប់គ្រាន់ដើម្បីពិភាក្សាបញ្ហាបែបនេះ។
ប៉ុន្តែអ្វីដែលគួរឲ្យចាប់អារម្មណ៍នោះគឺយើងឃើញនិន្នាការមួយដែលយើងប្រើបច្ចេកវិទ្យាតិច ប្រាក់ក៏កាន់តែច្រើន។
ការក្លែងបន្លំតាមអ៊ីនធឺណិតដែលពាក់ព័ន្ធ
លោក Jeremy Grossman៖ វាពិតជាពិបាកយល់ណាស់ ប៉ុន្តែអ្នកអាចរកលុយបានចំនួនប្រាំមួយតាមវិធីនេះ។ ដូច្នេះ រឿងទាំងអស់ដែលអ្នកបានឮមានតំណភ្ជាប់ពិតប្រាកដ ហើយអ្នកអាចអានអំពីវាទាំងអស់ដោយលម្អិត។ ប្រភេទមួយក្នុងចំណោមប្រភេទដែលគួរឱ្យចាប់អារម្មណ៍បំផុតនៃការក្លែងបន្លំតាមអ៊ីនធឺណិតគឺការក្លែងបន្លំដែលពាក់ព័ន្ធ។ ហាងអនឡាញ និងអ្នកផ្សាយពាណិជ្ជកម្មប្រើប្រាស់បណ្តាញសម្ព័ន្ធដើម្បីទាក់ទាញចរាចរណ៍ និងអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័ររបស់ពួកគេជាថ្នូរនឹងចំណែកនៃប្រាក់ចំណេញដែលទទួលបានពីនេះ។
ខ្ញុំនឹងនិយាយអំពីអ្វីមួយដែលមនុស្សជាច្រើនបានស្គាល់អស់ជាច្រើនឆ្នាំមកនេះ ប៉ុន្តែខ្ញុំមិនអាចស្វែងរកឯកសារយោងសាធារណៈតែមួយដែលបង្ហាញពីការបាត់បង់ប្រភេទនៃការបោកប្រាស់នេះបានទេ។ តាមខ្ញុំដឹងអត់មានការប្ដឹងតវ៉ា គ្មានការស៊ើបអង្កេតព្រហ្មទណ្ឌ។ ខ្ញុំបាននិយាយជាមួយសហគ្រិនផ្នែកផលិត ខ្ញុំបានពិភាក្សាជាមួយបុរសបណ្តាញដែលពាក់ព័ន្ធ ខ្ញុំបានពិភាក្សាជាមួយ Black Cats - ពួកគេទាំងអស់គ្នាជឿថាអ្នកបោកប្រាស់បានរកលុយបានយ៉ាងច្រើនពីសាខា។
សូមទទួលយកពាក្យរបស់ខ្ញុំសម្រាប់វា ហើយពិនិត្យមើលកិច្ចការផ្ទះដែលខ្ញុំបានធ្វើលើបញ្ហាជាក់លាក់ទាំងនេះ។ អ្នកក្លែងបន្លំប្រើវាដើម្បីបង្កើត 5-6 ខ្ទង់ ហើយជួនកាលបូកប្រាំពីរខ្ទង់ប្រចាំខែ ដោយប្រើបច្ចេកទេសពិសេស។ មានមនុស្សនៅក្នុងបន្ទប់នេះដែលអាចពិនិត្យមើលនេះ ប្រសិនបើពួកគេមិនត្រូវបានចងដោយកិច្ចព្រមព្រៀងសម្ងាត់។ ដូច្នេះខ្ញុំនឹងបង្ហាញអ្នកពីរបៀបដែលវាដំណើរការ។ មានអ្នកលេងជាច្រើនដែលចូលរួមក្នុងគ្រោងការណ៍នេះ។ អ្នកនឹងឃើញអ្វីដែល "ហ្គេម" ដែលជាសាខាជំនាន់ក្រោយនិយាយអំពី។
ហ្គេមនេះពាក់ព័ន្ធនឹងពាណិជ្ជករដែលមានគេហទំព័រ ឬផលិតផល ហើយបង់កម្រៃជើងសារសម្រាប់សាខាសម្រាប់ការចុចរបស់អ្នកប្រើប្រាស់ គណនីដែលបានបង្កើត ការទិញដែលបានធ្វើឡើងជាដើម។ អ្នកបង់ប្រាក់ឱ្យសាខាសម្រាប់ការពិតដែលថានរណាម្នាក់ចូលមើលគេហទំព័ររបស់គាត់ ចុចលើតំណ ចូលទៅកាន់គេហទំព័ររបស់អ្នកលក់ និងទិញអ្វីមួយនៅទីនោះ។
អ្នកលេងបន្ទាប់គឺជាសាខាដែលទទួលប្រាក់ក្នុងទម្រង់នៃតម្លៃក្នុងមួយចុច (CPC) ឬក្នុងទម្រង់ជាកម្រៃជើងសារ (CPA) សម្រាប់បញ្ជូនអ្នកទិញទៅកាន់គេហទំព័ររបស់អ្នកលក់វិញ។
គណៈកម្មការបញ្ជាក់ថា ជាលទ្ធផលនៃសកម្មភាពរបស់ដៃគូ អតិថិជនបានធ្វើការទិញនៅលើគេហទំព័ររបស់អ្នកលក់។
អ្នកទិញគឺជាអ្នកដែលធ្វើការទិញ ឬជាវភាគហ៊ុនរបស់អ្នកលក់។
បណ្តាញសម្ព័ន្ធផ្តល់នូវបច្ចេកវិទ្យាដែលភ្ជាប់ និងតាមដានសកម្មភាពរបស់អ្នកលក់ ដៃគូ និងអ្នកទិញ។ ពួកគេ "ស្អិត" អ្នកលេងទាំងអស់រួមគ្នា ហើយធានាឱ្យមានអន្តរកម្មរបស់ពួកគេ។
វាអាចនឹងចំណាយពេលអ្នកពីរបីថ្ងៃ ឬពីរបីសប្តាហ៍ដើម្បីរកមើលថាតើវាដំណើរការយ៉ាងណា ប៉ុន្តែវាមិនមានបច្ចេកវិជ្ជាស្មុគស្មាញពាក់ព័ន្ធទេ។ បណ្តាញសម្ព័ន្ធ និងកម្មវិធីសម្ព័ន្ធគ្របដណ្តប់គ្រប់ប្រភេទពាណិជ្ជកម្ម និងទីផ្សារទាំងអស់។ Google, eBay, Amazon មានពួកគេ ផលប្រយោជន៍របស់ពួកគេជាភ្នាក់ងារគណៈកម្មការប្រសព្វគ្នា ពួកគេនៅគ្រប់ទីកន្លែង ហើយមិនខ្វះប្រាក់ចំណូល។ ខ្ញុំប្រាកដថាអ្នកដឹងថាសូម្បីតែចរាចរណ៍ពីប្លក់របស់អ្នកក៏អាចរកប្រាក់ចំណេញបានរាប់រយដុល្លារជារៀងរាល់ខែ ដូច្នេះគ្រោងការណ៍នេះនឹងងាយស្រួលសម្រាប់អ្នកក្នុងការយល់។
នេះជារបៀបដែលប្រព័ន្ធដំណើរការ។ អ្នកភ្ជាប់គេហទំព័រតូចមួយ ឬផ្ទាំងព្រឹត្តិបត្រអេឡិចត្រូនិច វាមិនមានបញ្ហាទេ អ្នកចុះហត្ថលេខាលើកម្មវិធីសម្ព័ន្ធ ហើយទទួលបានតំណពិសេសដែលអ្នកដាក់នៅលើទំព័រអ៊ីនធឺណិតរបស់អ្នក។ វាមើលទៅដូចនេះ៖
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>វាបង្ហាញពីកម្មវិធីសម្ព័ន្ធជាក់លាក់ លេខសម្គាល់សាខារបស់អ្នក ក្នុងករណីនេះវាគឺ 100 និងឈ្មោះផលិតផលដែលកំពុងលក់។ ហើយប្រសិនបើនរណាម្នាក់ចុចលើតំណនេះ កម្មវិធីរុករកបញ្ជូនគាត់ទៅបណ្តាញសម្ព័ន្ធ ដំឡើងខូគីតាមដានពិសេសដែលភ្ជាប់គាត់ទៅលេខសម្គាល់សម្ព័ន្ធ = 100 ។
Set-Cookie: AffiliateID=100ហើយបញ្ជូនបន្តទៅកាន់ទំព័ររបស់អ្នកលក់។ ប្រសិនបើអ្នកទិញនៅពេលក្រោយបានទិញផលិតផលមួយចំនួនក្នុងរយៈពេល X ដែលអាចជាមួយថ្ងៃ មួយម៉ោង បីសប្តាហ៍ ដែលយល់ព្រមតាមពេលវេលា ហើយក្នុងអំឡុងពេលនេះខូគីបន្តមាន នោះសាខានឹងទទួលបានកម្រៃជើងសាររបស់គាត់។
នេះជារបៀបដែលក្រុមហ៊ុនសម្ព័ន្ធរកប្រាក់រាប់ពាន់លានដុល្លារដោយប្រើយុទ្ធសាស្ត្រ SEO ដ៏មានប្រសិទ្ធភាព។ ខ្ញុំសូមផ្តល់ឧទាហរណ៍មួយដល់អ្នក។ ស្លាយបន្ទាប់បង្ហាញបង្កាន់ដៃ ឥឡូវខ្ញុំនឹងពង្រីកវា ដើម្បីបង្ហាញអ្នកពីចំនួនទឹកប្រាក់។ នេះជាមូលប្បទានប័ត្រពី Google ក្នុងតម្លៃ $132។ ឈ្មោះចុងក្រោយរបស់សុភាពបុរសនេះគឺ Schumann ហើយគាត់ជាម្ចាស់បណ្តាញនៃគេហទំព័រផ្សាយពាណិជ្ជកម្ម។ នេះមិនមែនជាលុយទាំងអស់នោះទេ Google បង់លុយបែបនេះម្តងក្នុងមួយខែ ឬម្តងរៀងរាល់ 2 ខែម្តង។
ការត្រួតពិនិត្យមួយទៀតពី Google ខ្ញុំនឹងពង្រីកវា ហើយអ្នកនឹងឃើញវាមានតម្លៃ $901។
តើខ្ញុំគួរសួរនរណាម្នាក់អំពីក្រមសីលធម៌នៃការរកលុយបែបនេះទេ? ភាពស្ងៀមស្ងាត់ក្នុងសាល... មូលប្បទានប័ត្រនេះតំណាងឱ្យការបង់ប្រាក់រយៈពេល 2 ខែ ពីព្រោះមូលប្បទានប័ត្រពីមុនត្រូវបានបដិសេធដោយធនាគាររបស់អ្នកទទួល ដោយសារចំនួនទឹកប្រាក់ទូទាត់ធំពេក។
អ៊ីចឹងហើយបានជាយើងឃើញថាលុយប្រភេទនេះអាចធ្វើបាន ហើយលុយនេះត្រូវបានគេចាយអស់។ តើអ្នកអាចយកឈ្នះគ្រោងការណ៍នេះដោយរបៀបណា? យើងអាចប្រើបច្ចេកទេសហៅថា Cookie-Stuffing។ នេះគឺជាគំនិតសាមញ្ញបំផុតដែលបានបង្ហាញខ្លួនក្នុងឆ្នាំ 2001-2002 ហើយស្លាយនេះបង្ហាញពីរបៀបដែលវាមើលទៅក្នុងឆ្នាំ 2002។ ខ្ញុំនឹងប្រាប់អ្នកពីរឿងរ៉ាវនៃរូបរាងរបស់វា។
គ្មានអ្វីខ្លីនៃលក្ខខណ្ឌនៃសេវាកម្មបណ្តាញសម្ព័ន្ធដែលគួរឱ្យខ្លាចនោះទេ តម្រូវឱ្យអ្នកប្រើប្រាស់ពិតជាចុចតំណដើម្បីឱ្យកម្មវិធីរុករករបស់ពួកគេអាចទាញយកខូគី ID សម្ព័ន្ធ។
អ្នកអាចផ្ទុក URL ដែលត្រូវបានចុចជាធម្មតាទៅក្នុងប្រភពរូបភាព ឬស្លាក iframe ដោយស្វ័យប្រវត្តិ។ ក្នុងករណីនេះជំនួសឱ្យតំណភ្ជាប់៖
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>អ្នកទាញយកវា៖
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>ឬថា:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>ហើយនៅពេលដែលអ្នកប្រើចូលទំព័ររបស់អ្នក គាត់នឹងយកខូគីដែលពាក់ព័ន្ធដោយស្វ័យប្រវត្តិ។ ក្នុងពេលជាមួយគ្នានេះ មិនថាគាត់ទិញអ្វីមួយនៅពេលអនាគតទេ អ្នកនឹងទទួលបានកំរៃជើងសាររបស់អ្នក មិនថាអ្នកប្តូរទិសដៅចរាចរណ៍ឬអត់នោះទេ - វាមិនសំខាន់ទេ។
ក្នុងរយៈពេលប៉ុន្មានឆ្នាំកន្លងមកនេះ វាបានក្លាយទៅជាល្បែងកម្សាន្តមួយសម្រាប់បុរស SEO ដែលបង្ហោះសម្ភារៈស្រដៀងគ្នានៅលើផ្ទាំងសារ និងអភិវឌ្ឍគ្រប់សេណារីយ៉ូសម្រាប់កន្លែងផ្សេងទៀតដើម្បីដាក់តំណភ្ជាប់របស់ពួកគេ។ ដៃគូដែលឈ្លានពានបានដឹងថាពួកគេអាចដាក់កូដរបស់ពួកគេគ្រប់ទីកន្លែងនៅលើអ៊ីនធឺណិត មិនត្រឹមតែនៅលើគេហទំព័ររបស់ពួកគេប៉ុណ្ណោះទេ។
នៅលើស្លាយនេះ អ្នកអាចមើលឃើញថាពួកគេមានកម្មវិធី Cookie-Stuffing ផ្ទាល់ខ្លួនរបស់ពួកគេ ដែលជួយអ្នកប្រើប្រាស់បង្កើត "ខូគីដែលដាក់" ផ្ទាល់ខ្លួនរបស់ពួកគេ។ ហើយវាមិនមែនគ្រាន់តែជាខូគីមួយនោះទេ អ្នកអាចផ្ទុកឡើង 20-30 លេខសម្គាល់សាខាក្នុងពេលតែមួយ ហើយភ្លាមៗនៅពេលដែលនរណាម្នាក់ទិញអ្វីមួយ អ្នកនឹងទទួលបានប្រាក់សម្រាប់វា។
បុរសទាំងនេះភ្លាមៗបានដឹងថា ពួកគេមិនចាំបាច់ដាក់កូដនេះនៅលើទំព័ររបស់ពួកគេទេ។ ពួកគេបានបោះបង់ចោលការសរសេរស្គ្រីបឆ្លងគេហទំព័រ ហើយគ្រាន់តែចាប់ផ្តើមបង្ហោះព័ត៌មានតូចៗរបស់ពួកគេជាមួយនឹងកូដ HTML នៅលើផ្ទាំងសារ សៀវភៅភ្ញៀវ និងបណ្តាញសង្គម។
ប្រហែលឆ្នាំ 2005 ពាណិជ្ជករ និងបណ្តាញសម្ព័ន្ធបានស្វែងយល់ពីអ្វីដែលកំពុងកើតឡើង ចាប់ផ្តើមតាមដានអ្នកណែនាំ និងអត្រាចុចតាមរយៈ ហើយចាប់ផ្តើមបណ្តេញសាខាដែលគួរឱ្យសង្ស័យ។ ជាឧទាហរណ៍ ពួកគេបានកត់សម្គាល់ឃើញថាអ្នកប្រើប្រាស់បានចុចលើគេហទំព័រ MySpace ប៉ុន្តែគេហទំព័រនោះជាកម្មសិទ្ធិរបស់បណ្តាញសាខាខុសគ្នាទាំងស្រុងជាងគេហទំព័រដែលទទួលបានអត្ថប្រយោជន៍ស្របច្បាប់។
បុរសទាំងនេះមានប្រាជ្ញាជាងមុនបន្តិច ហើយនៅឆ្នាំ 2007 ប្រភេទថ្មីនៃ Cookie-Stuffing បានលេចចេញមក។ ដៃគូបានចាប់ផ្តើមដាក់លេខកូដរបស់ពួកគេនៅលើទំព័រ SSL ។ យោងតាម Hypertext Transfer Protocol RFC 2616 អតិថិជនមិនគួររួមបញ្ចូលវាលបឋមកថា Referer នៅក្នុងសំណើ HTTP ដែលមិនមានសុវត្ថិភាព ប្រសិនបើទំព័រយោងត្រូវបានផ្លាស់ប្តូរពីពិធីការដែលមានសុវត្ថិភាព។ នេះគឺដោយសារតែអ្នកមិនចង់ឱ្យព័ត៌មាននេះលេចធ្លាយពីដែនរបស់អ្នក។
ពីនេះវាច្បាស់ណាស់ថា Referer ណាដែលផ្ញើទៅដៃគូនឹងមិនអាចតាមដានបានទេ ដូច្នេះដៃគូសំខាន់ៗនឹងឃើញតំណភ្ជាប់ទទេ ហើយនឹងមិនអាចបណ្តេញអ្នកចេញពីវាបានទេ។ ឥឡូវនេះអ្នកបោកប្រាស់មានឱកាសបង្កើត "ខូគីដែលពេញ" របស់ពួកគេដោយនិទណ្ឌភាព។ ពិត មិនមែនគ្រប់កម្មវិធីរុករកទាំងអស់អនុញ្ញាតឱ្យអ្នកធ្វើបែបនេះទេ ប៉ុន្តែមានវិធីជាច្រើនទៀតដើម្បីធ្វើរឿងដូចគ្នាដោយប្រើការធ្វើឱ្យស្រស់ដោយស្វ័យប្រវត្តិរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតនៃទំព័របច្ចុប្បន្ន មេតា អាប់ដេត ស្លាកមេតា ឬ JavaScript ។
ក្នុងឆ្នាំ 2008 ពួកគេបានចាប់ផ្តើមប្រើប្រាស់ឧបករណ៍លួចចូលដែលមានអនុភាពជាងមុន ដូចជាការវាយប្រហារ DNS rebinding, Gifar និងមាតិកា Flash ដែលអាចបំផ្លាញទាំងស្រុងនូវគំរូសុវត្ថិភាពដែលមានស្រាប់។ វាត្រូវការពេលបន្តិចដើម្បីស្វែងយល់ពីរបៀបប្រើប្រាស់ពួកវា ពីព្រោះ Cookie-Stuffing guys មិនមែនជាពួក Hacker កម្រិតខ្ពស់នោះទេ ពួកគេគ្រាន់តែជាអ្នកទីផ្សារឈ្លានពានដែលមានចំណេះដឹងសរសេរកូដតិចតួចប៉ុណ្ណោះ។
លក់ព័ត៌មានពាក់កណ្តាលដែលអាចចូលបាន។
ដូច្នេះ យើងបានមើលពីរបៀបដើម្បីទទួលបានផលបូក 6 រូប ហើយឥឡូវនេះ ចូរបន្តទៅប្រាំពីរតួលេខ។ យើងត្រូវការលុយធំដើម្បីក្លាយជាអ្នកមាន ឬស្លាប់។ យើងនឹងពិនិត្យមើលពីរបៀបដែលអ្នកអាចរកប្រាក់ដោយលក់ព័ត៌មានពាក់កណ្តាលដែលអាចចូលបាន។ Business Wire មានប្រជាប្រិយភាពខ្លាំងកាលពីប៉ុន្មានឆ្នាំមុន ហើយវានៅតែមានសារៈសំខាន់ យើងឃើញវត្តមានរបស់វានៅលើគេហទំព័រជាច្រើន។ សម្រាប់អ្នកដែលមិនដឹង Business Wire ផ្តល់សេវាកម្មមួយ ដែលអ្នកប្រើប្រាស់ដែលបានចុះឈ្មោះនៃគេហទំព័រនោះ ទទួលបានការផ្សាយព័ត៌មានថ្មីៗពីក្រុមហ៊ុនរាប់ពាន់។ សេចក្តីប្រកាសព័ត៌មានត្រូវបានផ្ញើទៅកាន់ក្រុមហ៊ុននេះដោយអង្គការផ្សេងៗ ដែលជួនកាលត្រូវហាមឃាត់ ឬដាក់ទណ្ឌកម្មជាបណ្តោះអាសន្ន ដូច្នេះព័ត៌មានដែលមាននៅក្នុងសេចក្តីប្រកាសព័ត៌មានទាំងនេះអាចប៉ះពាល់ដល់តម្លៃភាគហ៊ុន។
ឯកសារសេចក្តីប្រកាសព័ត៌មានត្រូវបានផ្ទុកឡើងទៅកាន់ម៉ាស៊ីនមេបណ្តាញ Business Wire ប៉ុន្តែមិនត្រូវបានភ្ជាប់រហូតដល់ការហាមឃាត់ត្រូវបានដកចេញ។ គ្រប់ពេល ទំព័របណ្តាញផ្សព្វផ្សាយព័ត៌មានត្រូវបានភ្ជាប់ទៅគេហទំព័រសំខាន់ ហើយអ្នកប្រើប្រាស់ត្រូវបានជូនដំណឹងអំពីពួកគេដោយ URLs ដូចនេះ៖
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmដូច្នេះ ខណៈពេលដែលអ្នកស្ថិតនៅក្រោមការហ៊ុមព័ទ្ធ អ្នកបង្ហោះទិន្នន័យគួរឱ្យចាប់អារម្មណ៍នៅលើគេហទំព័រ ដូច្នេះនៅពេលដែលការហាមឃាត់ត្រូវបានដកចេញ អ្នកប្រើប្រាស់នឹងស្គាល់វាភ្លាមៗ។ តំណទាំងនេះត្រូវបានចុះកាលបរិច្ឆេទ និងផ្ញើទៅកាន់អ្នកប្រើប្រាស់តាមរយៈអ៊ីមែល។ នៅពេលដែលការហាមឃាត់ផុតកំណត់ តំណភ្ជាប់នឹងដំណើរការ និងដឹកនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រដែលសេចក្តីប្រកាសព័ត៌មានដែលត្រូវគ្នាត្រូវបានបង្ហោះ។ មុនពេលផ្តល់សិទ្ធិចូលប្រើទំព័របណ្តាញសេចក្តីប្រកាសព័ត៌មាន ប្រព័ន្ធត្រូវតែផ្ទៀងផ្ទាត់ថាអ្នកប្រើប្រាស់បានចូលដោយស្របច្បាប់។
ពួកគេមិនពិនិត្យមើលថាតើអ្នកមានសិទ្ធិមើលព័ត៌មាននេះមុនពេលការហាមឃាត់ផុតកំណត់ទេ អ្នកគ្រាន់តែត្រូវចូលទៅក្នុងប្រព័ន្ធ។ រហូតមកដល់ពេលនេះ វាហាក់ដូចជាគ្មានគ្រោះថ្នាក់ ប៉ុន្តែដោយសារតែអ្នកមិនឃើញអ្វីមួយមិនមានន័យថាវាមិននៅទីនោះទេ។
ក្រុមហ៊ុនសេវាកម្មហិរញ្ញវត្ថុអេស្តូនី Lohmus Haavel & Viisemann មិនមែនជាពួក Hacker ទាល់តែសោះ បានរកឃើញថាគេហទំព័រសារព័ត៌មានត្រូវបានដាក់ឈ្មោះតាមលក្ខណៈដែលអាចទស្សន៍ទាយបាន ហើយចាប់ផ្តើមទស្សន៍ទាយ URL ទាំងនោះ។ ខណៈពេលដែលតំណភ្ជាប់ប្រហែលជាមិនទាន់មាននៅឡើយ ដោយសារតែការហ៊ុមព័ទ្ធចូលជាធរមាន នេះមិនមែនមានន័យថាពួក Hacker មិនអាចទាយឈ្មោះឯកសារបានទេ ដូច្នេះហើយអាចចូលប្រើវាបានមុនកាលកំណត់។ វិធីសាស្រ្តនេះដំណើរការដោយសារតែការត្រួតពិនិត្យសុវត្ថិភាពតែមួយគត់របស់ Business Wire គឺថាអ្នកប្រើប្រាស់បានចូលដោយស្របច្បាប់ ហើយគ្មានអ្វីផ្សេងទៀតទេ។
ដូច្នេះជនជាតិអេស្តូនីបានទទួលព័ត៌មានមុនពេលទីផ្សារបិទ និងលក់ទិន្នន័យនេះ។ រហូតដល់ SEC បានតាមដានពួកគេចុះ និងបង្កកគណនីរបស់ពួកគេ ពួកគេអាចរកប្រាក់ចំណូលបាន 8 លានដុល្លារពីការជួញដូរព័ត៌មានពាក់កណ្តាលដែលអាចចូលដំណើរការបាន។ គិតអំពីវា បុរសទាំងអស់នេះបានធ្វើគឺមើលថាតើតំណភ្ជាប់មើលទៅដូចអ្វី ព្យាយាមទាយ URLs និងរកបាន 8 លានពីវា។ ជាធម្មតានៅត្រង់ចំណុចនេះ ខ្ញុំសួរទស្សនិកជនថា តើនេះត្រូវបានគេចាត់ទុកថាជាផ្លូវច្បាប់ ឬខុសច្បាប់ ថាតើវាត្រូវបានចាត់ទុកថាជាពាណិជ្ជកម្មឬអត់។ ប៉ុន្តែសម្រាប់ពេលនេះ ខ្ញុំគ្រាន់តែចង់ទាញចំណាប់អារម្មណ៍របស់អ្នកទៅលើអ្នកដែលបានធ្វើបែបនេះ។
មុនពេលអ្នកព្យាយាមឆ្លើយសំណួរទាំងនេះ ខ្ញុំនឹងបង្ហាញអ្នកនូវស្លាយបន្ទាប់។ នេះមិនទាក់ទងដោយផ្ទាល់ទៅនឹងការក្លែងបន្លំតាមអ៊ីនធឺណិតទេ។ ហេកឃឺជនជាតិអ៊ុយក្រែនម្នាក់បានលួចចូលក្រុមហ៊ុន Thomson Financial ដែលជាក្រុមហ៊ុនផ្តល់សេវាស៊ើបការណ៍ធុរកិច្ច ហើយបានលួចទិន្នន័យអំពីបញ្ហាហិរញ្ញវត្ថុរបស់ IMS Health ប៉ុន្មានម៉ោង មុនពេលដែលព័ត៌មាននេះនឹងវាយលុកទីផ្សារហិរញ្ញវត្ថុ។ គ្មានការសង្ស័យទេថាគាត់មានទោសក្នុងការលួចចូល។
ពួក Hacker បានដាក់ការបញ្ជាទិញលក់ចំនួន 42 ពាន់ដុល្លារដោយលេងមុនពេលអត្រាធ្លាក់ចុះ។ សម្រាប់អ៊ុយក្រែន នេះគឺជាចំនួនដ៏ច្រើន ដូច្នេះពួក Hacker បានដឹងយ៉ាងច្បាស់អំពីអ្វីដែលគាត់កំពុងទទួលបាន។ ការធ្លាក់ចុះភ្លាមៗនៃតម្លៃភាគហ៊ុនបានធ្វើឱ្យគាត់ទទួលបានប្រាក់ចំណេញប្រហែល 300 ដុល្លារក្នុងរយៈពេលពីរបីម៉ោង។ ការផ្លាស់ប្តូរបានដាក់ចេញនូវ "ទង់ក្រហម" SEC បានបង្កកមូលនិធិដោយកត់សំគាល់ថាមានអ្វីមួយខុសប្រក្រតី ហើយបានចាប់ផ្តើមការស៊ើបអង្កេត។ ទោះជាយ៉ាងណាក៏ដោយ ចៅក្រម Naomi Reis Buchwald បាននិយាយថា មូលនិធិគួរតែមិនត្រូវបានបង្កកទេ ពីព្រោះការចោទប្រកាន់ "ការលួច និងការជួញដូរ" និង "ការលួច និងការជួញដូរ" ដែលសន្មតថា Dorozhko មិនបំពានច្បាប់មូលបត្រទេ។ Hacker មិនមែនជាបុគ្គលិករបស់ក្រុមហ៊ុននេះទេ ដូច្នេះហើយមិនបានបំពានច្បាប់ណាមួយទាក់ទងនឹងការបង្ហាញព័ត៌មានហិរញ្ញវត្ថុសម្ងាត់នោះទេ។
កាសែត The Times បានស្នើថា ក្រសួងយុត្តិធម៌អាមេរិកគ្រាន់តែចាត់ទុកករណីនេះថាជារឿងឥតប្រយោជន៍ ដោយសារតែមានការលំបាកក្នុងការឱ្យអាជ្ញាធរអ៊ុយក្រែនយល់ព្រមសហការក្នុងការចាប់ជនល្មើស។ ដូច្នេះ Hacker ម្នាក់នេះទទួលបាន 300 ពាន់ដុល្លារយ៉ាងងាយស្រួល។
ឥឡូវនេះប្រៀបធៀបវាទៅនឹងករណីមុនដែលមនុស្សរកលុយបានដោយគ្រាន់តែផ្លាស់ប្តូរ URLs នៃតំណភ្ជាប់នៅក្នុងកម្មវិធីរុករករបស់ពួកគេ និងលក់ព័ត៌មានពាណិជ្ជកម្ម។ ទាំងនេះពិតជាគួរឱ្យចាប់អារម្មណ៍ណាស់ ប៉ុន្តែមិនមែនជាមធ្យោបាយតែមួយគត់ដើម្បីរកលុយនៅលើផ្សារហ៊ុននោះទេ។
ចូរយើងពិចារណាការប្រមូលព័ត៌មានអកម្ម។ ជាធម្មតា បន្ទាប់ពីធ្វើការទិញតាមអ៊ីនធឺណិត អ្នកទិញទទួលបានលេខកូដតាមដានការបញ្ជាទិញ ដែលអាចជាបន្តបន្ទាប់គ្នា ឬ pseudo-sequential ហើយមើលទៅដូចនេះ៖
3200411
3200412
3200413
ជាមួយវាអ្នកអាចតាមដានការបញ្ជាទិញរបស់អ្នក។ Pentesters ឬពួក Hacker ព្យាយាមរុករក URLs ដើម្បីទទួលបានការចូលប្រើទិន្នន័យបញ្ជាទិញ ដែលជាធម្មតាមានព័ត៌មានដែលអាចកំណត់អត្តសញ្ញាណផ្ទាល់ខ្លួន (PII)៖
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417តាមរយៈការរមូរតាមលេខ ពួកគេអាចចូលប្រើប្រាស់លេខប័ណ្ណឥណទាន អាសយដ្ឋាន ឈ្មោះ និងព័ត៌មានផ្ទាល់ខ្លួនផ្សេងទៀតរបស់អ្នកទិញ។ ទោះយ៉ាងណាក៏ដោយ យើងមិនចាប់អារម្មណ៍លើព័ត៌មានផ្ទាល់ខ្លួនរបស់អតិថិជននោះទេ ប៉ុន្តែនៅក្នុងកូដតាមដានការបញ្ជាទិញផ្ទាល់ យើងចាប់អារម្មណ៍លើការឈ្លបយកការណ៍អកម្ម។
សិល្បៈនៃការសន្និដ្ឋាន
ពិចារណា "សិល្បៈនៃការសន្និដ្ឋាន" ។ ប្រសិនបើអ្នកអាចប៉ាន់ប្រមាណបានត្រឹមត្រូវចំនួន "ការបញ្ជាទិញ" ដែលក្រុមហ៊ុនមួយកំពុងដំណើរការនៅចុងត្រីមាសនោះ ដោយផ្អែកលើទិន្នន័យប្រវត្តិសាស្រ្ត អ្នកអាចសន្និដ្ឋានបានថាតើស្ថានភាពហិរញ្ញវត្ថុរបស់វាល្អ និងរបៀបដែលតម្លៃភាគហ៊ុនរបស់វានឹងប្រែប្រួល។ ឧទាហរណ៍ អ្នកបានបញ្ជាទិញ ឬទិញអ្វីមួយនៅដើមត្រីមាស វាមិនមានបញ្ហាអ្វីទេ ហើយបន្ទាប់មកធ្វើការបញ្ជាទិញថ្មីនៅចុងត្រីមាស។ ដោយផ្អែកលើភាពខុសគ្នានៃចំនួន មនុស្សម្នាក់អាចសន្និដ្ឋានថាតើការបញ្ជាទិញប៉ុន្មានត្រូវបានដំណើរការដោយក្រុមហ៊ុនក្នុងអំឡុងពេលនេះ។ ប្រសិនបើយើងកំពុងនិយាយអំពីការបញ្ជាទិញមួយពាន់ធៀបនឹងមួយរយពាន់សម្រាប់រយៈពេលមុនដូចគ្នា អ្នកអាចសន្មត់ថាក្រុមហ៊ុនកំពុងដំណើរការមិនល្អ។
ទោះជាយ៉ាងណាក៏ដោយ ការពិតគឺថា ជាញឹកញាប់លេខលំដាប់ទាំងនេះអាចទទួលបានដោយមិនបានបំពេញការបញ្ជាទិញពិតប្រាកដ ឬការបញ្ជាទិញដែលត្រូវបានលុបចោលជាបន្តបន្ទាប់។ ខ្ញុំសង្ឃឹមថាលេខទាំងនេះនឹងមិនត្រូវបានបង្ហាញក្នុងករណីណាក៏ដោយ ហើយលំដាប់នឹងបន្តជាមួយនឹងលេខ៖
3200418
3200419
3200420
វិធីនេះអ្នកដឹងថាអ្នកមានសមត្ថភាពក្នុងការតាមដានការបញ្ជាទិញ ហើយអាចចាប់ផ្តើមប្រមូលព័ត៌មានដោយអសកម្មពីគេហទំព័រដែលពួកគេផ្តល់ឱ្យយើង។ យើងមិនដឹងថាវាស្របច្បាប់ឬអត់ទេ យើងគ្រាន់តែដឹងថាវាអាចធ្វើបាន។
ដូច្នេះ យើងបានពិនិត្យមើលចំណុចខ្វះខាតផ្សេងៗនៃតក្កវិជ្ជាអាជីវកម្ម។
Trey Ford៖ អ្នកវាយប្រហារគឺជាអ្នកជំនួញ។ ពួកគេរំពឹងថានឹងទទួលបានមកវិញនូវការវិនិយោគរបស់ពួកគេ។ បច្ចេកវិទ្យាកាន់តែច្រើន កូដកាន់តែធំ និងស្មុគស្មាញ ការងារកាន់តែច្រើនត្រូវធ្វើ និងលទ្ធភាពនៃការចាប់បានកាន់តែច្រើន។ ប៉ុន្តែមានវិធីចំណេញច្រើនក្នុងការវាយប្រហារដោយមិនបាច់ប្រឹងប្រែង។ តក្កវិជ្ជាអាជីវកម្មគឺជាអាជីវកម្មដ៏ធំមួយ ហើយមានការលើកទឹកចិត្តដ៏ធំសម្រាប់ឧក្រិដ្ឋជនក្នុងការលួចស្តាប់វា។ គុណវិបត្តិនៃតក្កវិជ្ជាអាជីវកម្មគឺជាគោលដៅចម្បងសម្រាប់ឧក្រិដ្ឋជន និងជាអ្វីមួយដែលមិនអាចត្រូវបានរកឃើញដោយគ្រាន់តែដំណើរការការស្កេន ឬអនុវត្តការធ្វើតេស្តស្តង់ដារជាផ្នែកនៃដំណើរការធានាគុណភាព។ មានបញ្ហាផ្លូវចិត្តនៅក្នុង QA ដែលហៅថា "ភាពលំអៀងនៃការបញ្ជាក់" ពីព្រោះយើងចង់ដឹងថាយើងនិយាយត្រូវដូចមនុស្សដែរ។ ដូច្នេះចាំបាច់ត្រូវធ្វើការធ្វើតេស្តក្នុងលក្ខខណ្ឌជាក់ស្តែង។
វាចាំបាច់ក្នុងការសាកល្បងអ្វីៗគ្រប់យ៉ាង និងមនុស្សគ្រប់គ្នា ពីព្រោះមិនមែនភាពងាយរងគ្រោះទាំងអស់អាចត្រូវបានរកឃើញនៅដំណាក់កាលអភិវឌ្ឍន៍ដោយការវិភាគកូដ ឬសូម្បីតែក្នុងអំឡុងពេល QA ក៏ដោយ។ ដូច្នេះអ្នកត្រូវឆ្លងកាត់ដំណើរការអាជីវកម្មទាំងមូល និងបង្កើតវិធានការទាំងអស់ដើម្បីការពារវា។ ភាគច្រើនអាចរៀនបានពីប្រវត្តិសាស្រ្ត ពីព្រោះប្រភេទនៃការវាយប្រហារមួយចំនួនត្រូវបានធ្វើម្តងទៀតតាមពេលវេលា។ ប្រសិនបើអ្នកត្រូវបានភ្ញាក់ពីដំណេកមួយយប់ដោយការកើនឡើងស៊ីភីយូ អ្នកអាចសន្មត់ថាពួក Hacker មួយចំនួនកំពុងព្យាយាមតាមដានប័ណ្ណបញ្ចុះតម្លៃដែលមានសុពលភាពម្តងទៀត។ វិធីពិតប្រាកដក្នុងការទទួលស្គាល់ប្រភេទនៃការវាយប្រហារគឺដើម្បីសង្កេតមើលការវាយប្រហារសកម្ម ពីព្រោះការទទួលស្គាល់វាដោយផ្អែកលើប្រវត្តិកំណត់ហេតុនឹងពិបាកខ្លាំងណាស់។
លោក Jeremy Grossman៖ ដូច្នេះ នេះជាអ្វីដែលយើងបានរៀននៅថ្ងៃនេះ។
ការស្មាន captcha អាចធ្វើឱ្យអ្នកទទួលបានចំនួនបួនខ្ទង់។ ការរៀបចំប្រព័ន្ធទូទាត់តាមអ៊ីនធឺណិតនឹងនាំមកនូវប្រាក់ចំណេញចំនួនប្រាំរូបរបស់ពួក Hacker ។ ការលួចចូលធនាគារអាចធ្វើឱ្យអ្នកទទួលបានប្រាក់ចំណេញលើសពីប្រាំតួរលេខ ជាពិសេសប្រសិនបើអ្នកធ្វើវាលើសពីម្តង។
ការបោកប្រាស់តាមប្រព័ន្ធអេឡិចត្រូនិចនឹងធ្វើឱ្យអ្នកទទួលបានតួលេខចំនួនប្រាំមួយ ខណៈពេលដែលការប្រើប្រាស់បណ្តាញសម្ព័ន្ធនឹងធ្វើឱ្យអ្នកទទួលបានតួលេខ 5-6 ឬសូម្បីតែតួលេខប្រាំពីរ។ ប្រសិនបើអ្នកក្លាហានគ្រប់គ្រាន់ អ្នកអាចព្យាយាមបោកបញ្ឆោតទីផ្សារភាគហ៊ុន និងទទួលបានប្រាក់ចំណេញលើសពីប្រាំពីរតួលេខ។ ហើយការប្រើវិធីសាស្រ្ត RSnake ក្នុងការប្រកួតប្រជែងសម្រាប់ Chihuahua ល្អបំផុតគឺមិនអាចកាត់ថ្លៃបាន!
ស្លាយថ្មីសម្រាប់ការធ្វើបទបង្ហាញនេះប្រហែលជាមិនបានបង្កើតវានៅលើស៊ីឌីទេ ដូច្នេះអ្នកអាចទាញយកវានៅពេលក្រោយពីទំព័រប្លក់របស់ខ្ញុំ។ មានសន្និសិទ OPSEC ដែលនឹងមកដល់ក្នុងខែកញ្ញា ដែលខ្ញុំនឹងចូលរួម ហើយខ្ញុំគិតថា យើងនឹងអាចបង្កើតវត្ថុល្អៗមួយចំនួនជាមួយពួកគេ។ ឥឡូវនេះ ប្រសិនបើអ្នកមានសំណួរណាមួយ យើងត្រៀមខ្លួនជាស្រេចដើម្បីឆ្លើយពួកគេ។
ការផ្សាយពាណិជ្ជកម្មមួយចំនួន🙂
សូមអរគុណចំពោះការស្នាក់នៅជាមួយពួកយើង។ តើអ្នកចូលចិត្តអត្ថបទរបស់យើងទេ? ចង់មើលខ្លឹមសារគួរឱ្យចាប់អារម្មណ៍បន្ថែមទៀតទេ? គាំទ្រយើងដោយការបញ្ជាទិញឬណែនាំដល់មិត្តភក្តិ, , ការបញ្ចុះតម្លៃ 30% សម្រាប់អ្នកប្រើប្រាស់ Habr នៅលើ analogue តែមួយគត់នៃម៉ាស៊ីនមេកម្រិតធាតុ ដែលត្រូវបានបង្កើតឡើងដោយពួកយើងសម្រាប់អ្នក៖ (អាចប្រើបានជាមួយ RAID1 និង RAID10 រហូតដល់ 24 cores និងរហូតដល់ 40GB DDR4)។
Dell R730xd ថោកជាង 2 ដង? នៅទីនេះ នៅប្រទេសហូឡង់! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ចាប់ពី $99! អានអំពី
ប្រភព: www.habr.com