Ang pag-alam sa mga pamamaraan ng pag-atake ay nagbibigay-daan sa iyo upang bumuo ng isang mabisang diskarte sa pagtatanggol - ang panuntunang ito ay nauugnay hindi lamang sa mga lupon ng hukbo, kundi pati na rin sa Internet. Sa pamamagitan ng pag-unawa sa kung paano ang pag-hack ng mga hacker sa mga website, magagawa mong isara ang mga posibleng kahinaan ng iyong mapagkukunan nang maaga.
Panuto
Hakbang 1
Ang "Pag-upload ng isang shell sa isang site" ay nangangahulugang paggamit ng isang kahinaan sa site upang mag-iniksyon ng isang nakakahamak na script (web shell) na nagbibigay-daan sa isang hacker na kontrolin ang site ng ibang tao sa pamamagitan ng linya ng utos. Ang pinakasimpleng PHP shell ay ganito ang hitsura:
Hakbang 2
Ang isang hacker ay hindi kailangang lumikha ng kanyang sariling web shell, ang mga nasabing programa ay matagal nang nakasulat at mayroong napakalaking hanay ng mga pagpapaandar. Ang gawain ng hacker ay upang mag-upload ng isang nakahanda na shell sa site, karaniwang ginagamit ang mga injection na SQL at PHP para dito.
Hakbang 3
Sinasamantala ng SQL injection ang mga error sa pag-access sa database. Sa pamamagitan ng pag-injection ng kanyang code sa isang kahilingan, ang isang hacker ay maaaring makakuha ng access sa mga file ng database - halimbawa, sa mga pag-login at password, data ng bank card, atbp. Ang mga injection na PHP ay batay sa mga pagkakamali sa mga script ng PHP at pinapayagan ang code ng third-party na maipatupad sa server.
Hakbang 4
Paano mo malalaman kung ang iyong site ay may mga kahinaan? Posibleng manu-manong ipasok ang ilang mga utos, maghahatid ng mga halaga sa address bar, atbp, ngunit nangangailangan ito ng tiyak na kaalaman. Gayundin, walang garantiya na susubukan mo ang bawat posibleng pagpipilian. Samakatuwid, gumamit ng mga dalubhasang kagamitan para sa pag-verify - halimbawa, ang programa ng XSpider. Ito ay isang ganap na ligal na program na nilikha para sa mga administrator ng network, sa tulong nito maaari mong suriin ang iyong site para sa mga kahinaan. Ang demo nito ay matatagpuan sa online.
Hakbang 5
Maraming mga programa para sa paghahanap ng mga kahinaan na nilikha ng mga hacker. Gamit ang mga utility na ito, maaaring suriin ng isang administrator ang kanyang site gamit ang parehong mga tool na maaaring subukang i-hack ito. Upang hanapin ang mga tool na ito, maghanap para sa "SQL scanners" o "mga PHP scanner na kahinaan". Ang isang halimbawa ng isang utility na nagbibigay-daan, sa pagkakaroon ng isang kahinaan sa SQL, upang makakuha ng impormasyon mula sa isang database, ay ang Havij - Advanced SQL Inject Tool. Maaari mong suriin ang iyong site para sa pagkakaroon ng mga kahinaan sa SQL gamit ang NetDeviLz SQL Scanner hacker utility. Ang mga natukoy na kahinaan ay dapat na agad na matanggal.
