အားနည်းချက်များဆိုဒ်များ။ ဝဘ်ဆိုဒ်ကိုစစ်ဆေးပါ။ အားနည်းချက်များများအတွက် site ကိုစကင်ဖတ်စစ်ဆေးဖို့အစီအစဉ်ကို

က်ဘ်ဆိုက်လုံခြုံရေးကိစ္စကို 21 ရာစုကာလ၌ရှိသကဲ့သို့စူးရှအဖြစ်ဖူးပါ။ ၏သင်တန်း, ဒီအားလုံးနီးပါးစက်မှုလုပ်ငန်းများနှင့်နယ်ပယ်များတွင်အင်တာနက်ကို၏ပြည့်စုံပြန့်နှံ့မှုကြောင့်ဖြစ်ပါတယ်။ နေ့တိုင်းဟက်ကာများနှင့်လုံခြုံရေးကျွမ်းကျင်သူများအနည်းငယ်အသစ်သောအားနည်းချက်များက်ဘ်ဆိုက်များတွေ့ရှိခဲ့ပါတယ်။ သူတို့ထဲကအတော်များများဟာချက်ချင်းတံခါးပိတ်ပိုင်ရှင်များနှင့် developer များဖြစ်ကြပေမယ့်ဖြစ်သကဲ့သို့တချို့ရှိနေဆဲဖြစ်သည်။ သောတိုက်ခိုက်သူများကအသုံးပြုသည်။ သို့သော်တစ်ဦးကို Hack site ကို အသုံးပြု. ၎င်း၏အသုံးပြုသူများနှင့်ကသျောသောအပေါ်ဆာဗာနှစ်ခုစလုံးမှကြီးမြတ်အန္တရာယ်ဖြစ်စေနိုင်သည်။

ဆိုဒ်များအားနည်းချက်များအမျိုးအစားများ

သငျသညျဆက်စပ်အီလက်ထရောနစ်နည်းပညာများအများကြီးအသုံးပြုသောက်ဘ်စာမျက်နှာများကိုဖန်တီးတဲ့အခါ။ တချို့ကခေတ်မီဆန်းပြားနှင့်အချိန်-စမ်းသပ်ပြီးဖြစ်ကြသည်ကို၎င်း, အချို့အသစ်ကဖြစ်ကြပြီးဝတ်ဆင်ကြပြီမဟုတ်။ မည်သည့်ကိစ္စတွင်ခုနှစ်, အားနည်းချက်များ၏ဆိုဒ်များမျိုးပေါင်းအများကြီးရှိပါတယ်:

• XSS ။ တစ်ခုချင်းစီကို site ကိုသေးငယ်တဲ့ပုံစံရှိတယ်။ သူတို့ကအသုံးပြုသူများကိုဒေတာထည့်သွင်းခြင်းနှင့်ရလဒ်ရမှတ်ပုံတင်ထွက်သယ်ဆောင်သို့မဟုတ်မက်ဆေ့ခ်ျများပေးပို့နေသည်ကိုကူညီပေးပါတယ်။ အထူးတန်ဖိုးများ၏ပုံစံအတွက်လူစားထိုးဆိုက်၏သမာဓိ၏ချိုးဖောက်မှုဖြစ်ပေါ်စေနှင့်အချက်အလက်အလျှော့နိုင်သည့်တစ်ဦးအခြို့သော script ကို၏ကွပ်မျက်ဖြစ်ပေါ်နိုင်ပါတယ်။
• SQL-ဆေးထိုး။ လျှို့ဝှက်ဒေတာမှဝင်ရောက်ခွင့်ရရှိမှတစ်ဦးကအလွန်ဘုံနှင့်ထိရောက်သောနည်းလမ်းဖြစ်သည်။ ဒါကလိပ်စာဘားမှတဆင့်သို့မဟုတ်ပုံစံကနေတဆင့်ဖြစ်စေဖြစ်ပွားနိုင်သည်။ အဆိုပါဖြစ်စဉ်ကို filtered script များဖြစ်နှင့်ဒေတာဘေ့စ query မနိုင်သောတန်ဖိုးများအစားအားဖြင့်အထဲကယူသွားတတ်၏။ ထိုအခါသင့်လျော်သောအသိပညာနှင့်အတူကလုံခြုံရေးဖောက်ဖျက်မှုဖြစ်ပေါ်စေနိုင်သည်။

• HTML ကို-အမှား။ ဇာတ်ညွှန်းကုဒ်နှင့် HTML ကို embedded နီးပါးထို XSS ၏အဖြစ်တူညီပေမယ့်မပေး။
• ကို default နေရာများတွင်ဖိုင်တွေနဲ့ directory များ၏နေရာချထားနှင့်ဆက်စပ်က်ဘ်ဆိုက်များများ၏အားနည်းချက်။ ဥပမာအားဖြင့်, web စာမျက်နှာများ၏ဖွဲ့စည်းပုံကို သိ. , သင်အုပ်ချုပ်မှု panel က code ကိုရောက်ရှိနိုင်ပါတယ်။
• ဆာဗာပေါ်တွင်လည်ပတ်မှုစနစ်၏ setup ကို၏မလုံလောက်သောကာကွယ်မှု။ ဆိုလျှင်, အားနည်းချက်ပစ္စုပ္ပန်ဖြစ်ပါသည်, ထို့နောက်တိုက်ခိုက်လိုမင်းထက် code တွေနဲ့စီမံနိုင်ဖြစ်သင့်သည်။
• မကောင်းတဲ့ password များ။ အများဆုံးသိသာအားနည်းချက်များက်ဘ်ဆိုက်များတစ်ခုမှာ - သူတို့ရဲ့အကောင့်ကာကွယ်စောင့်ရှောက်ဖို့အားနည်းနေတန်ဖိုးများကိုအသုံးပြုပါ။ အထူးသဖြင့်ကစီမံခန့်ခွဲသူပါ။
• buffer လျတ်။ မှတ်ဉာဏ်ထဲကနေဒေတာတွေကိုအစားထိုးအခါသင်မိမိတို့ကိုယ်ပိုင်ပွုပွငျပွောငျးလဲနိုငျအောငျကအသုံးပြုခဲ့သည်။ လာသောအခါမစုံလငျဆော့ဖ်ဝဲ၏ပါဝင်ပတ်သက်မှုဒါဟာတွေ့ရှိနိုင်ပါသည်။
• သင့်ရဲ့ site ၏ကဏ္ဍများကိုအစားထိုး။ တစ်လှည့်ကွက်မသင်္ကာခြင်းနှင့်သင်၏ပုဂ္ဂိုလ်ရေးအချက်အလက်များကိုဖြည့်, တိုက်ခိုက်သူဖြတ်သန်းအချိန်အတန်ကြာပြီးနောက်မရနိုင်သူအသုံးပြုသူမှအပေါ် logging အားဖြင့်က်ဘ်ဆိုက်တစ်ခုအတိအကျကိုမိတ္တူ Recreating ။
• ဝန်ဆောင်မှု၏ငြင်းပယ်။ အဲဒါကိုမကိုင်တွယ်နိုင်မတောင်းဆိုမှုများများပြားတဲ့အားလက်ခံတွေ့ဆုံနှင့်ရိုးရိုး "ပြန်လည်ရုပ်သိမ်းသွားခဲ့သည်" သို့မဟုတ်ယင်းအသုံးပြုသူအစေခံနိုင်ခြင်းဖြစ်လာသည့်အခါယေဘုယျအားဖြင့်ဒီအသုံးအနှုန်းဆာဗာပေါ်တွင်တိုက်ခိုက်နားလည်သဘောပေါက်ထားပါသည်။ အဆိုပါအားနည်းချက်တစ်ခုက IP filter ကိုစနစ်တကျမပြုပြင်ဆိုတဲ့အချက်ကိုတည်ရှိသည်။

အားနည်းချက် Scan ကိုဆိုက်

လုံခြုံရေးအထူးကုနှိမ်နင်းဖို့ဦးဆောင်လမ်းပြနိုင်သောအမှားများနှင့်ချွတ်ယွင်းမှုအတွက်ဝဘ်အရင်းအမြစ်များ၏အထူးစာရင်းစစ်ပြုလုပ်ခဲ့သည်။ ထိုသို့သောစိစစ်အတည်ပြု site ကို pentesting ကိုခေါ်။ အဆိုပါလုပ်ငန်းစဉ်သည် CMS, အထိခိုက်မခံ module တွေနဲ့တခြားစိတ်ဝင်စားဖို့စမ်းသပ်မှု၏ရှေ့မှောက်တွင်အသုံးပြုတဲ့အရင်းအမြစ်ကုဒ်ကိုလေ့လာဆန်းစစ်။

SQL-ဆေးထိုး

စမ်းသပ်မှု site ၏ဒီ type ဇာတ်ညွှန်းအဆိုပါဒေတာဘေ့စဖို့တောင်းဆိုမှုများ၏ပြင်ဆင်မှုအတွက်လက်ခံရရှိတန်ဖိုးများကိုစစ်ထုတ်ပေးရှိမရှိဆုံးဖြတ်သည်။ ရိုးရှင်းတဲ့စမ်းသပ်မှုကိုယ်တိုင်နိုင်ပါတယ်လုပ်ဆောင်ရပါမည်။ site ပေါ်တွင် SQL အားနည်းချက်ကိုရှာဖွေဘယ်လိုနေသလဲ? သူကားအဘယ်သူဆွေးနွေးကြပါလိမ့်မယ်။

ဥပမာအားဖြင့်, site တစ်ခုငါ၏အ-sayt.rf ရှိသေး၏။ ယင်း၏ရှေ့စာမျက်နှာပေါ်တွင်တစ်ဦး catalog ရှိပါတယ်။ စ Going, သင်သည်ငါ၏-sayt.rf /? PRODUCT_ID = 1 တူလိပ်စာဘားတစ်ခုခုမှာတွေ့ရှိနိုင်ပါတယ်။ ဒါဟာဒီဒေတာဘေ့စဖို့တောငျးဆိုခကျြကြောင်းဖွယ်ရှိသည်။ site တစ်ခုအားနည်းချက်များတွေ့ရှိရန်ပထမဦးဆုံးအတန်းအတွက်တစ်ခုတည်းကိုးကားအစားထိုးဖို့ကြိုးစားနိုင်ပါတယ်။ ရလဒ်အနေနဲ့ '' မိုင်း sayt.rf /? PRODUCT_ID = 1 ဖြစ်သင့်သည်။ သင်ထိုစာမျက်နှာပေါ်ခလုတ်, error message ကို "Enter" ကိုနှိပ်လျှင်, အားနည်းချက်ရှိနေပြီ။

ယခုတွင်သင်သည်တန်ဖိုးများ၏ရွေးချယ်ရေးတို့အတွက်အမျိုးမျိုးသော options များကိုသုံးနိုင်သည်။ တပတ်ရစ်ပေါင်းစပ်အော်ပရေတာခြွင်းချက်, မှတ်ချက်နှင့်အခြားသော။

XSS

တက်ကြွစွာနဲ့ passive - အားနည်းချက်၏ဤအမျိုးအစားနှစ်မျိုး၏ဖြစ်နိုင်သည်။

Active ကို database တွင်သို့မဟုတ်ဆာဗာပေါ်တွင်ဖိုင်ထဲမှာ code ကိုတစ်ဖဲ့ကိုရခြင်း၏နိဒါန်းကိုဆိုလိုသည်။ ဒါဟာပိုပြီးအန္တရာယ်နှင့်ခန့်မှန်းရခက်သည်။

passive mode ကိုအန္တရာယ်ရှိတဲ့ကုဒ်ပါရှိသည်သော site ၏တိကျတဲ့လိပ်စာမှသားကောင်ဆွဲဆောင်ပါဝငျသညျ။

XSS တိုက်ခိုက်အသုံးပြုခြင်းကွတ်ကီးကိုခိုးယူနိုင်ပါတယ်။ ထိုသူတို့ကအရေးကြီးသော user data ကိုမဆံ့နိုငျသညျ။ ပို. ပင်ဆိုးရွားအကျိုးဆက်များ session ကိုခိုးယူခဲ့သည်။

တိုက်ရိုက်တိုက်ခိုက်သူတစ်ဦး၏လက်သို့အသုံးပြုသူသတင်းအချက်အလက်ကိုပေး၏ကပို့အချိန်တွင်ဖွဲ့စည်းရန်သကဲ့သို့ထို့အတူတိုက်ခိုက် site ပေါ်တွင်ဇာတ်ညွှန်းကိုသုံးနိုင်သည်။

ရှာဖွေရေးလုပ်ငန်းစဉ်၏အလိုအလျောက်

အဆိုပါကွန်ယက်ကိုစိတ်ဝင်စားစရာကောင်းတဲ့အားနည်းချက်စကင်နာ site ၏တွေအများကြီးရှာတွေ့နိုင်ပါသည်။ တချို့ကတစ်ဦးတည်းလာအချို့တော်တော်များများဆင်တူနှင့်အတူ လာ. Kali Linux လိုပဲတစ်ခုတည်းပုံရိပ်သို့ပေါင်းစည်း။ အားနည်းချက်များနှင့်ပတ်သက်ပြီးသတင်းအချက်အလက်များစုဆောင်း၏ဖြစ်စဉ်ကိုအလိုအလျောက်မှလူကြိုက်အများဆုံး tools တွေကိုခြုံငုံသုံးသပ်များကိုဆက်လက်ပါလိမ့်မယ်။

nmap

ထိုကဲ့သို့သောဆိပ်ကမ်းများနှင့်ဝန်ဆောင်မှုများကိုအသုံးပြုတဲ့ operating system အဖြစ်အသေးစိတ်ကိုဖျောပွနိုငျသောအလွယ်ကူဆုံးက်ဘ်ဆိုဒ်ကို Vulnerability Scanner ။ ပုံမှန် applications များ:

nmap -sS 127.0.0.1, ဘယ်မှာအစားဒေသခံအိုင်ပီလိပ်စာအစစ်အမှန်စမ်းသပ် site ကိုအစားထိုးရန်လိုအပ်ပေသည်။

န်ဆောင်မှုများပေါ်မှာ run နေနေကြပြီး, ရာဆိပ်ကမ်းများဤအချိန်တွင်ပွင့်လင်းတွေဘာတွေရှိတယ်ဆိုတာအပေါ်နိဂုံးအစီရင်ခံစာ။ ဤအချက်အလက်ပေါ်အခြေခံပြီး, သင်ပြီးသားဖော်ထုတ်အားနည်းချက်သုံးစွဲဖို့ကြိုးစားနိုင်ပါ။

ဒီနေရာမှာတစ်ဦး nmap စကင်ကိုဘက်လိုက်မှုအနည်းငယ်သော့နေသောခေါင်းစဉ်:

• -a ။ သတင်းအချက်အလက်အများကြီးစွန့်ပစ်, ဒါပေမယ့်သူကစဉ်းစားဆင်ခြင်စရာအချိန်ယူစေခြင်းငှါရန်လိုစကင်။
• -O ။ ဒါဟာသင့်ရဲ့ server ပေါ်မှာအသုံးပြုတဲ့ Operating System ကိုဖော်ထုတ်ရန်ကြိုးစားနေသည်။
• -D ။ သင်ကတိုက်ခိုက်မှုဖြစ်ပွားခဲ့သည်ဘယ်မှာဆုံးဖြတ်ရန် server ကိုမှတ်တမ်းများမှမဖြစ်နိုင်ခဲ့ရှုမြင်တဲ့အခါစစ်ဆေးမှုများစေသောတစ်ဦးထံမှ IP address ကို spoofing ။
• -p ။ ဆိပ်ကမ်းများ၏အကွာအဝေး။ ပွင့်လင်းမှုအတွက်အများအပြားန်ဆောင်မှုကိုစစ်ဆေးခြင်း။
• -s ။ ဒါဟာသင်မှန်ကန်သော IP address ကိုသတ်မှတ်ခွင့်ပြုပါတယ်။

WPScan

ဒီပရိုဂရမ် Kali Linux ကိုဖြန့်ဖြူးတွင်ထည့်သွင်းအားနည်းချက်များများအတွက် site ကိုစကင်ဖတ်စစ်ဆေးရန်ဖြစ်ပါသည်။ အဆိုပါ WordPress ကို CMS သို့အပေါ်ကို web အရင်းအမြစ်များကိုစစျဆေးဖို့ဒီဇိုင်းရေးဆွဲ။ ဒါကြောင့်ပတ္တမြား၌ရေးထားလျက်ရှိ၏, ဒါကြောင့်ဒီကဲ့သို့ပြေးနေသည်:

ပတ္တမြား ./wpscan.rb --help ။ ဒီ command ရှိသမျှကိုမရရှိနိုင် options နဲ့စာလုံးကိုပြသပါလိမ့်မယ်။

command ကိုရိုးရှင်းတဲ့စမ်းသပ်မှု run ဖို့အသုံးပြုနိုင်ပါတယ်:

ပတ္တမြား ./wpscan.rb --url some-sayt.ru

ယေဘုယျ WPScan အတွက် - "wordpress ကို" အားနည်းချက်များပေါ်တွင်သင်၏ site ကိုစမ်းသပ်ဖို့ utility ကိုသုံးစွဲဖို့တော်တော်လွယ်ကူပါတယ်။

Nikto

Program ကို site ကို Kali Linux ကိုဖြန့်ဖြူးအတွက်ကိုလည်းရရှိနိုင်သောအားနည်းချက်များများအတွက်စစ်ဆေးနေ။ ဒါဟာအားလုံး၎င်း၏ရိုးရှင်းများအတွက်အစွမ်းထက်စွမ်းရည်ကိုထောက်ပံ့ပေး:

• သည် HTTP နှင့် HTTPS ကိုအတူ protocol ကိုစကင်ဖတ်စစ်ဆေး;
• အများအပြား built-detection စနစ် tools တွေကိုကျော်လွှား;
• ပင်ကို non-စံအကွာအဝေးအတွင်းမျိုးစုံဆိပ်ကမ်းကိုစကင်ဖတ်စစ်ဆေးဖို့,
• ပရောက်ဆီဆာဗာများအသုံးပြုမှုကိုထောကျပံ့;
• အဲဒါကိုအကောင်အထည်ဖေါ်ခြင်းနှင့်ဆက်သွယ်မှု plug-in မှဖြစ်နိုင်ပါတယ်။

အဆိုပါစနစ် nikto လိုအပ်စတင်ရန် perl installed ခဲ့တာဖြစ်ပါတယ်။ အောက်မှာဖေါ်ပြတဲ့အတိုင်းအရိုးရှင်းဆုံးစိတ်ဖြာဖျော်ဖြေနေသည်:

perl nikto.pl -h 192.168.0.1 ။

အဆိုပါအစီအစဉ်ကိုက်ဘ်ဆာဗာလိပ်စာစာရင်းပြုစုတဲ့စာသားဖိုင် "ကျွေးမွေး" ခံရနိုင်သည်

perl nikto.pl -h file.txt

ဒီ tool က Pentest လုပ်ဆောင်သွားရန်လုံခြုံရေးကျွမ်းကျင်ပညာရှင်များကိုကူညီလိမ့်မယ်မသာပေမယ့် network ကိုအုပ်ချုပ်ရေးမှူးများနှင့်အရင်းအမြစ်များကနျြးမာရေးက်ဘ်ဆိုက်များကိုဆက်လက်ထိန်းသိမ်းထားဖို့။

Burp Suite

ဆိုက်, ဒါပေမယ့်မဆိုကွန်ယက်၏စောင့်ကြည့်မှုသာစစ်ဆေးတစ်ဦးကအလွန်အစွမ်းထက်ကိရိယာတခုဖြစ်တယ်။ အဆိုပါပြုပြင်မွမ်းမံတောင်းဆိုမှုများကိုတစ်ဦး built-in function ကိုစမ်းသပ်ဆာဗာတွင်လွန်ခဲ့ကြလျက်ရှိသည်။ အလိုအလျှောက်တစ်ကြိမ်မှာအားနည်းချက်အများအပြားအမျိုးအစားများကိုရှာနိုင်စွမ်းမတ်စကင်နာ။ ဒါဟာလက်ရှိလှုပ်ရှားမှုများ၏ရလဒ်ကယ်တင်ပြီးတော့ကြောင့်ပြန်လည်ဖြစ်နိုင်ပါတယ်။ Third-party plug-ins များကိုသုံးစွဲဖို့မသာ, ဒါပေမယ့်လည်းသင့်ရဲ့ကိုယ်ပိုင်ရေးသားဖို့ပြောင်းလွယ်ပြင်လွယ်။

အဆိုပါ utility ကိုအထူးသဖြင့်အတွေ့အကြုံမရှိသေးသောအသုံးပြုသူများအဘို့, ခြောအဆင်ပြေဖြစ်သော၎င်း၏ကိုယ်ပိုင်သော graphical user interface ကိုရှိပါတယ်။

SQLmap

ဖြစ်ကောင်း SQL နှင့် XSS အားနည်းချက်များရှာဖွေများအတွက်အများဆုံးအဆင်ပြေပြေနဲ့အစွမ်းထက်ကိရိယာတခုဖြစ်တယ်။ ယင်း၏အားသာချက်အဖြစ်ထုတ်ဖော်ပြောဆိုနိုင်ပါတယ်စာရင်း:

• ဒေတာဘေ့စစီမံခန့်ခွဲမှုစနစ်များအားလုံးနီးပါးမျိုးကိုထောကျပံ့;
• လျှောက်လွှာနှင့် SQL-ဆေးထိုးဆုံးဖြတ်ရန်ခြောက်လအခြေခံနည်းလမ်းများကိုသုံးစွဲဖို့စွမ်းရည်;
• mode ကို, သူတို့ရဲ့ hashes များ, စကားဝှက်များနှင့်အခြားဒေတာ busting အသုံးပြုသူများ။

အလွတ်စုံစမ်းမှုရှာဖွေရေးအင်ဂျင်ကိုသင်ခန့်မှန်းအရင်းအမြစ်များကိုလိုအပ်သောက်ဘ်ဆိုက်ထုတ်ပေါင်းပင်ကိုကူညီ - SQLmap များသောအားဖြင့်ပထမဦးဆုံးတစ်ဦး dork မှတဆင့်တစ်ဦးအားနည်းချက် site ကိုရှာတွေ့အသုံးမပြုခင်။

ထိုအခါစာမျက်နှာ၏လိပ်စာ program ကိုလွှဲပြောင်းနှင့်ကြည့်ရှုစစ်ဆေးသည်။ အောင်မြင်သောလြှငျ, အားနည်းချက် utility ကို၏အဓိပ္ပါယ်ကိုယ်တိုင်နှင့်သယံဇာတမှအပြည့်အဝဝင်ရောက်ခွင့်ရရှိမှ၎င်း၏သုံးနိုင်သည်။

Webslayer

သငျသညျ brute အင်အားသုံးတိုက်ခိုက်ရန်ခွင့်ပြုထားကြောင်းတစ်ဦးကသေးငယ်တဲ့ utility ကို။ အသက်တာ၏ "brute အင်အားစု" ပုံစံများ, ဆိုဒ်၏ session တစ်ခု parameters တွေကိုနိုင်သလား။ ဒါဟာစွမ်းဆောင်ရည်ကိုထိခိုက် Multi-Threading, အလွန်အစွမ်းထက်တဲ့ဖြစ်ပါတယ်ထောက်ခံပါတယ်။ သင်တို့သည်လည်းစကားဝှက်များတဲ့ request ကိုအသိုက်စာမျက်နှာများကိုရွေးချယ်နိုင်ပါသည်။ တစ်ဦး proxy ကိုထောက်ခံမှုရှိပါသည်။

စစ်ဆေးခြင်းကိုအဘို့အအရင်းအမြစ်များ

ကွန်ရက်တွင်အွန်လိုင်းက်ဘ်ဆိုက်များ၏အားနည်းချက်စမ်းသပ်ဖို့အတော်ကြာ tools တွေရှိပါတယ်:

• coder-diary.ru ။ စမ်းသပ်ခြင်းများအတွက်ရိုးရှင်းသော site ကို။ ရုံလိပ်စာရိုက်ထည့်, သယံဇာတနှင့် "Check" ပေါ်တွင် click လုပ်ပါ။ သင်အံဆွဲစမ်းသပ်မှုများတွင်တိုက်ရိုက်ရလဒ်ရဲ့အဆုံးမှာလာနိုင်ရန်အတွက်သင့်အီးမေးလ်လိပ်စာသတ်မှတ်နိုင်အောင်ရှာဖွေရေး, အချိန်အနည်းငယ်ကြာလိမ့်မည်။ ဆိုက်ထဲမှာအကြောင်းကို 2500 လူသိများအားနည်းချက်များရှိပါသည်။
• https://cryptoreport.websecurity.symantec.com/checker/ ။ ကုမ္ပဏီ Symantec ကထဲကနေ SSL နှင့် TLS လက်မှတ်အွန်လိုင်းဝန်ဆောင်မှုစစ်ဆေးမှုများ။ ဒါဟာသာလိပ်စာ, သယံဇာတလိုအပ်သည်။
• https://find-xss.net/scanner/ ။ အဆိုပါစီမံကိန်းကိုအားနည်းချက်များသို့မဟုတ် ZIP ဖိုင် archive ကိုသီးခြား PHP ကိုဖိုင်ကို Scan ဖတ်ဝဘ်ဆိုဒ်များဖြစ်ပါတယ်။ သင့်အနေဖြင့် script ကိုအတွက်ဒေတာများကကာကှယျထားတဲ့စကင်ဖတ်စစ်ဆေးနေခံရဖို့ဖိုင်တွေနဲ့သင်္ကေတများ, အမျိုးအစားများကိုသတ်မှတ်နိုင်ပါတယ်။
• http://insafety.org/scanner.php ။ ပလက်ဖောင်း "1C-Bitrix" ပေါ်တွင်က်ဘ်ဆိုက်များကိုစမ်းသပ်ဖို့ scanner ။ ရိုးရှင်းပြီးအလိုလိုသိ interface ကို။

အားနည်းချက်များစကင်ဖတ်စစ်ဆေးဖို့များအတွက် algorithm ကို

မဆိုကွန်ယက်ကိုလုံခြုံရေးအထူးကုရိုးရှင်းတဲ့ algorithm ကိုအပေါ်တစ်ဦးစစ်ဆေးမှုများလုပ်ဆောင်:

1. ပထမတော့သူကကိုယ်တိုင်သို့မဟုတ်အလိုအလျောက် tools တွေကိုအသုံးပြုခြင်းအားဖြင့်မဆိုအွန်လိုင်းအားနည်းချက်ရှိပါတယ်ရှိမရှိခွဲခြမ်းစိတ်ဖြာ။ ဟုတ်ကဲ့လျှင်, သူတို့ရဲ့ type ကိုဆုံးဖြတ်သည်။
2. မျိုးစိတ်ပစ္စုပ္ပန်အားနည်းချက်ပေါ် မူတည်. ထပ်မံရွေ့လျားတည်ဆောက်။ ကျနော်တို့က CMS သို့သိလျှင်ဥပမာ, ထို့နောက်တိုက်ခိုက်မှု၏သင့်လျော်သောနည်းလမ်းရွေးချယ်ခြင်း။ အဆိုပါဒေတာဘေ့စဖို့က SQL-ဆေးထိုးလျှင်, ရွေးချယ်ထားမေးမြန်းချက်။
3. အဓိကရည်ရွယ်ချက်မှာအုပ်ချုပ်ရေး panel ကိုမှအခွင့်ထူးခံ access ကိုရယူရန်ဖြစ်ပါသည်။ ထိုသို့သောအောင်မြင်ရန်မဖြစ်နိုင်ပါကြီးဘူးဆိုရင်, ဒါနဲ့ပတ်သက်ပြီးကကြိုးစားပြီးနှင့်သားကောင်များ၏နောက်ဆက်တွဲလွှဲပြောင်းနဲ့သူ့ရဲ့ဇာတ်ညွှန်း၏နိဒါန်းနှင့်အတူအတုလိပ်စာဖွဲ့စည်းရန်တန်ဖိုးရှိပါတယ်။
4. မည်သည့်တိုက်ခိုက်မှုသို့မဟုတ်ထိုးဖောက်မှုပျက်ကွက်ပါကဒေတာစုဆောင်းစတင်ခဲ့သည်: အဲဒီမှာချွတ်ယွင်းပစ္စုပ္ပန်ဖြစ်သောပိုပြီးအားနည်းချက်ရှိပါတယ်။
5. ဒေတာလုံခြုံရေးအတွက်ကျွမ်းကျင်သူအပေါ်အခြေခံပြီးပြဿနာများနှင့်မည်သို့သူတို့ကိုဖြေရှင်းရန်အကြောင်းကိုဆိုက်ပိုင်ရှင်ကပြောပါတယ်။
6. အားနည်းချက်များမိမိလက်နှင့်သို့မဟုတ် Third-party သခင်၏အကူအညီဖြင့်ဖယ်ရှားပစ်နေကြသည်။

အနည်းငယ်ဘေးကင်းလုံခြုံမှုအကြံပေးချက်များ

ကိုယ့်ကိုယ်ကို၎င်း၏ကိုယ်ပိုင် website ကိုဖွံ့ဖြိုးနေသောသူတို့, ဤရိုးရှင်းသောအကြံပေးချက်များနှင့်လှည့်ကွက်ကူညီပေးပါမည်။

အဆိုပါ script များသို့မဟုတ်မေးမြန်းချက်တစ်ဦးတည်း-ရပ်သို့မဟုတ်ဒေတာဘေ့စကနေဒေတာတွေကိုပေးရမ run နိုင်အောင်ဝင်လာသောဒေတာ filtered ရမည်ဖြစ်သည်။

တစ်ဦးဖြစ်နိုင်သမျှ brute အင်အားကိုရှောင်ရှားနိုင်ဖို့အတွက်အုပ်ချုပ်ရေး panel ကိုဝင်ရောက်ဖို့ရှုပ်ထွေးသောနှင့်ခိုင်ခံ့သော password များကိုသုံးပါ။

ဝက်ဘ်ဆိုက်တစ်ဦးသည် CMS အပေါ်အခြေခံပြီး အကယ်. သင်သည်အဖြစ်မကြာမီသက်သေပြ plugins ကို, တင်းပလိတ်များနှင့် module တွေမကြာခဏပြုလုပ်အပ်ဒိတ်လုပ်များနှင့်လျှောက်ထားနိုင်ပါတယ်အဖြစ်လိုအပ်ပါတယ်။ မလိုအပ်သောအစိတ်အပိုင်းများနှင့်အတူဆိုက်ဝန်မထားပါနဲ့။

မကြာခဏဆိုသံသယဖြစ်ဖွယ်ကွိသို့မဟုတ်လုပ်ဆောင်ချက်များအတွက်ဆာဗာမှတ်တမ်းများစစ်ဆေးပါ။

သင့်ကိုယ်ပိုင် site ကိုတော်တော်များများစကင်နာများနှင့်ဝန်ဆောင်မှုများကိုစစ်ဆေးပါ။

မှန်ကန်သော server ကိုစီစဉ်ဖွဲ့စည်းမှု - ၎င်း၏တည်ငြိမ်ပြီးလုံခြုံစိတ်ချရသောစစ်ဆင်ရေးဖို့အဓိကသော့ချက်။

ဖြစ်နိုင်လျှင်တစ်ဦး SSL ကိုလက်မှတ်ကိုအသုံးပြုပါ။ ဒါဟာဆာဗာနှင့်အသုံးပြုသူအကြားပုဂ္ဂိုလ်ရေးသို့မဟုတ်လျှို့ဝှက်အချက်အလက်များ၏ကြားဖြတ်တားဆီးပါလိမ့်မယ်။

လုံခြုံရေးတူရိယာ။ ဒါဟာကျူးကျော်ခြင်းနှင့်ပြင်ပခြိမ်းခြောက်မှုကိုကာကွယ်တားဆီးဖို့ဆော့ဝဲ install သို့မဟုတ်ချိတ်ဆက်ဖို့သဘာဝကျပါတယ်။

ကောက်ချက်

အဆိုပါဆောင်းပါးတွင်အပြုသဘောရွှေ့ပြောင်းခံရလှည့်ပေမယ့်ပင်ကအသေးစိတ်အတွက်ကွန်ယက်ကိုလုံခြုံရေးအားလုံးရှုထောင့်ကိုဖော်ပြရန်ဖို့လုံလောက်တဲ့မဟုတ်ပါဘူး။ သတင်းအချက်အလက်လုံခြုံရေးပြဿနာကိုအတူရင်ဆိုင်ဖြေရှင်းနိုင်ခြင်းငှါ၎င်းထိုသို့ပစ္စည်းများနှင့်ညွှန်ကြားချက်တွေအများကြီးလေ့လာဖို့ရန်လိုအပ်ပေသည်။ လည်းကိရိယာများနှင့်နည်းပညာများကိုတစည်းသင်ယူဖို့။ သငျသညျပရော်ဖက်ရှင်နယ် Pentest အတွက်အထူးပြုကုမ္ပဏီများနှင့်စာရင်းစစ်ကို web အရင်းအမြစ်များကိုထံမှအကြံဉာဏ်နှင့်အကူအညီကိုရှာပေးနိုင်သည်။ အကောင်းတစ်ဦးငွေပမာဏသို့လှည့်ပါလိမ့်မယ်ဤဝန်ဆောင်မှုများပေမယ့်နှင့်, ရှိသမျှတူညီတဲ့ site ကိုလုံခြုံရေး, စီးပွားရေးဝေါဟာရများနှင့်ဂုဏ်သိက္ခာပိုင်း၌အများကြီးပိုစျေးကြီးရှိနိုင်ပါသည်။