PHP болон MySQL дээр асуулга хийхээс өмнө хэрэглэгчийн оруулсан мэдээллийн аюулгүй байдлыг хангахын тулд ямар арга хэмжээ авах ёстой вэ?
PHP болон MySQL дээр асуулга хийхээс өмнө хэрэглэгчийн оруулсан мэдээллийн аюулгүй байдлыг хангахын тулд хэд хэдэн алхам хийх шаардлагатай. Нууц мэдээллийг зөвшөөрөлгүй нэвтрэх, болзошгүй халдлагаас хамгаалахын тулд аюулгүй байдлын найдвартай арга хэмжээг хэрэгжүүлэх нь нэн чухал юм. Энэ хариултанд бид зорилгодоо хүрэхийн тулд хийх ёстой гол алхмуудыг тоймлон харуулах болно. 1.
- онд хэвлэгдсэн вэб хөгжүүлэх, EITC/WD/PMSF PHP ба MySQL-ийн үндэс, MySQL ашиглан ахиц дэвшил гаргах, Ганц бичлэг авах, Шалгалтын тойм
Вэбсайт дээрх хэрэглэгчийн оруулах талбаруудаар XSS халдлага хэрхэн тохиолдох вэ?
XSS (Cross-Site Scripting) халдлага нь вэб сайтууд, ялангуяа маягтын талбараар дамжуулан хэрэглэгчийн оруулсан мэдээллийг хүлээн авдаг вэб сайтуудад тохиолдож болох нэг төрлийн аюулгүй байдлын эмзэг байдал юм. Энэ хариултанд бид вэб сайт дээрх хэрэглэгчийн оруулах талбараар дамжуулан XSS халдлага хэрхэн тохиолдож болохыг судлах болно, ялангуяа PHP болон вэб хөгжүүлэлтийн контекст дээр анхаарлаа хандуулах болно.
- онд хэвлэгдсэн вэб хөгжүүлэх, EITC/WD/PMSF PHP ба MySQL-ийн үндэс, PHP дээрх маягтууд, XSS халдлага, Шалгалтын тойм
LFI-ийн эмзэг байдлыг вэб программд хэрхэн ашиглах вэ?
Local File Inclusion (LFI) сул талуудыг вэб программуудад ашиглаж, сервер дээрх эмзэг файлуудад зөвшөөрөлгүй хандах боломжтой. Аппликешн нь хэрэглэгчийн оролтыг зохих ёсоор ариутгал, баталгаажуулалтгүйгээр файлын зам болгон оруулахыг зөвшөөрсөн тохиолдолд LFI үүсдэг. Энэ нь халдагчид файлын замыг удирдах, дурын файлуудыг оруулах боломжийг олгодог
- онд хэвлэгдсэн Кибер аюулгүй байдал, EITC/IS/WAPT вэб програмын нэвтрэлтийн тест, OverTheWire Натас, OverTheWire Natas алхам - түвшин 5-10 - LFI болон тушаалын тарилга, Шалгалтын тойм
Халдагчид SSI тарилгын эмзэг байдлыг хэрхэн ашиглаж, серверт зөвшөөрөлгүй нэвтрэх эсвэл хортой үйл ажиллагаа явуулах вэ?
Server-Side Include (SSI) тарилгын эмзэг байдлыг халдагчид серверт зөвшөөрөлгүй нэвтрэх эсвэл хортой үйлдэл хийх зорилгоор ашиглаж болно. SSI нь вэб хуудсанд гадаад файлууд эсвэл скриптүүдийг оруулах боломжийг олгодог сервер талын скрипт хэл юм. Энэ нь толгой, хөл, навигаци гэх мэт нийтлэг агуулгыг динамик байдлаар оруулахад ихэвчлэн ашиглагддаг
- онд хэвлэгдсэн Кибер аюулгүй байдал, EITC/IS/WAPT вэб програмын нэвтрэлтийн тест, Вэб халдлага хийх дадлага, bWAPP - Сервер талд SSI тарилга орно, Шалгалтын тойм
Вэбсайт эзэмшигчид вэб програмууд дээрээ хадгалагдсан HTML тарилгын халдлагаас хэрхэн сэргийлэх вэ?
Вэбсайт эзэмшигчид вэб програмууд дээрээ хадгалагдсан HTML тарилгын халдлагаас урьдчилан сэргийлэх хэд хэдэн арга хэмжээ авч болно. HTML тарилга нь сайт хоорондын скрипт (XSS) гэж нэрлэгддэг бөгөөд халдагчид вэбсайт руу хортой код оруулах боломжийг олгодог нийтлэг вэб эмзэг байдал бөгөөд дараа нь сэжиггүй хэрэглэгчид үүнийг гүйцэтгэдэг. Энэ нь янз бүрийн аюулгүй байдлын эрсдэлд хүргэж болзошгүй, тухайлбал
Халдагчид HTML тарилга ашиглан серверийн өгөгдлийн тусгалыг хэрхэн өөрчлөх вэ?
Халдагчид вэб програмын сул талуудыг ашиглан HTML injection ашиглан серверийн мэдээллийн тусгалыг удирдах боломжтой. Сайт хоорондын скрипт (XSS) гэж нэрлэгддэг HTML тарилга нь халдагчид вэб програм руу хортой HTML код оруулах үед үүсдэг бөгөөд энэ нь хэрэглэгчийн хөтөч рүү буцаж ирдэг. Энэ нь янз бүрийн аюулгүй байдлын эрсдэлд хүргэж болзошгүй, үүнд
- онд хэвлэгдсэн Кибер аюулгүй байдал, EITC/IS/WAPT вэб програмын нэвтрэлтийн тест, Вэб халдлага хийх дадлага, bWAPP - HTML injection - тусгасан POST, Шалгалтын тойм
HTML тарилгын POST хүсэлтийг таслан зогсоох зорилго нь юу вэ?
HTML тарилгын POST хүсэлтийг таслан зогсоох нь вэб програмын аюулгүй байдлын хүрээнд, ялангуяа нэвтрэлтийн тестийн дасгалын үед тодорхой зорилготой байдаг. HTML injection буюу сайт хоорондын скрипт (XSS) гэж нэрлэгддэг вэб халдлага нь хортой жүжигчид вэбсайт руу хортой код оруулах боломжийг олгодог бөгөөд дараа нь сэжиггүй хэрэглэгчид үүнийг гүйцэтгэдэг. Энэ код
HTML injection гэж юу вэ, энэ нь бусад төрлийн вэб халдлагаас юугаараа ялгаатай вэ?
HTML injection буюу HTML code injection эсвэл client-side code injection гэгддэг HTML тарилга нь халдагчид эмзэг вэб програм руу хортой HTML код оруулах боломжийг олгодог вэб халдлага юм. Энэ төрлийн халдлага нь хэрэглэгчийн оруулсан оролтыг HTML хариултанд оруулахаас өмнө програмаар зохих ёсоор баталгаажуулаагүй эсвэл ариутгаагүй тохиолдолд тохиолддог.
Вэб хөгжүүлэгчид PHP код оруулах халдлагын эрсдлийг бууруулахын тулд ямар арга техникийг ашиглаж болох вэ?
Вэб хөгжүүлэгчид PHP кодыг шахах халдлагын эрсдлийг бууруулахын тулд янз бүрийн арга техникийг ашиглаж болно. Халдагчид эмзэг вэб программ руу хортой PHP код оруулах боломжтой үед эдгээр халдлага гарч, сервер үүнийг гүйцэтгэдэг. Эдгээр халдлагын үндсэн шалтгааныг ойлгож, аюулгүй байдлын зохих арга хэмжээг хэрэгжүүлснээр хөгжүүлэгчид боломжтой
- онд хэвлэгдсэн Кибер аюулгүй байдал, EITC/IS/WAPT вэб програмын нэвтрэлтийн тест, Вэб халдлага хийх дадлага, PHP код оруулах, Шалгалтын тойм
Халдагчид PHP кодыг оруулахын тулд оролтын баталгаажуулалтын механизмын эмзэг байдлыг хэрхэн ашиглаж болох вэ?
Оролтын баталгаажуулалтын механизмын эмзэг байдлыг халдагчид ашиглан вэб програмуудад хортой PHP код оруулах боломжтой. РНР код оруулах гэж нэрлэгддэг энэ төрлийн халдлага нь халдагчид сервер дээр дурын кодыг ажиллуулж, нууц мэдээлэлд зөвшөөрөлгүй хандах эсвэл хортой үйлдэл хийх боломжийг олгодог. Энэ хариуд бид халдагчдыг хэрхэн яаж хийхийг судлах болно