خطرات سائٹس. ویب سائٹ کی جانچ پڑتال. پروگرام خطرات کے لئے ویب سائٹ کو اسکین کرنے کے

ویب سائٹ کی سیکورٹی کا مسئلہ 21st صدی میں اس کو شدید طور پر کبھی نہیں کیا ہے. بالکل، یہ تقریبا تمام صنعتوں اور شعبوں میں انٹرنیٹ کی جامع پھیلاؤ کی وجہ سے ہے. ہر دن، ہیکروں اور سیکورٹی کے ماہرین نے چند نئے خطرات سائٹس پایا. ان میں سے کئی کو فوری طور پر بند کر دیا کے مالکان اور ڈویلپرز ہیں، لیکن ہے کہ کچھ باقی ہیں. کون سا حملہ آوروں کی طرف سے استعمال کیا جاتا ہے. لیکن ایک ہیک سائٹ کا استعمال کرتے ہوئے اس کے صارفین اور سرور جس پر یہ واقع ہے دونوں کو بہت نقصان پہنچا سکتا.

سائٹس خطرات کی اقسام

آپ متعلقہ الیکٹرانک ٹیکنالوجی کی ایک بہت کی طرف سے استعمال کیا جاتا ہے ویب صفحات بنانے کے جب. کچھ جدید اور آزمودہ ہیں، اور کچھ نئے ہیں اور پہنا نہیں کیا گیا ہے. کسی بھی صورت میں، خطرات کی سائٹس کی مختلف قسم کی کافی مقدار موجود ہے:

• XSS. ہر سائٹ کے ایک چھوٹے سے فارم ہے. انہوں نے صارفین کے ڈیٹا میں داخل ہونے اور اس کے نتیجے میں حاصل، رجسٹریشن سے کیا جاتا ہے یا پیغامات بھیجنے میں مدد. خصوصی اقدار کی شکل میں متبادل ایک مخصوص سکرپٹ کو پھانسی، سائٹ کی سالمیت اور سمجھوتہ ڈیٹا کی خلاف ورزی کی وجہ سے ہو سکتا ہے جس کو متحرک کر سکتے ہیں.
• SQL انجکشن. خفیہ ڈیٹا تک رسائی حاصل کرنے میں ایک بہت عام اور مؤثر طریقہ. یہ ایڈریس بار کے ذریعے، یا فارم کے ذریعے یا تو ہو سکتا ہے. عمل اقدار سکرپٹ فلٹر شدہ نہیں کیا جا سکتا ہے اور ڈیٹا بیس کی کیوری substituting کی طرف سے کیا جاتا ہے. اور مناسب علم سے ایک سیکورٹی کی خلاف ورزی کی وجہ سے ہو سکتا ہے.

• HTML-خرابی. عملی طور پر XSS کی ہے کہ، کے طور پر ایک ہی نہیں بلکہ سکرپٹ کے کوڈ، اور HTML سرایت.
• پہلے سے طے شدہ مقامات پر فائلوں اور ڈائریکٹریز کی جگہ کا تعین کرنے کے ساتھ منسلک سائٹس کی بھیدی ہے. مثال کے طور پر ویب صفحات کی ساخت کو جاننے، آپ انتظامیہ کے پینل کوڈ تک پہنچ سکتے ہیں.
• سرور پر آپریٹنگ سسٹم کے سیٹ اپ کی ناکافی تحفظ. ، خطرے موجود ہے اگر کوئی ہو، اس کے بعد حملہ آور صوابدیدی کوڈ پر عمل کرنے کے قابل ہونا چاہئے.
• برا پاس ورڈ. سب سے واضح خطرات کی سائٹس میں سے ایک ہے - ان کے اکاؤنٹ کی حفاظت کے لئے کمزور اقدار استعمال کرتے ہیں. خاص طور پر اگر یہ ایک منتظم ہے.
• بفر اتپرواہ. آپ کو ان کی اپنی ایڈجسٹمنٹ کر سکتے ہیں، تا کہ میموری سے ڈیٹا کو تبدیل کرنے جب استعمال کیا جاتا. اس وقت جب نامکمل سافٹ ویئر کے ملوث پایا جاتا ہے.
• آپ کی ویب سائٹ کے اس حصے کو بدلنا. ایک چال مشتبہ نہیں کر سکتے جو جائے اور آپ کی ذاتی تفصیلات درج صارف پر لاگ ان میں کچھ وقت گزرنے حملہ آور ہونے کے بعد کی طرف سے ویب سائٹ کے عین مطابق نقل تخلیق.
• سروس کے انکار. عام طور پر اس اصطلاح کو سرور پر حملے سمجھ اسے سنبھال نہیں کر سکتے ہیں کہ درخواستوں کی ایک بڑی تعداد موصول ہونے پر، اور صرف "قطرے" یا ان صارفین کی خدمت کرنے کے قابل نہیں ہو جاتا ہے. خطرے کا سامنا حقیقت یہ ایک IP فلٹر مناسب طریقے سے ترتیب نہیں ہے کہ میں مضمر ہے.

خطرے سکین سائٹ

سیکورٹی ماہرین غلطیوں اور نقائص کریکنگ کا باعث بن سکتی اس کے لیے ویب کے وسائل کی ایک خصوصی آڈٹ کا انعقاد کیا. pentesting نامی اس طرح کی تصدیقی سائٹ. عمل CMS، حساس ماڈیولز اور دوسرے بہت سے دلچسپ ٹیسٹ کی موجودگی کی طرف سے استعمال کے منبع کوڈ تجزیہ کرتا ہے.

SQL انجکشن

ٹیسٹ سائٹ کے اس قسم کے اسکرپٹ ڈیٹا بیس تک درخواستوں کی تیاری میں موصول اقدار فلٹر چاہے تعین کرتا ہے. دستی طور پر ہو سکتا ہے ایک سادہ ٹیسٹ منظم. کس سائٹ پر SQL خطرے کو تلاش کرنے کے لئے؟ کون بحث کی جائے گی.

مثال کے طور پر ایک ویب سائٹ MY-sayt.rf نہیں ہے. اس کے صفحہ اول پر ایک کیٹیلوگ ہے. اس میں جانا، آپ کو میری-sayt.rf /؟ PRODUCT_ID = 1 پسند ایڈریس بار کسی چیز میں پایا جا سکتا ہے. یہ اس کے ڈیٹا بیس کے لئے ایک درخواست ہے کہ امکان ہے. تلاش کرنے کے لئے ایک ویب سائٹ خطرات پہلی قطار میں ایک اقتباس متبادل کرنے کی کوشش کر سکتے ہیں. اس کے نتیجے میں بارودی sayt.rf /؟ PRODUCT_ID = 1 'ہونا چاہئے. آپ کے صفحے، ایک غلطی پیغام پر "Enter" کا بٹن دبائیں، تو خطرے سے موجود ہے.

اب آپ کی اقدار کے انتخاب کے لئے مختلف اختیارات کا استعمال کر سکتے ہیں. استعمال کیا مجموعہ آپریٹرز مستثنیات، تبصرہ اور بہت سے دوسرے.

XSS

فعال اور غیر فعال - خطرے کی یہ قسم دو اقسام میں ہو سکتا ہے.

فعال ڈیٹا بیس میں یا سرور پر فائل میں کوڈ کا ایک ٹکڑا کے تعارف کا مطلب ہے. اس سے زیادہ خطرناک اور ناقابل اعتبار ہے.

غیر فعال موڈ نقصاندہ کوڈ پر مشتمل ہے کہ اس ویب سائٹ کے ایک مخصوص ایڈریس پر شکار راغب شامل ہے.

XSS حملہ آور کا استعمال کرتے ہوئے کوکیز کو چوری کر سکتا ہے. اور وہ اہم صارف کے ڈیٹا پر مشتمل ہو سکتا. اس سے بھی زیادہ سنگین نتائج سیشن چرا لیا ہے.

اس کے علاوہ، حملہ آور یہ براہ راست ایک حملہ آور کے ہاتھ میں صارف کی معلومات دی بھیجنے کے وقت کی تشکیل کے لئے تو کے طور پر اس ویب سائٹ پر سکرپٹ کو استعمال کر سکتے ہیں.

تلاش کے عمل کا آٹومیشن

نیٹ ورک دلچسپ خطرے سکینرز سائٹ کی ایک بہت کچھ تلاش کر سکتے ہیں. کچھ اکیلے آتے ہیں، کچھ اور کئی اسی طرح کے ساتھ آئے کالی لینکس کی طرح، ایک تصویر میں ضم. خطرات کے بارے میں معلومات جمع کرنے کے عمل کو خود کار کرنے کے لئے سب سے زیادہ مقبول ٹولز کا ایک جائزہ فراہم کرتا رہے گا.

Nmap

اس طرح کے آپریٹنگ سسٹم کا استعمال کیا بندرگاہوں اور خدمات کی تفصیلات ظاہر کر سکتے ہیں کہ سب سے آسان ویب سائٹ خطرے کو سکینر. عام ایپلی کیشنز:

بجائے مقامی IP ایڈریس ضروری ہے جہاں nmap -sS 127.0.0.1، اصل امتحان سائٹ متبادل.

خدمات اس پر چل رہا ہے، اور جس بندرگاہوں رہے ہیں پر اختتامیہ رپورٹ اس وقت کھلے ہیں. اس معلومات کی بنیاد پر، آپ پہلے سے ہی نشاندہی خطرے کو استعمال کرنے کی کوشش کر سکتے ہیں.

یہاں ایک nmap اسکین تعصب لئے چند چابیاں ہیں:

• -A. جارحانہ اسکین معلومات کا ایک بہت پھینک دیا ہے، لیکن یہ کافی وقت لگ سکتا ہے.
• -O. یہ آپ کے سرور پر استعمال کیا آپریٹنگ سسٹم کی شناخت کرنے کی کوشش کر رہا ہے.
• -D. ایک چیک آپ کو دیکھنے جب حملے جہاں واقع ہوئی سرور لاگز کا تعین کرنے کے لئے یہ ناممکن تھا کے لئے بنایا گیا ہے جس میں سے ایک IP ایڈریس دھوکہ دینا.
• -p. بندرگاہوں کی رینج. کھلی لیے کئی خدمات کی جانچ پڑتال.
• -S. یہ آپ نے درست IP ایڈریس کی وضاحت کرنے کی اجازت دیتا ہے.

WPScan

یہ پروگرام کالی لینکس کی تقسیم میں شامل خطرات کے لئے ویب سائٹ کو اسکین کرنے کے لئے ہے. ورڈپریس CMS پر ویب کے وسائل کی جانچ کے لئے ڈیزائن. یہ روبی میں لکھا ہے، اس طرح اتنی چلائیں:

روبی ./wpscan.rb --help. یہ کمانڈ تمام دستیاب اختیارات اور خطوط دکھائے گا.

کمانڈ ایک سادہ ٹیسٹ کو چلانے کے لئے استعمال کیا جا سکتا ہے:

روبی ./wpscan.rb --url some-sayt.ru

جنرل WPScan میں - خوبصورت "ورڈپریس" خطرات پر آپ کی ویب سائٹ کو ٹیسٹ کرنے کی افادیت کو استعمال کرنے کے لئے آسان.

سے Nikto

پروگرام کی ویب سائٹ خطرات، بھی کالی لینکس کی تقسیم میں دستیاب ہے جس کے لئے جانچ پڑتال. یہ سب اس کی سادگی کے لئے طاقتور صلاحیتوں فراہم کرتا ہے:

• HTTP اور HTTPS کے ساتھ سکین پروٹوکول؛
• بہت سے بلٹ پتہ لگانے کے اوزار بائی پاس؛
• ایک سے زیادہ پورٹ سکیننگ، یہاں تک کہ غیر معیاری رینج میں؛
• پراکسی سرور کے استعمال کی حمایت؛
• اس پر عملدرآمد اور کنکشن پلگ ان کے لئے ممکن ہے.

سسٹم تک پرل نصب کیا گیا ہے سے nikto ضرورت شروع کرنے کے لئے. سادہ ترین تجزیہ درج ذیل کارکردگی کا مظاہرہ کیا ہے:

پرل nikto.pl -h 192.168.0.1.

پروگرام "کھلایا" کیا جا سکتا ہے ویب سرور کا ایڈریس فہرست ہے کہ ایک ٹیکسٹ فائل:

پرل nikto.pl -h file.txt شامل ہوں

یہ آلہ سیکورٹی ماہرین Pentest کو منظم کرنے میں مدد نہ صرف کریں گے، لیکن نیٹ ورک کے منتظمین اور وسائل کی صحت سائٹس کو برقرار رکھنے کے.

ڈکار سویٹ

ایک بہت طاقتور آلہ نہ صرف سائٹ ہے، لیکن کسی بھی نیٹ ورک کی نگرانی کی جانچ کرنا. ترمیم کی درخواستوں کی ایک بلٹ میں تقریب ٹیسٹ کے سرور پر منظور کی گئی. اسمارٹ سکینر خود کار طریقے سے ایک بار میں خطرات کے کئی اقسام کے لئے ملاحظہ کرنے کے قابل. یہ موجودہ سرگرمیوں کے نتیجہ کو بچانے کے لئے اور اس کے بعد اسے دوبارہ شروع ممکن ہے. لچک نہ صرف آپ کے اپنے لکھنے کے لئے تیسری پارٹی پلگ ان کا استعمال کرتے ہیں، لیکن یہ بھی کرنے کے لئے.

افادیت اس کے اپنے گرافیکل یوزر انٹرفیس، خاص طور پر نوسکھئیے صارفین کے لئے، بلاشبہ آسان ہے جو ہے.

SQLmap

شاید SQL اور XSS خطرات سے تلاش کے لئے سب سے زیادہ آسان اور طاقتور آلہ. فہرست اس کے فوائد کے طور پر اظہار کیا جا سکتا ہے:

• سپورٹ ڈیٹا بیس کے انتظام کے نظام کے تقریبا تمام اقسام؛
• درخواست اور SQL انجکشن کا تعین کرنے کے چھ بنیادی طریقے استعمال کرنے کی صلاحیت؛
• صارفین کی busting موڈ، ان ہیشز، پاس ورڈز اور دیگر ڈیٹا.

آپ اندازہ لگایا وسائل ضروری ویب باہر گھاس کی مدد کے لئے خالی استفسار تلاش کے انجن - SQLmap استعمال کرنے سے پہلے عام طور پر سب سے پہلے ایک بیوکوف کے ذریعے ایک کمزور سائٹ ملا.

پھر صفحہ کے ایڈریس کے پروگرام میں منتقل کیا جاتا ہے، اور یہ معائنہ. کامیاب تو، خطرے کی افادیت کی تعریف خود اور اس کے استعمال کے وسائل تک مکمل رسائی حاصل کرنے کے لئے کر سکتے ہیں.

Webslayer

آپ جانور فورس پر حملہ کرنے کی اجازت دیتا ہے کہ ایک چھوٹے افادیت. زندگی کے "جانور فورس" کے فارم، ویب سائٹ کے سیشن پیرامیٹرز کر سکتے ہیں. اس کی کارکردگی شاندار ہے کو متاثر کرتی ہے جس میں کثیر تھریڈنگ، حمایت کرتا ہے. آپ بھی پاسورڈز تکراری در اندر کے صفحات کا انتخاب کر سکتے ہیں. ایک پراکسی کی حمایت کی ہے.

پرکھنے کے لئے وسائل

نیٹ ورک میں آن لائن سائٹس کے خطرے کو ٹیسٹ کے لئے متعدد ذرائع موجود ہیں:

• coder-diary.ru. جانچ کے لئے سادہ سائٹ. بس پتہ، وسائل درج کریں اور "چیک" پر کلک کریں. کی تلاش میں ایک طویل وقت لگ سکتا ہے، لہذا آپ کو دراج ٹیسٹ میں براہ راست نتیجہ کے اختتام پر آنے کے لئے میں آپ کا ای میل ایڈریس کی وضاحت کر سکتے ہیں. اس ویب سائٹ کے بارے میں 2،500 جانا جاتا خطرات موجود ہیں.
• https://cryptoreport.websecurity.symantec.com/checker/. کمپنی کے سیمنٹیک سے SSL اور TLS سرٹیفکیٹ کی آن لائن سروس کے چیک. یہ صرف کا پتہ، وسائل کی ضرورت ہے.
• https://find-xss.net/scanner/. منصوبہ ایک علیحدہ پی ایچ پی فائل خطرات یا زپ محفوظ شدہ دستاویزات کے لئے ویب سائٹس کو اسکین کرتا ہے. تم جس رسم الخط میں ڈیٹا کی طرف سے تبرکشیت رہے فائلوں سکین کرنے اور علامتوں کی اقسام کی وضاحت کر سکتے ہیں.
• http://insafety.org/scanner.php. پلیٹ فارم "1C-Bitrix" پر سائٹس کی جانچ کرنے سکینر. سادہ اور بدیہی انٹرفیس.

خطرات کے لئے سکیننگ کے لئے الگورتھم

کسی بھی نیٹ ورک سیکورٹی کے ماہر ایک سادہ الگورتھم پر چیک انجام دیتا:

1. سب سے پہلے یہ دستی طور پر یا خود کار اوزار کا استعمال کرتے ہوئے کی طرف سے کسی بھی آن لائن خطرے سے ہیں چاہے وہ تجزیہ کریں. جی ہاں، تو یہ ان کی قسم کا تعین کرتا ہے.
2. پرجاتیوں پر منحصر موجود خطرے کا سامنا کرنے کو مزید چالوں بناتا ہے. مثلا، ہم CMS جانتے ہو، تو اس حملے کا مناسب طریقہ منتخب. یہ ایک SQL انجکشن، ڈیٹا بیس کے لئے منتخب کیا کے سوالات ہے.
3. بنیادی مقصد انتظامی پینل مراعات یافتہ رسائی حاصل کرنے کے لئے ہے. یہ اس طرح حاصل کرنے کے لئے ممکن نہیں تھا، تو ہو سکتا ہے کہ اس کی کوشش اور مقتول کے بعد کی منتقلی کے ساتھ ان کے رسم الخط کو متعارف کرانے کے ساتھ ایک جعلی ایڈریس کی تشکیل کرنے کے قابل ہے.
4. زیادہ خطرے کا سامنا نقائص موجود ہیں جو موجود ہیں: کوئی بھی حملے یا دخول ناکام رہتا ہے تو، اس کے اعداد و شمار جمع کرنے شروع ہوتا ہے.
5. ڈیٹا سیکورٹی ماہر کی بنیاد پر مسائل اور کس طرح ان کو حل کرنے کے بارے میں اس ویب سائٹ کے مالک کا کہنا ہے.
6. خطرات اس کے ہاتھ کے ساتھ یا تیسری پارٹی کے آقاؤں کی مدد سے ختم کر رہے ہیں.

چند سیفٹی کی تجاویز

جو خود اس کی اپنی ویب سائٹ کو تیار کرتا ہو جو، اس سادہ تجاویز اور چالوں مدد ملے گی.

تاکہ سکرپٹ یا سوالات کھڑے اکیلے نہیں چلا سکتا ہے یا ڈیٹا بیس سے اعداد و شمار دینے کے لئے آنے والے اعداد و شمار کے فلٹر کیا جانا چاہیے.

ایک ممکنہ جانور کو طاقت سے بچنے کے لئے ترتیب میں، انتظامیہ پینل تک رسائی کے لئے پیچیدہ اور مضبوط پاس ورڈ استعمال کریں.

ویب سائٹ ایک CMS کی بنیاد پر کیا جاتا ہے تو، آپ کے طور پر جلد ہی ثابت پلگ ان، سانچے اور ماڈیولز کثرت ہو جائے اس کو اپ ڈیٹ کریں اور درخواست دے سکتے ہیں کے طور پر ضرورت ہے. غیر ضروری اجزاء کے ساتھ سائٹ اوورلوڈ نہیں ہے.

اکثر کسی بھی مشکوک واقعات یا اعمال کے لئے سرور لاگز چیک کریں.

آپ کی اپنی سائٹ کی کئی سکینرز اور خدمات چیک کریں.

صحیح سرور کی ترتیب - اس کے مستحکم اور محفوظ آپریشن کی کلید.

اگر ممکن ہو تو، ایک SSL سرٹیفکیٹ کا استعمال. اس سرور اور صارف کے درمیان ذاتی یا خفیہ ڈیٹا کی اورودھن روک دیں گے.

سیکورٹی کے آلات. یہ انسٹال یا مداخلت اور بیرونی خطرات کو روکنے کے لئے سافٹ ویئر کو مربوط کرنے کے لئے سمجھ میں آتا ہے.

اختتام

مضمون مثبت نقل مکانی کر دیا، لیکن پھر بھی اس کا تفصیل سے نیٹ ورک سیکورٹی کے تمام پہلوؤں کو بیان کرنے کے لئے کافی نہیں ہے. انفارمیشن سیکورٹی کے مسئلے سے نمٹنے کے لئے ہے، یہ مواد اور ہدایات کی ایک بہت مطالعہ کرنے کے لئے ضروری ہے. اور بھی آلات اور ٹیکنالوجی کا ایک گروپ سیکھنے کے لئے. آپ مشورہ حاصل کریں اور Pentest اور آڈٹ ویب وسائل میں مہارت ہے کہ پیشہ ور کمپنیوں سے مدد کر سکتے ہیں. ان خدمات اگرچہ، اور ایک اچھی رقم میں تبدیل کریں گے، سب ایک ہی سائٹ کی حفاظت اقتصادی لحاظ سے اور ساکھ میں بہت زیادہ مہنگی ہو سکتی ہے.