Paşverû
Pîvan, pêkhate, û pêkhatina gefên sîberê yên li ser sepanan bi lez pêşve diçin. Bi gelek salan, bikarhêner bi karanîna gerokên webê yên populer xwe gihandine serîlêdanên webê li ser Înternetê. Pêwîst bû ku di her kêliyê de 2-5 gerokên malperê piştgirî bikin, û komek standardên ji bo pêşkeftin û ceribandina serîlêdanên malperê pir kêm bû. Mînakî, hema hema hemî databas bi karanîna SQL hatine çêkirin. Mixabin, piştî demek kin, hacker fêr bûn ku serlêdanên webê bikar bînin da ku daneyan dizîn, jêbirin an biguhezînin. Wan bi karanîna cûrbecûr teknîkan, di nav de xapandina bikarhênerên serîlêdanê, derzîkirin, û darvekirina kodê ji dûr ve, gihîştina neqanûnî bi dest xistin û kapasîteyên serîlêdanê bikar anîn. Zû zû, amûrên ewlehiya serîlêdana webê ya bazirganî ya bi navê Firewallên Serlêdana Webê (WAF) derketin bazarê, û civat bi afirandina projeyek ewlehiya serîlêdana malperê ya vekirî, Projeya Ewlekariya Serlêdana Webê ya Vekirî (OWASP), bersiv da ku standard û metodolojiyên pêşkeftinê diyar bike û biparêze. sepanên ewle.
Parastina serîlêdana bingehîn
xala destpêkê ya ewlekariya sepanan e û navnîşek ji xetereyên herî xeternak û mîhengên xelet ên ku dikarin bibin sedema qelsiyên sepanan, û her weha taktîkên ji bo tespîtkirin û têkbirina êrîşan vedihewîne. OWASP Top 10 di pîşesaziya ewlehiya sîberê ya serîlêdanê de li çaraliyê cîhanê pîvanek naskirî ye û navnîşa bingehîn a kapasîteyên ku divê pergala ewlehiya serîlêdana webê (WAF) hebe destnîşan dike.
Wekî din, fonksiyona WAF divê êrişên din ên hevpar ên li ser sepanên webê, di nav de sextekariya daxwaziya xaç-malperê (CSRF), bişkojka klîk, qutkirina malperê, û tevlêbûna pelê (RFI/LFI) bigire ber çavan.
Gef û kêşeyên ji bo dabînkirina ewlehiya sepanên nûjen
Îro, ne hemî serlêdan di guhertoyek torê de têne bicîh kirin. Serlêdanên ewr, sepanên mobîl, API, û di mîmarên herî dawî de, tewra fonksiyonên nermalava xwerû jî hene. Dema ku ew daneyên me diafirînin, diguhezînin û pêvajo dikin, hemî van celeb serîlêdan hewce ne ku werin hevdem kirin û kontrol kirin. Bi hatina teknolojiyên nû û paradîgmayên nû, tevlihevî û dijwariyên nû di hemî qonaxên çerxa jiyana serîlêdanê de derdikevin. Ev yek yekbûna pêşkeftin û operasyonan (DevOps), konteyneran, Înternetê ya Tiştan (IoT), amûrên çavkaniya vekirî, API, û hêj bêtir vedihewîne.
Dabeşkirina belavkirina sepanan û cihêrengiya teknolojiyên ne tenê ji bo pisporên ewlehiya agahdarî, lê di heman demê de ji bo firoşkarên çareseriya ewlehiyê yên ku êdî nikarin xwe bispêrin nêzîkatiyek yekbûyî, kêşeyên tevlihev û tevlihev diafirîne. Pêdivî ye ku tedbîrên ewlehiyê yên serîlêdanê taybetmendiyên karsaziya wan li ber çavan bigirin da ku pêşî li erênîyên derewîn û têkbirina kalîteya karûbaran ji bikarhêneran re bigirin.
Armanca dawî ya hackeran bi gelemperî ew e ku daneyan dizîne an hebûna karûbaran têk bibe. Êrîşkar jî ji pêşveçûna teknolojîk sûd werdigirin. Pêşîn, pêşkeftina teknolojiyên nû bêtir kêmasî û qelsiyên potansiyel diafirîne. Ya duyemîn, ew di cebilxaneya xwe de bêtir amûr û zanîn hene ku tedbîrên ewlehiyê yên kevneşopî derbas bikin. Ev pir zêde dike ku jê re tê gotin "rûyê êrîşê" û xetereyên nû yên rêxistinan. Polîtîkayên ewlehiyê divê bi berdewamî di bersivdayîna guhertinên teknolojî û sepanan de biguhezin.
Bi vî rengî, pêdivî ye ku serîlêdan ji cûrbecûr rêgez û çavkaniyên êrîşê yên her ku diçe zêde dibin werin parastin, û êrişên otomatîkî divê di wextê rast de li ser bingeha biryarên agahdar werin berteref kirin. Di encamê de lêçûnên danûstendinê û keda destan zêde dibe, digel pozîsyonek ewlehiyê ya qels.
Kar #1: Rêvekirina botan
Zêdetirî 60% seyrûsefera Înternetê ji hêla botan ve têne çêkirin, nîvê wan seyrûsefera "xirab" e (li gorî ). Rêxistin di zêdekirina kapasîteya torê de veberhênan dikin, bi bingehîn barek xeyalî xizmet dikin. Cûdahiya rast di navbera seyrûsefera bikarhêner a rastîn û seyrûsefera botê de, û hem jî botên "baş" (mînakî, motorên lêgerînê û karûbarên berhevdana bihayê) û botên "xirab" dikare bibe sedema lêçûnek girîng û kalîteya karûbarê ji bo bikarhêneran.
Bot ne ku vê peywirê hêsan bikin, û ew dikarin behreya bikarhênerên rastîn teqlîd bikin, CAPTCHA û astengiyên din derbas bikin. Digel vê yekê, di rewşa êrişan de ku navnîşanên IP-ya dînamîkî bikar tînin, parastina li ser bingeha fîlterkirina navnîşana IP-yê bêbandor dibe. Bi gelemperî, amûrên pêşkeftina çavkaniya vekirî (mînakî, Phantom JS) ku dikarin JavaScript-ê ji hêla xerîdar ve bi rê ve bibin, ji bo destpêkirina êrişên hovane, êrişên dagirtina pêbaweriyê, êrişên DDoS, û êrişên botê yên otomatîk têne bikar anîn.
Ji bo birêvebirina seyrûsefera botê bi bandor, nasnameyek bêhempa ya çavkaniya wê (wek şopa tilikê) hewce ye. Ji ber ku êrîşek bot gelek tomar çêdike, şopa tiliya wê dihêle ku ew çalakiya gumanbar nas bike û xalan destnîşan bike, li ser bingeha ku pergala parastina serîlêdanê biryarek agahdar digire - asteng / destûr - bi rêjeya herî kêm a erênîyên derewîn.
Pirsgirêk #2: Parastina API-ê
Gelek serîlêdan agahdarî û daneyan ji karûbarên ku ew pê re bi navgîniya API-yê re têkilî berhev dikin. Dema ku daneyên hesas bi navgîniya API-yê veguhezînin, ji% 50-ê rêxistinan ne API-yên erê dikin û ne jî ewle dikin da ku êrişên sîberê bibînin.
Nimûneyên karanîna API-ê:
- Yekbûna Înternetê ya Tiştan (IoT).
- Ragihandina makîne-to-makîne
- Jîngehên bê server
- Sepanên mobîl
- Serlêdanên Bûyer-Driven
Qelsiyên API-ê dişibin qelsiyên serîlêdanê û di nav wan de derzî, êrîşên protokolê, manîpulasyona parametreyê, beralîkirin, û êrîşên botê hene. Dergehên API-yê yên veqetandî ji bo peydakirina lihevhatina di navbera karûbarên serîlêdanê yên ku bi navgîniya API-an re têkildar dibin alîkar dikin. Lêbelê, ew ewlehiya serîlêdanê ya dawî-bi-dawî mîna kana WAF-ê bi amûrên ewlehiyê yên bingehîn ên wekî parkirina sernavê HTTP, navnîşa kontrolkirina gihîştina Layer 7 (ACL), parkirin û vekolîna bargiraniya JSON/XML, û parastina li dijî hemî qelsbûnê peyda nakin. Lîsteya OWASP Top 10 Ev bi vekolîna nirxên sereke yên API-ê bi karanîna modelên erênî û neyînî ve tête bidestxistin.
Pirsgirêk # 3: Înkarkirina Xizmetê
Vektorek êrîşa kevn, înkarkirina karûbarê (DoS), berdewam dike ku bandora xwe di êrişkirina serîlêdanan de îspat bike. Êrîşker gelek teknîkên serketî hene ku karûbarên serîlêdanê têk bibin, di nav de lehiyên HTTP an HTTPS, êrîşên kêm û hêdî (mînak SlowLoris, LOIC, Torshammer), êrîşên ku navnîşanên IP-yê dînamîkî bikar tînin, zêdebûna tampon, êrîşên hêza hov, û gelekên din. . Bi pêşkeftina Înternetê ya Tiştan û dûv re derketina botnetên IoT, êrîşên li ser sepanan bûne mijara sereke ya êrîşên DDoS. Piraniya WAF-ên dewletdar tenê dikarin bargiraniyek tixûbdar bigirin. Lêbelê, ew dikarin herikên seyrûsefera HTTP/S teftîş bikin û seyrûsefera êrîşê û girêdanên xerab rakin. Dema ku êrîşek hat tesbît kirin, ti wateya ji nû ve derbaskirina vê trafîkê tune. Ji ber ku kapasîteya WAF ji bo paşvexistina êrîşan tixûbdar e, çareseriyek pêvek li dora torê hewce ye ku bixweber pakêtên "xirab" ên din asteng bike. Ji bo vê senaryoya ewlehiyê, divê her du çareserî karibin bi hevûdu re têkilî daynin da ku derheqê êrîşan de agahdarî bidin hev.
Hêjîrê 1. Rêxistinkirina parastina tevn û serîlêdanê ya berfireh ku mînaka çareseriyên Radware bikar tîne
Pirsgirêk #4: Parastina Berdewam
Serlêdan gelek caran diguhere. Metodolojiyên pêşkeftin û bicîhkirinê yên wekî nûvekirinên domdar tê vê wateyê ku guheztin bêyî destwerdan an kontrola mirovî çêdibin. Di hawîrdorên weha dînamîkî de, dijwar e ku meriv polîtîkayên ewlehiyê yên bi têra xwe bêyî hejmareke zêde ya erênîyên derewîn biparêze. Serlêdanên mobîl ji serîlêdanên webê pir caran pirtir têne nûve kirin. Dibe ku serîlêdanên partiya sêyemîn bêyî agahdariya we biguhezin. Hin rêxistin li kontrol û xuyangiyek mezintir digerin da ku li ser xetereyên potansiyel bimînin. Lêbelê, ev her gav ne pêkan e, û parastina serîlêdana pêbawer divê hêza fêrbûna makîneyê bikar bîne da ku çavkaniyên berdest hesab bike û xuyang bike, xetereyên potansiyel analîz bike, û di bûyera guheztina serîlêdanê de polîtîkayên ewlehiyê biafirîne û xweşbîn bike.
vebiguherin
Ji ber ku serîlêdan di jiyana rojane de her ku diçe rolek girîng dilîzin, ew ji bo hackeran dibin hedefek sereke. Xelatên potansiyel ên ji bo sûcdaran û windahiyên potansiyel ên ji bo karsaziyan pir mezin in. Tevliheviya peywira ewlehiya serîlêdanê ji ber hejmar û cûrbecûr serlêdan û gefan nayê zêde kirin.
Xweşbextane, em di demekê de ne ku îstîxbarata çêkirî dikare alîkariya me bike. Algorîtmayên bingehîn ên fêrbûna makîneyê li dijî gefên sîber-armanca herî pêşkeftî yên ku ji bo serîlêdanê têne armanc kirin, parastina adaptîf, rast-rast peyda dikin. Ew di heman demê de bixweber polîtîkayên ewlehiyê nûve dikin da ku serîlêdanên web, mobîl, û ewr-û API-yên bêyî erênîyên derewîn biparêzin.
Zehmet e ku meriv bi teqez pêşbîn bike ka dê nifşa paşîn a tehdîdên sîberê yên serîlêdanê (dibe ku li ser bingeha fêrbûna makîneyê jî be). Lê rêxistin bê guman dikarin gavan bavêjin da ku daneyên xerîdar biparêzin, milkê rewşenbîrî biparêzin, û hebûna karûbarê bi feydeyên karsaziya mezin peyda bikin.
Nêzîkatî û rêbazên bi bandor ji bo dabînkirina ewlehiya serîlêdanê, celeb û vektorên sereke yên êrîşan, deverên xeternak û valahiyên di parastina sîberê ya serîlêdanên malperê de, û her weha ezmûna gerdûnî û pratîkên çêtirîn di lêkolîn û raporta Radware de têne pêşkêş kirin.".
Source: www.habr.com
