ဝဘ်ဆိုက်လုံခြုံရေး၏ သေစေတတ်သော အပြစ်များ- တစ်နှစ်တာအတွက် အားနည်းချက်စကင်နာစာရင်းအင်းများမှ သင်ယူခဲ့ရာ

လွန်ခဲ့သည့်တစ်နှစ်ခန့်က ကျွန်ုပ်တို့သည် DataLine တွင် စတင်ခဲ့သည်။ ဝန်ဆောင်မှု IT အပလီကေးရှင်းများတွင် အားနည်းချက်များကို ရှာဖွေခွဲခြမ်းစိတ်ဖြာရန်။ ဝန်ဆောင်မှုသည် Qualys cloud ဖြေရှင်းချက်အပေါ် အခြေခံထားပြီး၊ ၎င်း၏လုပ်ဆောင်ချက်နှင့်ပတ်သက်သည်။ ငါတို့ပြောပြီးပြီ။. ဖြေရှင်းချက်နှင့်အတူ အလုပ်လုပ်သည့် တစ်နှစ်တာကာလအတွင်း မတူညီသောဆိုက်များအတွက် စကင်န်ဖတ်ခြင်း ၂၉၁ ခုနှင့် ဝဘ်အက်ပလီကေးရှင်းများတွင် ဘုံအားနည်းချက်များဆိုင်ရာ ကိန်းဂဏန်းများကို စုဆောင်းခဲ့သည်။ 

အောက်ဖော်ပြပါ ဆောင်းပါးတွင် ဝဘ်ဆိုဒ်လုံခြုံရေးရှိ အပေါက်များကို ကွဲပြားသော ဝေဖန်မှုအဆင့်များ၏ နောက်ကွယ်တွင် ဖုံးကွယ်ထားသည်များကို အတိအကျ ဖော်ပြပါမည်။ စကင်နာတွင် အထူးသဖြင့် မကြာခဏတွေ့ရသော အားနည်းချက်များ၊ အဘယ်ကြောင့် ဖြစ်ပေါ်နိုင်သနည်း၊ နှင့် သင့်ကိုယ်သင် ကာကွယ်နည်းတို့ကို ကြည့်ကြပါစို့။ 

Qualys သည် ဝဘ်အက်ပလီကေးရှင်း အားနည်းချက်အားလုံးကို ဝေဖန်ပိုင်းခြားနိုင်သည့် အဆင့်သုံးဆင့်- အနိမ့်၊ အလတ်နှင့် မြင့်သည်။ "ပြင်းထန်မှု" ဖြင့် ဖြန့်ဖြူးမှုကို ကြည့်လျှင် အရာအားလုံးသည် ဆိုးရွားလှသည်မဟုတ်ပေ။ ဝေဖန်ပိုင်းခြားမှု မြင့်မားသော အဆင့်ရှိသော အားနည်းချက် အနည်းငယ် ရှိပြီး အများစုမှာ အားလုံးသည် ဝေဖန်ပိုင်းခြားခြင်း မရှိကြပါ။ 

သို့သော် ပြစ်တင်ဝေဖန်ခြင်းသည် အန္တရာယ်ကင်းသည်ဟု မဆိုလိုပါ။ ၎င်းတို့သည် ပြင်းထန်သော ပျက်စီးမှုများကိုလည်း ဖြစ်စေနိုင်သည်။ 

ထိပ်တန်း "အရေးမပါသော" အားနည်းချက်များ

1. ရောထွေးနေသော အကြောင်းအရာ အားနည်းချက်များ။

   ဝဘ်ဆိုဒ်လုံခြုံရေးအတွက် စံသတ်မှတ်ချက်မှာ ကုဒ်ဝှက်ခြင်းကို ပံ့ပိုးပေးပြီး သတင်းအချက်အလက်များကို ကြားဖြတ်ဝင်ရောက်ခြင်းမှ ကာကွယ်ပေးသည့် HTTPS ပရိုတိုကောမှတစ်ဆင့် client နှင့် ဆာဗာအကြား ဒေတာလွှဲပြောင်းခြင်းဖြစ်ပါသည်။ 

   တချို့ဆိုဒ်တွေက သုံးတယ်။ ရောနှောအကြောင်းအရာ: အချို့သောဒေတာများကို မလုံခြုံသော HTTP ပရိုတိုကောမှတစ်ဆင့် လွှဲပြောင်းသည်။ ဤသည်မှာ မကြာခဏဖော်ပြခြင်းဖြစ်ပါသည်။ passive အကြောင်းအရာ - ဆိုက်၏ပြသမှုကိုသာအကျိုးသက်ရောက်သောအချက်အလက်များ- ပုံများ၊ css စတိုင်များ။ ဒါပေမယ့် တစ်ခါတလေ ဒီဟာက ကူးစက်တယ်။ တက်ကြွသောအကြောင်းအရာ: site ၏အပြုအမူကိုထိန်းချုပ်သော scripts များ။ ဤကိစ္စတွင်၊ အထူးဆော့ဖ်ဝဲလ်ကို အသုံးပြု၍ ဆာဗာမှလာသော တက်ကြွသောအကြောင်းအရာများဖြင့် အချက်အလက်များကို ပိုင်းခြားစိတ်ဖြာနိုင်ပြီး၊ သင်၏တုံ့ပြန်မှုများကို လျင်မြန်စွာ ပြုပြင်မွမ်းမံကာ စက်ကို ဖန်တီးသူမှ ရည်ရွယ်ခြင်းမရှိသည့် နည်းလမ်းဖြင့် လုပ်ဆောင်နိုင်သည်။ 

   ရောနှောထားသော အကြောင်းအရာများပါသော ဝဘ်ဆိုက်များသည် အန္တရာယ်ကင်းပြီး အကြောင်းအရာကို ပိတ်ဆို့ကြောင်း ဘရောက်ဆာများ၏ ဗားရှင်းအသစ်များက သတိပေးသည်။ ဝဘ်ဆိုဒ် developer များသည် console တွင်ဘရောက်ဆာသတိပေးချက်များကိုလည်းလက်ခံရရှိကြသည်။ ဥပမာအားဖြင့်၊ ဤအရာသည် အတွင်းပုံဖြစ်သည်။ Firefox ကို: 

   
   
   ဘာအန္တရာယ်ရှိလဲ။: တိုက်ခိုက်သူများသည် သုံးစွဲသူအချက်အလက်များကို ကြားဖြတ်ဟန့်တားရန်၊ Script များကို အစားထိုးပြီး ၎င်း၏ကိုယ်စား ဆိုက်သို့ တောင်းဆိုချက်များကို ပေးပို့ရန် မလုံခြုံသော ပရိုတိုကောကို အသုံးပြုပါသည်။ ဆိုက်လည်ပတ်သူသည် ဒေတာမထည့်လျှင်ပင်၊ ၎င်းသည် သူ့ကို မကာကွယ်နိုင်ပါ။ ဖြားယောင်းခြင်း။ - လိမ်လည်လှည့်ဖြားသောနည်းလမ်းများကို အသုံးပြု၍ လျှို့ဝှက်သတင်းအချက်အလက်ရယူခြင်း။ ဥပမာအားဖြင့်၊ ဇာတ်ညွှန်းကို အသုံးပြု၍ သုံးစွဲသူနှင့် ရင်းနှီးသူအဖြစ် ဟန်ဆောင်ထားသည့် မလုံခြုံသောဆိုက်တစ်ခုသို့ သင် ပြန်လည်ညွှန်းနိုင်သည်။ အချို့ကိစ္စများတွင်၊ အန္တရာယ်ရှိသောဆိုက်သည် မူရင်းထက်ပင် ပိုကောင်းနေပုံရပြီး အသုံးပြုသူသည် ဖောင်ကို ကိုယ်တိုင်ဖြည့်ပြီး လျှို့ဝှက်အချက်အလက်များကို တင်သွင်းနိုင်သည်။ 

   ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် အဘယ်အရာကို မှတ်သားထားသင့်သနည်း။: ဆိုက်စီမံခန့်ခွဲသူသည် SSL/TLS လက်မှတ်ကို ထည့်သွင်းပြီး စီစဉ်သတ်မှတ်ထားလျှင်ပင်၊ လူသားအမှားကြောင့် အားနည်းချက်တစ်ခု ဖြစ်ပေါ်လာနိုင်သည်။ ဥပမာအားဖြင့်၊ အကယ်၍ သင်သည် စာမျက်နှာတစ်ခုတွင် ဆွေမျိုးလင့်ခ်တစ်ခုမဟုတ်သော်လည်း http မှ အကြွင်းမဲ့လင့်ခ်တစ်ခု ထားရှိပါက၊ ထို့အပြင် http မှ https သို့ ပြန်ညွှန်းမှုများကို သင်မသတ်မှတ်ခဲ့ပါ။ 

   ဘရောက်ဆာကို အသုံးပြု၍ ဝဘ်ဆိုက်တစ်ခုပေါ်တွင် ရောနှောထားသော အကြောင်းအရာများကို ရှာဖွေနိုင်သည်- စာမျက်နှာ၏ အရင်းအမြစ်ကုဒ်ကို ရှာဖွေပါ၊ ဆော့ဖ်ဝဲရေးသားသူ ကွန်ဆိုးလ်ရှိ သတိပေးချက်များကို ဖတ်ပါ။ သို့သော် developer သည် ကုဒ်ကို အချိန်အတော်ကြာအောင် ငြီးငွေ့ဖွယ်ကောင်းအောင် ပြုလုပ်ရမည်ဖြစ်ပါသည်။ သင်သည် အလိုအလျောက်ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများဖြင့် လုပ်ငန်းစဉ်ကို အရှိန်မြှင့်နိုင်သည်၊ ဥပမာ- SSL စစ်ဆေးပါ။အခမဲ့ Lighthouse ဆော့ဖ်ဝဲလ် သို့မဟုတ် အခပေး ဆော့ဖ်ဝဲလ် Screaming Frog SEO Spider။

   ထို့အပြင်၊ အမွေဆက်ခံခဲ့သည့် legacy-code - ကုဒ် ပြဿနာများကြောင့် အားနည်းချက် ဖြစ်ပေါ်လာနိုင်သည်။ ဥပမာအားဖြင့်၊ အချို့သောစာမျက်နှာများသည် ဆိုက်များ၏ https သို့ကူးပြောင်းခြင်းကို ထည့်သွင်းစဉ်းစားခြင်းမရှိသော ပုံစံဟောင်းတစ်ခုကို အသုံးပြု၍ ထုတ်လုပ်ပါက၊    

2. "HTTPOnly" နှင့် "secure" အလံများမပါသော ကွတ်ကီးများ။

   "HTTPOnly" ရည်ညွှန်းချက်သည် တိုက်ခိုက်သူများသည် အသုံးပြုသူဒေတာကို ခိုးယူရန် အသုံးပြုသည့် Script များဖြင့် ကွတ်ကီးများကို လုပ်ဆောင်ခြင်းမှ ကာကွယ်ပေးသည်။ "လုံခြုံသော" အလံသည် ကွတ်ကီးများကို ရှင်းလင်းသောစာသားဖြင့် ပေးပို့ခွင့်မပြုပါ။ ကွတ်ကီးများပေးပို့ရန် လုံခြုံသော HTTPS ပရိုတိုကောကို အသုံးပြုမှသာ ဆက်သွယ်ရေးကို ခွင့်ပြုပါမည်။ 

   ရည်ညွှန်းချက်နှစ်ခုလုံးကို cookie ဂုဏ်သတ္တိများတွင် သတ်မှတ်ထားသည်-

   Set-Cookie: Secure; HttpOnly

   ဘာအန္တရာယ်ရှိလဲ။: အကယ်၍ site developer သည် အဆိုပါ attribute များကို မသတ်မှတ်ပါက၊ တိုက်ခိုက်သူသည် အသုံးပြုသူ၏ အချက်အလက်ကို cookie မှ ကြားဖြတ်ပြီး ထုတ်ယူနိုင်သည်။ ကွတ်ကီးများကို စစ်မှန်ကြောင်းနှင့် ခွင့်ပြုချက်အတွက် အသုံးပြုပါက၊ သူသည် အသုံးပြုသူ၏ စက်ရှင်ကို ခိုးယူနိုင်ပြီး ၎င်း၏ကိုယ်စား ဝဘ်ဆိုက်ပေါ်တွင် လုပ်ဆောင်ချက်များကို လုပ်ဆောင်နိုင်မည်ဖြစ်သည်။ 

   ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် အဘယ်အရာကို မှတ်သားထားသင့်သနည်း။: စည်းကမ်းအတိုင်း၊ လူကြိုက်များသောဘောင်များတွင် ဤအင်္ဂါရပ်များကို အလိုအလျောက်သတ်မှတ်ပေးပါသည်။ သို့သော် ဝဘ်ဆာဗာ ဖွဲ့စည်းမှုပုံစံကို စစ်ဆေးပြီး အလံကို သတ်မှတ်ပါ- Set-Cookie HttpOnly; လုံခြုံအောင်။

   ဤကိစ္စတွင်၊ "HTTPOnly" ရည်ညွှန်းချက်သည် သင့်ကိုယ်ပိုင် JavaScript မှ cookies များကို မမြင်နိုင်စေမည်ဖြစ်သည်။  

3. Path-Based Vulnerabilities

   လူသိရှင်ကြားဝင်ရောက်နိုင်သော ဖိုင် သို့မဟုတ် ဝဘ်ဆိုဒ်လမ်းညွှန်ကို လျှို့ဝှက်ထားနိုင်သော အချက်အလက်များဖြင့် တွေ့ရှိပါက စကင်နာသည် ထိုအားနည်းချက်ကို အစီရင်ခံပါသည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် တစ်ဦးချင်း စနစ်ဖွဲ့စည်းပုံဖိုင်များကို ရှာဖွေတွေ့ရှိသည် သို့မဟုတ် ဖိုင်စနစ်တစ်ခုလုံးသို့ ဝင်ရောက်ခွင့်ကို ထောက်လှမ်းသည်။ ဝဘ်ဆိုက်ပေါ်တွင် ဝင်ရောက်ခွင့် အခွင့်အရေးများကို မှားယွင်းစွာ သတ်မှတ်ပါက ဤအခြေအနေသည် ဖြစ်နိုင်သည်။

   ဘာအန္တရာယ်ရှိလဲ။- အကယ်၍ ဖိုင်စနစ်သည် “ထွက်” သွားပါက၊ တိုက်ခိုက်သူသည် လည်ပတ်မှုစနစ် မျက်နှာပြင်ထဲသို့ ကျရောက်နိုင်ပြီး ၎င်းတို့ကို ရှင်းလင်းသော စာသားဖြင့် သိမ်းဆည်းထားပါက ၎င်းတို့ကို စကားဝှက်ပါသည့် ဖိုင်တွဲများကို ရှာဖွေရန် ကြိုးစားနိုင်သည်။ သို့မဟုတ် သင်သည် စကားဝှက် ဟက်ခ်များကို ခိုးယူနိုင်ပြီး စကားဝှက်ကို အတင်းအကြပ် ခိုးယူနိုင်ပြီး စနစ်အတွင်းရှိ အထူးအခွင့်အရေးများကို မြှင့်တင်ကာ အခြေခံအဆောက်အအုံသို့ ပိုမိုနက်ရှိုင်းစွာ ရွှေ့ရန်လည်း ကြိုးစားနိုင်သည်။  

   ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် အဘယ်အရာကို မှတ်သားထားသင့်သနည်း။: ဝင်ရောက်ခွင့်အခွင့်အရေးများအကြောင်း မမေ့ပါနှင့်၊ သို့မှသာ ဝဘ်လမ်းညွှန်ကို “ထွက်” ရန် မဖြစ်နိုင်စေရန် ပလပ်ဖောင်း၊ ဝဘ်ဆာဗာ၊ ဝဘ်အက်ပလီကေးရှင်းကို ပြင်ဆင်ပါ။

4. အလိုအလျောက်ဖြည့်စွက်မှု ဖွင့်ထားခြင်းဖြင့် အရေးကြီးသောဒေတာကို ထည့်သွင်းရန် ဖောင်များ။

   အကယ်၍ အသုံးပြုသူတစ်ဦးသည် ဝဘ်ဆိုက်များတွင် ဖောင်များကို မကြာခဏ ဖြည့်စွက်ပါက၊ ၎င်းတို့၏ ဘရောက်ဆာသည် ဤအချက်အလက်များကို အလိုအလျောက် ဖြည့်စွက်သည့်အင်္ဂါရပ်ကို အသုံးပြု၍ သိမ်းဆည်းထားသည်။ 

   ဝဘ်ဆိုဒ်များတွင် ဖောင်များတွင် စကားဝှက်များ သို့မဟုတ် ခရက်ဒစ်ကတ်နံပါတ်များကဲ့သို့ အရေးကြီးသော အချက်အလက်ပါရှိသည့် အကွက်များ ပါဝင်နိုင်သည်။ ထိုသို့သောအကွက်များအတွက်၊ ၎င်းသည် ဆိုက်ကိုယ်တိုင်တွင် ဖောင်ဖြည့်သည့်လုပ်ဆောင်ချက်ကို ပိတ်ထားသင့်သည်။ 

   ဘာအန္တရာယ်ရှိလဲ။- အသုံးပြုသူ၏ဘရောက်ဆာသည် အရေးကြီးသောအချက်အလက်များကို သိမ်းဆည်းထားပါက၊ ဥပမာအားဖြင့် ဖြားယောင်းခြင်းမှတစ်ဆင့် ၎င်းကို နောက်ပိုင်းတွင် တိုက်ခိုက်သူမှ ကြားဖြတ်နိုင်သည်။ အနှစ်သာရအားဖြင့်၊ ဤအသေးစိတ်အချက်ကို မေ့သွားသော ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် ၎င်း၏အသုံးပြုသူများကို သတ်မှတ်ပေးနေသည်။ 

   ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် အဘယ်အရာကို မှတ်သားထားသင့်သနည်း။: ဤကိစ္စတွင်၊ ကျွန်ုပ်တို့တွင် ဂန္ထဝင်ပဋိပက္ခတစ်ခုရှိသည်- အဆင်ပြေမှုနှင့် လုံခြုံရေး။ ဝဘ်ဆော့ဖ်ဝဲအင်ဂျင်နီယာတစ်ဦးသည် အသုံးပြုသူအတွေ့အကြုံအကြောင်း စဉ်းစားနေပါက၊ သူသည် အလိုအလျောက်ဖြည့်သွင်းမှုကို သတိရှိရှိ ရွေးချယ်နိုင်သည်။ ဥပမာ လိုက်နာဖို့ အရေးကြီးတယ်။ ဝဘ်ဆိုက်ပါဝင်မှုသုံးစွဲနိုင်ရန်လမ်းညွှန်ချက်များ - မသန်မစွမ်းအသုံးပြုသူများအတွက် အကြောင်းအရာများ၏ ဝင်ရောက်နိုင်မှုအတွက် အကြံပြုချက်များ။ 

   ဘရောက်ဆာအများစုအတွက်၊ သင်သည် autocompete="off" attribute ဖြင့် အလိုအလျောက်ဖြည့်ခြင်းကို ပိတ်နိုင်သည်၊ ဥပမာ-

    <body>
       <form action="/my/form/submit" method="get" autocomplete="off">
         <div>
           <input type="text" placeholder="First Name">
         </div>
         <div>
           <input type="text" id="lname" placeholder="Last Name" autocomplete="on">
         </div>
         <div>
           <input type="number" placeholder="Credit card number">
         </div>
         <input type="submit">
       </form>
     </body>

   ဒါပေမယ့် Chrome အတွက် အလုပ်မဖြစ်ပါဘူး။ ၎င်းသည် JavaScript ကိုအသုံးပြု၍ ရှောင်တိမ်းသည်၊ ဟင်းချက်နည်းတစ်မျိုးကို တွေ့ရှိနိုင်သည်။ ဒီမှာ. 

5. X-Frame-Options ခေါင်းစီးကို ဆိုက်ကုဒ်တွင် မသတ်မှတ်ထားပေ။ 

   ဤခေါင်းစီးသည် ဘောင်၊ iframe၊ embed သို့မဟုတ် အရာဝတ္ထုတဂ်များကို အကျိုးသက်ရောက်သည်။ ၎င်း၏အကူအညီဖြင့်၊ သင်သည် သင့်ဆိုဒ်ဘောင်အတွင်း ထည့်သွင်းခြင်းကို လုံးဝတားမြစ်နိုင်သည်။ ၎င်းကိုလုပ်ဆောင်ရန်၊ သင်သည် X-Frame-Options ၏တန်ဖိုးကို သတ်မှတ်ရန် လိုအပ်သည်- ငြင်းဆိုပါ။ သို့မဟုတ် သင်သည် X-Frame-Options ကို သတ်မှတ်နိုင်သည်- sameorigin၊ ထို့နောက် iframe တွင် မြှုပ်နှံခြင်းသည် သင့်ဒိုမိန်းတွင်သာ ရနိုင်မည်ဖြစ်သည်။

   ဘာအန္တရာယ်ရှိလဲ။: ထိုသို့သော ခေါင်းစီးမရှိခြင်းအား အန္တရာယ်ရှိသော ဆိုက်များတွင် အသုံးပြုနိုင်ပါသည်။ clickjacking. ဤတိုက်ခိုက်မှုအတွက်၊ တိုက်ခိုက်သူသည် ခလုတ်များထိပ်တွင် ပွင့်လင်းမြင်သာသောဘောင်တစ်ခုကို ဖန်တီးပြီး အသုံးပြုသူကို လှည့်စားသည်။ ဥပမာ- လိမ်လည်သူများသည် ဝဘ်ဆိုက်တစ်ခုတွင် လူမှုကွန်ရက်စာမျက်နှာများကို ဘောင်ခတ်သည်။ အသုံးပြုသူသည် ဤဆိုက်ရှိ ခလုတ်တစ်ခုကို နှိပ်နေသည်ဟု ထင်သည်။ ယင်းအစား၊ ကလစ်ကို ကြားဖြတ်ခံရပြီး အသုံးပြုသူ၏ တောင်းဆိုချက်ကို အသက်ဝင်သည့် စက်ရှင်ရှိသည့် လူမှုကွန်ရက်သို့ ပေးပို့သည်။ ဤသည်မှာ တိုက်ခိုက်သူများသည် အသုံးပြုသူကိုယ်စား စပမ်းများပေးပို့ခြင်း သို့မဟုတ် စာရင်းသွင်းသူများနှင့် လိုက်ခ်များရယူနည်း။ 

   ဤအင်္ဂါရပ်ကို သင် မပိတ်ပါက၊ တိုက်ခိုက်သူသည် သင့်အက်ပ်လီကေးရှင်းခလုတ်ကို အန္တရာယ်ရှိသော ဆိုက်တစ်ခုတွင် ထားနိုင်သည်။ သူသည် သင်၏ ရည်ညွှန်းရေးပရိုဂရမ် သို့မဟုတ် သင့်အသုံးပြုသူများကို စိတ်ဝင်စားပေမည်။  

   ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် အဘယ်အရာကို မှတ်သားထားသင့်သနည်း။ဝဘ်ဆာဗာတွင် ကွဲလွဲနေသောတန်ဖိုးတစ်ခုရှိသော X-Frame-Options များကို ဝဘ်ဆာဗာတွင် သို့မဟုတ် load balancer သတ်မှတ်ပါက အားနည်းချက် ဖြစ်ပေါ်လာနိုင်သည်။ ဤကိစ္စတွင်၊ ဆာဗာနှင့် ချိန်ခွင်လျှာသည် ၎င်းတို့တွင် နောက်ခံကုဒ်နှင့် နှိုင်းယှဉ်ပါက ပိုမိုဦးစားပေးသောကြောင့် ခေါင်းစီးကို ရိုးရိုးရှင်းရှင်း ပြန်ရေးပါမည်။  

   X-Frame-Options ခေါင်းစီး၏ငြင်းချက်နှင့်တူညီသောမူရင်းတန်ဖိုးများသည် Yandex ဝဘ်ကြည့်ရှုသူ၏လုပ်ဆောင်မှုကို အနှောင့်အယှက်ပေးလိမ့်မည်။ ဝဘ်ကြည့်ရှုသူအတွက် iframes အသုံးပြုမှုကို ခွင့်ပြုရန်၊ ဆက်တင်များတွင် သီးခြားစည်းမျဉ်းတစ်ခု ရေးရန် လိုအပ်သည်။ ဥပမာအားဖြင့်၊ nginx အတွက် သင်သည် ၎င်းကို ဤကဲ့သို့ configure လုပ်နိုင်ပါသည်။

   http{
   ...
    map $http_referer $frame_options {
    "~webvisor.com" "ALLOW-FROM http://webvisor.com";
    default "SAMEORIGIN";
    }
    add_header X-Frame-Options $frame_options;
   ...
   }
   
   

6. PRSSI (Path-relative stylesheet တင်သွင်းခြင်း) အားနည်းချက်များ။  

   ၎င်းသည် ဆိုက်၏ပုံစံတွင် အားနည်းချက်တစ်ခုဖြစ်သည်။ စတိုင်ဖိုင်များကို ဝင်ရောက်ကြည့်ရှုရန် href="/my/somefolder/styles.css/" ကဲ့သို့သော ဆွေမျိုးလင့်ခ်များကို အသုံးပြုပါက ဖြစ်ပေါ်ပါသည်။ အသုံးပြုသူကို အန္တရာယ်ရှိသော စာမျက်နှာသို့ ပြန်ညွှန်းရန် နည်းလမ်းရှာပါက တိုက်ခိုက်သူသည် ၎င်းကို အခွင့်ကောင်းယူပါမည်။ စာမျက်နှာသည် ၎င်း၏ url တွင် ဆက်စပ်လင့်ခ်တစ်ခုကို ထည့်သွင်းပြီး စတိုင်လ်ခေါ်ဆိုမှုကို အတုယူမည်ဖြစ်သည်။ စတိုင်တစ်ခု၏ဟန်ဆောင်မှုအောက်တွင် အန္တရာယ်ရှိသောလုပ်ဆောင်ချက်များကို လုပ်ဆောင်နိုင်သည့် badsite.ru/…/somefolder/styles.css/ ကဲ့သို့သော တောင်းဆိုချက်ကို သင်ရရှိမည်ဖြစ်သည်။ 

   ဘာအန္တရာယ်ရှိလဲ။: လိမ်လည်သူသည် အခြားသော လုံခြုံရေးယိုပေါက်ကို တွေ့ရှိပါက ဤအားနည်းချက်ကို အသုံးချနိုင်သည်။ ရလဒ်အနေဖြင့်၊ ကွတ်ကီးများ သို့မဟုတ် တိုကင်များမှ သုံးစွဲသူဒေတာကို ခိုးယူနိုင်သည်။

   ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် အဘယ်အရာကို မှတ်သားထားသင့်သနည်း။: X-Content-Type-Options ခေါင်းစီးအား- nosniff အဖြစ် သတ်မှတ်ပါ။ ဤကိစ္စတွင်၊ ဘရောင်ဇာသည် ပုံစံများအတွက် အကြောင်းအရာအမျိုးအစားကို စစ်ဆေးမည်ဖြစ်သည်။ အမျိုးအစားသည် text/css မှလွဲ၍ အခြားဖြစ်ပါက၊ browser သည် တောင်းဆိုမှုကို ပိတ်ဆို့ပါမည်။

ဝေဖန်ပိုင်းခြားနိုင်သော အားနည်းချက်များ

1. စကားဝှက်အကွက်ပါသည့် စာမျက်နှာကို လုံခြုံမှုမရှိသောချန်နယ်တစ်ခုမှတစ်ဆင့် ဆာဗာမှ ပေးပို့သည် (စကားဝှက်အကွက်(များ) ပါရှိသော HTML ဖောင်ကို HTTP ဖြင့် လုပ်ဆောင်သည်)။

   ကုဒ်မထားသော ချန်နယ်တစ်ခုပေါ်ရှိ ဆာဗာမှ တုံ့ပြန်မှုသည် "အလယ်တွင်ရှိသော လူသား" တိုက်ခိုက်မှုများကို ခံနိုင်ရည်ရှိသည်။ စာမျက်နှာသည် ဆာဗာမှ ကလိုင်းယင့်ထံသို့ ရွေ့လျားသွားသဖြင့် တိုက်ခိုက်သူသည် လမ်းကြောင်းကို ကြားဖြတ်ပြီး ကလိုင်းယင့်နှင့် ဆာဗာကြားတွင် သပ်ရပ်နိုင်သည်။ 

   ဘာအန္တရာယ်ရှိလဲ။: လိမ်လည်သူသည် စာမျက်နှာကို အစားထိုးနိုင်ပြီး တိုက်ခိုက်သူ၏ ဆာဗာသို့ ရောက်သွားမည့် လျှို့ဝှက်ဒေတာအတွက် အသုံးပြုသူအား ဖောင်တစ်ခု ပေးပို့နိုင်မည်ဖြစ်သည်။ 

   ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် အဘယ်အရာကို မှတ်သားထားသင့်သနည်း။− အချို့သောဆိုက်များသည် စကားဝှက်အစား သုံးစွဲသူများအား အီးမေးလ်/ဖုန်းဖြင့် တစ်ကြိမ်ကုဒ်တစ်ခု ပေးပို့သည်။ ဤကိစ္စတွင်၊ အားနည်းချက်သည် အလွန်အရေးကြီးသော်လည်း ယန္တရားသည် အသုံးပြုသူများ၏ဘဝကို ရှုပ်ထွေးစေမည်ဖြစ်သည်။

2. မလုံခြုံသောချန်နယ်တစ်ခုမှတစ်ဆင့် အကောင့်ဝင်ခြင်းနှင့် စကားဝှက်ဖြင့် ဖောင်တစ်ခုပေးပို့ခြင်း (Login Form ကို HTTPS မှတစ်ဆင့် မတင်ပြပါ)။

   ဤကိစ္စတွင်၊ အကောင့်ဝင်ခြင်းနှင့် စကားဝှက်ပါရှိသော ဖောင်ပုံစံကို ကုဒ်မထားသော ချန်နယ်မှတစ်ဆင့် ဆာဗာသို့ အသုံးပြုသူထံ ပေးပို့သည်။

   ဘာအန္တရာယ်ရှိလဲ။: ယခင်ကိစ္စနှင့် မတူဘဲ၊ ၎င်းသည် အရေးကြီးသော အားနည်းချက်တစ်ခု ဖြစ်နေပါပြီ။ အရေးကြီးသောဒေတာကို ကြားဖြတ်ရန် ကုဒ်ရေးရန်ပင်မလိုအပ်သောကြောင့် ကြားဖြတ်ရန်ပိုမိုလွယ်ကူသည်။ 

3. သိရှိထားသော အားနည်းချက်များဖြင့် JavaScript စာကြည့်တိုက်များကို အသုံးပြုခြင်း။

   စကင်န်ဖတ်နေစဉ်အတွင်း၊ အသုံးအများဆုံးစာကြည့်တိုက်မှာ ဗားရှင်းများစွာရှိသော jQuery ဖြစ်သည်။ ဗားရှင်းတစ်ခုစီတွင် အားနည်းချက်များ အနည်းဆုံးတစ်ခု သို့မဟုတ် ထို့ထက်ပို၍ သိနိုင်သည်။ အားနည်းချက်၏ သဘောသဘာဝပေါ်မူတည်၍ သက်ရောက်မှုသည် အလွန်ကွာခြားနိုင်ပါသည်။

   ဘာအန္တရာယ်ရှိလဲ။: လူသိများသော အားနည်းချက်များအတွက် အသုံးချမှုများ ရှိသည်၊ ဥပမာ-

   
   
   ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် အဘယ်အရာကို မှတ်သားထားသင့်သနည်း။: လည်ပတ်မှုသို့ ပုံမှန်ပြန်သွားပါ- သိရှိထားသော အားနည်းချက်များကို ရှာဖွေပါ - ပြင်ဆင်ပါ - စစ်ဆေးပါ။ အကယ်၍ သင်သည် အမွေအနှစ်စာကြည့်တိုက်များကို တမင်တကာ အသုံးပြုပါက၊ ဥပမာအားဖြင့် ဘရောင်ဇာအဟောင်းများကို ပံ့ပိုးရန် သို့မဟုတ် ငွေစုရန်၊ သိရှိထားသည့် အားနည်းချက်ကို ပြင်ဆင်ရန် အခွင့်အရေးကို ရှာဖွေပါ။ 

4. Cross-site scripting (XSS)။ 
   Cross-Site Scripting (XSS) သို့မဟုတ် cross-site scripting သည် ဒေတာဘေ့စ်ထဲသို့ malware ထည့်သွင်းလာခြင်းကြောင့် ဝဘ်အက်ပလီကေးရှင်းကို တိုက်ခိုက်ခြင်းဖြစ်သည်။ အကယ်၍ Qualys သည် ထိုကဲ့သို့သော အားနည်းချက်ကို တွေ့ရှိပါက၊ ဖြစ်နိုင်ချေရှိသော တိုက်ခိုက်သူသည် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ရန် ဆိုက်ကုဒ်သို့ ၎င်း၏ကိုယ်ပိုင် js script ကို မိတ်ဆက်ပြီးဖြစ်ကြောင်း ဆိုလိုပါသည်။

   XSS ကို သိမ်းဆည်းထားသည်။ အဘယ်ကြောင့်ဆိုသော် script ကို server တွင်ထည့်သွင်းပြီး browser တွင်တိုက်ခိုက်ခံရသောစာမျက်နှာကိုဖွင့်တိုင်းလုပ်ဆောင်သောကြောင့်ပိုမိုအန္တရာယ်ရှိသည်။

   XSS ကို ရောင်ပြန်ဟပ်သည်။ အန္တရာယ်ရှိသော script ကို HTTP တောင်းဆိုချက်ထဲသို့ ထိုးသွင်းနိုင်သောကြောင့် လုပ်ဆောင်ရန် ပိုမိုလွယ်ကူသည်။ အပလီကေးရှင်းသည် HTTP တောင်းဆိုချက်ကို လက်ခံရရှိမည်ဖြစ်ပြီး၊ ဒေတာကို အတည်ပြုမည်မဟုတ်ပါ၊ ၎င်းကို ထုပ်ပိုးမည်ဖြစ်ပြီး ၎င်းကိုချက်ချင်းပေးပို့မည်ဖြစ်သည်။ အကယ်၍ တိုက်ခိုက်သူသည် အသွားအလာကို ကြားဖြတ်ပြီး ကဲ့သို့သော ဇာတ်ညွှန်းတစ်ခုကို ထည့်သွင်းပါက၊

   <script>/*+что+то+плохое+*/</script> 

   ထို့နောက် သုံးစွဲသူကိုယ်စား မလိုလားအပ်သော တောင်းဆိုချက်ကို ပေးပို့ပါမည်။

   XSS ၏ ထူးခြားထင်ရှားသော ဥပမာတစ်ခု- js သည် CVC ထည့်သွင်းခြင်းအတွက် စာမျက်နှာများ၊ ကတ်သက်တမ်းကုန်ဆုံးရက်စွဲနှင့် အခြားအရာများအတွက် စာမျက်နှာများကို အတုယူသည့် sniff ပေးသည်။ 

   ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် အဘယ်အရာကို မှတ်သားထားသင့်သနည်း။− အကြောင်းအရာ-လုံခြုံရေး-မူဝါဒ ခေါင်းစီးတွင်၊ သုံးစွဲသူဘရောက်ဆာအား ယုံကြည်စိတ်ချရသောအရင်းအမြစ်မှ ကုဒ်များကိုသာ ဒေါင်းလုဒ်လုပ်ပြီး လုပ်ဆောင်ရန် script-src ရည်ညွှန်းချက်ကို အသုံးပြုပါ။ ဥပမာအားဖြင့်၊ script-src 'self' သည် ကျွန်ုပ်တို့၏ site မှ scripts အားလုံးကို whitelists လုပ်ပါသည်။ 
   အကောင်းဆုံးအလေ့အကျင့်မှာ Inline ကုဒ်ဖြစ်သည်- မလုံခြုံသော inline တန်ဖိုးကို အသုံးပြု၍ inline javascript ကိုသာ ခွင့်ပြုပါ။ ဤတန်ဖိုးသည် inline js/css ကို အသုံးပြုခွင့်ပေးသော်လည်း js ဖိုင်များ ပါဝင်ခြင်းကို တားမြစ်ထားခြင်းမရှိပါ။ script-src 'self' နှင့် ပေါင်းစပ်ပြီး ပြင်ပ script များကို လုပ်ဆောင်ခြင်းမှ ပိတ်ထားပါသည်။

   report-uri သုံးပြီး အရာအားလုံးကို မှတ်တမ်းမှတ်ပြီး ၎င်းကို ဝဘ်ဆိုက်တွင် အကောင်အထည်ဖော်ရန် ကြိုးပမ်းမှုများကို ကြည့်ရှုပါ။

5. SQL ထိုးခြင်းများ။
   အားနည်းချက်သည် ဝဘ်ဆိုဒ်၏ ဒေတာဘေ့စ်ကို တိုက်ရိုက်ဝင်ရောက်သည့် ဝဘ်ဆိုက်တစ်ခုထဲသို့ SQL ကုဒ် ထိုးသွင်းနိုင်ခြေကို ညွှန်ပြသည်။ အသုံးပြုသူထံမှ ဒေတာကို မစစ်ဆေးပါက SQL ထိုးခြင်း ဖြစ်နိုင်သည်- ၎င်းကို မှန်ကန်မှု ရှိ၊ မရှိ စစ်ဆေးပြီး မေးမြန်းမှုတွင် ချက်ချင်း အသုံးပြုပါသည်။ ဥပမာအားဖြင့်၊ ဝဘ်ဆိုက်တစ်ခုပေါ်ရှိ ဖောင်တစ်ခုတွင် ထည့်သွင်းမှုသည် ဒေတာအမျိုးအစားနှင့် ကိုက်ညီမှုရှိမရှိ မစစ်ဆေးပါက ၎င်းသည် ဖြစ်ပေါ်သည်။ 

   ဘာအန္တရာယ်ရှိလဲ။: အကယ်၍ တိုက်ခိုက်သူသည် ဤဖောင်တွင် SQL query တစ်ခုအား ဖြည့်သွင်းပါက၊ သူသည် ဒေတာဘေ့စ်ကို ပျက်စီးစေနိုင်သည် သို့မဟုတ် လျှို့ဝှက်အချက်အလက်များကို ဖော်ထုတ်နိုင်သည်။ 

   ဝဘ်ဆော့ဖ်ဝဲရေးသားသူသည် အဘယ်အရာကို မှတ်သားထားသင့်သနည်း။- ဘရောက်ဆာမှ ထွက်လာသည်ကို မယုံကြည်ပါနှင့်။ client side နှင့် server side နှစ်ခုလုံးတွင် သင့်ကိုယ်သင် ကာကွယ်ရန် လိုအပ်သည်။ 

   ကလိုင်းယင့်ဘက်တွင်၊ JavaScript ကိုအသုံးပြု၍ အကွက်အတည်ပြုချက်ကိုရေးပါ။ 

   နာမည်ကြီးဘောင်များတွင် ပါ၀င်သည့်လုပ်ဆောင်ချက်များသည် ဆာဗာပေါ်ရှိ သံသယဖြစ်ဖွယ်ဇာတ်ကောင်များကို လွတ်မြောက်ရန် ကူညီပေးပါသည်။ ဆာဗာပေါ်တွင် parameterized database queries ကို အသုံးပြုရန်လည်း အကြံပြုပါသည်။

   ဝဘ်အက်ပလီကေးရှင်းတွင် ဒေတာဘေ့စ်နှင့် အပြန်အလှန်တုံ့ပြန်မှု အတိအကျ မည်သည့်နေရာတွင် ဖြစ်ပွားသည်ကို ဆုံးဖြတ်ပါ။ 

   အချက်အလက်တစ်ခုခုကို ကျွန်ုပ်တို့လက်ခံရရှိသောအခါ အပြန်အလှန်တုံ့ပြန်မှုသည်- အိုင်ဒီတစ်ခု (id ၏ပြောင်းလဲမှု)၊ အသုံးပြုသူအသစ်ဖန်တီးမှု၊ မှတ်ချက်အသစ် သို့မဟုတ် ဒေတာဘေ့စ်အတွင်းထည့်သွင်းမှုအသစ်များပါရှိသည့် တောင်းဆိုမှုတစ်ခု။ ဤနေရာတွင် SQL ထိုးသွင်းမှုများ ဖြစ်ပွားနိုင်သည်။ ဒေတာဘေ့စ်မှ မှတ်တမ်းတစ်ခုကို ဖျက်လိုက်လျှင်ပင် SQL ထိုးခြင်း ဖြစ်နိုင်သည်။

အထွေထွေအကြံပြုချက်များ

ဘီးကို ပြန်လည်မတီထွင်ပါနှင့်။ သက်သေပြထားသောဘောင်များကို အသုံးပြုပါ။. စည်းကမ်းအတိုင်း၊ လူကြိုက်များသောဘောင်များသည် ပို၍လုံခြုံသည်။ .NET အတွက် - ASP.NET MVC နှင့် ASP.NET Core၊ Python - Django သို့မဟုတ် Flask အတွက်၊ Ruby - Ruby on Rails အတွက်၊ PHP အတွက် - Symfony၊ Laravel၊ Yii အတွက်၊ JavaScript - Node.JS-Express.js အတွက် Java၊ - Spring MVC ။

ရောင်းချသူ အပ်ဒိတ်များကို လိုက်နာပြီး ပုံမှန် အပ်ဒိတ်လုပ်ပါ။. ၎င်းတို့သည် အားနည်းချက်တစ်ခုကို ရှာတွေ့မည်ဖြစ်ပြီး၊ ထို့နောက် exploit တစ်ခုရေးကာ ၎င်းကို လူသိရှင်ကြားဖြစ်စေရန်နှင့် အရာအားလုံး ထပ်မံဖြစ်လာမည်ဖြစ်သည်။ ဆော့ဖ်ဝဲရောင်းချသူထံမှ တည်ငြိမ်သောဗားရှင်းများသို့ အပ်ဒိတ်များကို စာရင်းသွင်းပါ။

ဝင်ရောက်ခွင့်ကို စစ်ဆေးပါ။. ဆာဗာဘက်တွင်၊ သင့်ကုဒ်ကို ပထမစာလုံးမှ နောက်ဆုံးစာလုံးအထိ၊ သင့်ဆိုဒ်ကို ဖောက်ဖျက်လိုသော၊ သင့်ဒေတာ၏ ဂုဏ်သိက္ခာကို ချိုးဖောက်လိုသော သင့်အမုန်းဆုံးရန်သူက ရေးထားသကဲ့သို့ အမြဲဆက်ဆံပါ။ ထို့အပြင်၊ တစ်ခါတစ်ရံ ဤသည်မှာ မှန်ပါသည်။

ပုံတူပွားများကို အသုံးပြုပါ၊ စမ်းသပ်ဆိုက်များကို အသုံးပြုပါ၊ ထို့နောက် ၎င်းတို့ကို ထုတ်လုပ်ရန်အတွက် အသုံးပြုပါ။. ၎င်းသည် ပထမဦးစွာ၊ အကျိုးဖြစ်ထွန်းသော ပတ်ဝန်းကျင်တွင် အမှားများနှင့် အမှားများကို ရှောင်ရှားရန် ကူညီပေးလိမ့်မည်- ဖြစ်ထွန်းသော ပတ်ဝန်းကျင်သည် ငွေကို ယူဆောင်လာကာ၊ ရိုးရှင်းသော ဖြစ်ထွန်းသော ပတ်ဝန်းကျင်သည် အရေးကြီးသည်။ ပြဿနာတစ်ခုခုကို ပေါင်းထည့်ခြင်း၊ ပြုပြင်ခြင်း သို့မဟုတ် ပိတ်ခြင်းတို့ ပြုလုပ်သည့်အခါ၊ စမ်းသပ်မှုပတ်ဝန်းကျင်တွင် လုပ်ဆောင်ရမည်ဖြစ်ပြီး တွေ့ရှိရသည့် လုပ်ဆောင်နိုင်စွမ်းနှင့် အားနည်းချက်များကို စစ်ဆေးကာ ထုတ်လုပ်မှုပတ်ဝန်းကျင်နှင့် လုပ်ဆောင်ရန် စီစဉ်ဆောင်ရွက်သင့်သည်။ 

သင့်ဝဘ်အက်ပလီကေးရှင်းကို ကာကွယ်ပါ။ Web Application Firewall များ အားနည်းချက်ရှိစကင်နာမှ အစီရင်ခံစာများကို ၎င်းနှင့် ပေါင်းစပ်ပါ။. ဥပမာအားဖြင့်၊ DataLine သည် Qualys နှင့် FortiWeb ကို ဝန်ဆောင်မှုအစုအဝေးအဖြစ် အသုံးပြုသည်။

source: www.habr.com