sushiandbox.ru Компьютер эзэмших - Интернет. Skype. Нийгмийн сүлжээ. Windows дээрх хичээлүүд.
Вэб сайтын аюулгүй байдлын аудит - эрсдэл, аюулыг тодорхойлох
- Мэдээллийн нууцлал
Сайтын аюулгүй байдлын аудит (сайтыг эмзэг байдлыг шалгах) нь вэб нөөцийн тогтвортой ажиллагааг хангах, мэдээллийн аюулгүй байдал, эрсдлийг бууруулахад чиглэсэн цуврал процедур юм.
Одоо эдийн засгийн нөхцөл байдал шинэ дүрэм, тэр дундаа өрсөлдөөнийг шаардаж байгаа нь нууц биш. Хэрэв өмнө нь "технологийн дайн", кибер тагнуул, хор хөнөөлтэй үйлдлүүд голчлон томоохон корпорацууд эсвэл бүх муж улсуудыг хамардаг байсан бол одоо эдгээр аргуудыг жижиг, дунд бизнест нэлээд амжилттай ашиглаж байна.
Компанийн офлайн сайтуудыг одоохондоо хойш орхиё, өнөөдөр бид үндсэн орлого нь интернетийн үйл ажиллагаатай холбоотой арилжааны вэбсайтуудын талаар ярих болно.
Сайтын аюулгүй байдлын аудит гэдэг нь сайтын код болон серверийн программ хангамжийн алдааг илрүүлэх ажлын багц бөгөөд халдагчид сайт руу халдах, хакердах зорилгоор ашиглаж болно.
Халдагчдын ашигладаг сэдэл нь өөр байж болно - энэ нь онгирох явдал бөгөөд хувь хүнийхээ төлөө болон "захиалга" -ын төлөө ажилласнаар ашиг тусыг эрэлхийлэх явдал юм.
Хамгийн сүүлийн үеийн "өндөр түвшний" жишээнүүдээс - FL.ru бие даасан биржийг хакердсан
администраторуудын нэгний өмнөөс халдагчийн мессежийн дэлгэцийн агшин
Энд нөөц нь нэр хүндэд тодорхой хохирол учруулж, хэрэглэгчийн үнэнч байдал буурсан. Шинэ хэрэглэгчдийг татахад хэцүү байж магадгүй: www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
FL.RU-д зориулсан GOOGLE хайлтын үр дүнд хоёр дахь сэдэв нь хэрэглэгчийн баазыг шавхах тухай Habré дээр байна.
FL.RU солилцооны аюулгүй байдлын аудит юу өгөх вэ - нөөцийн администраторын дансны нууц үгийг сонгох нь эдгээр дансыг тодорхойлоход тусална. Тэдгээрийг дагаж мөрдөх нэмэлт зөвлөмж, дүрэм нь ийм харамсалтай хяналтаас зайлсхийхэд тусална. Найдваргүй IP хаягаас чухал функцэд (хэрэглэгчийн данс) хандах хязгаарлалт байхгүй байгаа нь нөхцөл байдлыг улам хүндрүүлэв.
Компанийн вэб сайтыг хакердсаны нэр хүндийн эрсдэл нь компанийн ашигт ажиллагаанд мэдээж нөлөөлнө. Гэхдээ компанийн хувьд үнэ цэнэтэй мэдээллийг хулгайлах шууд аюул заналхийлж байна. Компанийн вэбсайт нь онлайн үйл ажиллагаатай холбоотой - онлайн дэлгүүр, цахим солилцоо гэх мэт. - ашиг олох гол хэрэгсэл - ихэвчлэн үйлчлүүлэгчийн мэдээллийн санг агуулдаг бөгөөд хэрэв үйлчилгээ нь үйлчлүүлэгчтэй удаан хугацааны туршид ажиллах, давтан худалдан авалт гэх мэтийг хамардаг бол илүү үнэ цэнэтэй юм.
Мөн төлбөрийн мэдээлэлд залилан мэхлэх, хадгаламж / мөнгө авах систем эсвэл төлбөрийн систем дэх хуурамч гүйлгээ нь компанид ихээхэн хохирол учруулж болзошгүй юм.
Сайт руу халдаж буй халдагчдыг нөхцөлт байдлаар хоёр төрөлд хувааж болно.
1. Бид худал хэлсэн бүхнийг муугаар хүлээж авдаг.
Энэ төрлийн халдагчид олон тооны сайт руу нэвтрэхийг оролддог, энгийн арга техник, "логууд дахь чимээ шуугиан" ашигладаг. Ер нь ийм жүжигчид сайт(ууд)-ыг түгээмэл эмзэг байдлын сканнер ашиглан сканнердах эсвэл тодорхой мөлжлөгт өртөмтгий CMS хайдаг. Тэд хэрэглэгчийн суурь болон гэгддэг iframe-ийн аль алиныг нь сонирхож магадгүй юм. ашиглах багц.
ОХУ-ын Эрүүгийн хуулийн 273 дугаар зүйлд заасан гэмт хэрэг үйлдэхэд хамсаатан хайх.
Вэб програмын аюулгүй байдлын аудитыг цаг тухайд нь хийх нь сайтын эмзэг бүрэлдэхүүн хэсгүүд болон асуудалтай хэсгийг тодорхойлоход тусална. Зөвлөмжүүд нь хакерын халдлагыг няцаахад бэлэн байхад тусална.
2. Бид тодорхой бай руу дайрдаг.
Эдгээр төрлийн халдагчид ихэвчлэн тодорхой өгөгдлийг олж авах эсвэл устгах зорилготой байдаг:
"хакерын ойролцоо" форум дээрх зарлал
Энэ тохиолдолд халдагч өөрийгөө идэвхгүй аргуудаар хязгаарлахгүй - довтолгооны векторуудын бүх боломжит хослолыг ашиглан хүссэн үр дүнд хүрэх хүртлээ сайт руу дайрах болно.
Дараах үйлдлүүдийг багтаасан аюулгүй байдлын иж бүрэн аудит нь сайтын аюулгүй байдлыг ихээхэн нэмэгдүүлэхэд тусална.
- Серверийн бүрэлдэхүүн хэсгүүдийн эмзэг байдлыг хайх;
- Серверийн вэб орчин дахь эмзэг байдлыг хайх;
- Дурын кодыг алсаас гүйцэтгэх эсэхийг шалгах;
- Тарилга байгаа эсэхийг шалгах (код тарих);
- Вэб нөөцийн баталгаажуулалтын системийг тойрч гарах оролдлого;
- Вэб нөөцийг "XSS" / "CSRF"-ийн эмзэг байдлыг шалгах;
- Давуу эрхтэй дансуудыг (эсвэл ийм дансны сессийг) таслан зогсоох оролдлого;
- Remote File Inclusion / Local File Inclusion хийх оролдлого;
- Мэдэгдэж буй сул талуудтай бүрэлдэхүүн хэсгүүдийг хайх;
- Бусад сайт руу чиглүүлэлт байгаа эсэхийг шалгаж, дахин чиглүүлэлт нээх;
- Brute force болон "google hack" ашиглан лавлах болон файлуудыг сканнердах;
- Хайлтын маягт, бүртгэлийн маягт, зөвшөөрлийн маягт гэх мэт дүн шинжилгээ хийх;
- Нууц, нууц мэдээллийг нээлттэй олж авах боломжийг нөөцийг шалгах;
- Уралдааны нөхцөл байдлын ангиллын дайралт;
- XML объектуудыг оруулах;
- Нууц үг сонгох.
Вэб сайтын аюулгүй байдлын аудит нь компанийн нөөцийн аюулгүй байдлын зохих үнэлгээ, илэрсэн эмзэг байдлын талаархи бүрэн мэдээлэл, халдлагын боломжит хувилбарууд, тэдгээрийг арилгах зөвлөмжийг авах боломжийг олгодог идэвхтэй арга хэмжээ юм. Энэ нь үнэн хэрэгтээ үйл явдал биш, харин компанийн вэбсайтын бизнесийн үйл явцын аюулгүй байдлыг хангах, бизнесийн нэр хүндийг хадгалах, эдийн засгийн өсөлт, бизнесийг хөгжүүлэх тасралтгүй үйл явц юм.
Таны сайт халдагчдын халдлагад өртөх хүртэл хүлээх хэрэггүй - вэбсайтын аюулгүй байдлын иж бүрэн аудитыг мэргэжлийн хүмүүсээс захиалаарай.
Мэдээллийн аюулгүй байдлын ач холбогдол жил бүр нэмэгдэж байна, учир нь залилан мэхлэх явдал газар авч, залилан мэхлэх шинэ аргууд вэб дээр гарч ирдэг. Интернет дэх залилан хийх хамгийн энгийн сонголтуудын нэг бол хортой холбоосыг түгээх явдал юм. Ийм холбоос дээр дарснаар хэрэглэгч халдагчдын сайт руу орж, вирус, арын хаалга болон бусад хортой програмыг татаж авах боломжтой. Хүмүүс өдөр бүр бие биедээ нийтлэл, файл, видео болон бусад контент руу линк илгээж, анхаарал халамж багасдаг тул энэ арга түгээмэл байдаг. Хэрэглэгчид бүх холбоосууд нь танил, аюулгүй, найдвартай сайтууд руу хөтөлж, хулганаар товшсон зүйлийнхээ текстийг харахаа больдог гэдэгт дасдаг.
Зарим сайтууд компьютерээс ажиллахад үнэхээр хэвийн харагддаг. Гэсэн хэдий ч, тэдгээрт мобайл төхөөрөмжөөс хандсанаар та тааламжгүй контент бүхий сайт руу орох боломжтой бөгөөд энэ нь төхөөрөмжийг зүгээр л хаах болно. Дахин чиглүүлэлт нь огт анзаарагдахгүй байж болох тул хүчирхэг хэрэглэгчид утас, таблет дээрх холбоос дээр дарахаас татгалздаг.
Халдварын улмаас учирч болох хохирлоос зайлсхийхэд туслах хэдэн энгийн зөвлөмжийг энд оруулав.
Санаж байна уу!Луйварчид үнэнч шударга иргэдийг хууран мэхлэхийг үргэлж хичээж, залилан мэхлэх шинэ аргуудыг гаргаж ирдэг тул байнгын шинэчлэлтийг шаарддаг. Шийдвэр гаргахаасаа өмнө үргэлж бодож үзээрэй, рефлекс, автомат үйлдэлд бүү найд!
Аргын дугаар 1. Докторыг онлайнаар шалгана уу. вэб
Вирусны эсрэг програм хөгжүүлэгчийн вэбсайт дээр Dr. Вэб нь интернетээс ямар ч холбоосыг онлайнаар шалгах функцтэй хуудастай. Та алдартай вирусны эсрэг багц компаниудын эзэмшдэг ижил төстэй сайтуудыг өөрөө олж болно.
Доктор дээр. Вэб Та холбоос оруулах мөрийг олох болно. Баталгаажуулах шаардлагатай холбоосыг болгоомжтой хуулж (үүнийг дагаж мөрдөхгүй), мөрөнд буулгана уу. Баталгаажуулахын тулд URL бүхэлд нь шаардлагатай.
Товчлуур дээр дараад үр дүн гарч ирэхийг хүлээнэ үү. Нээгдсэн цонхонд та оруулсан URL болон түүнд агуулагдах бүх хүүхдийн холбоосын талаархи дэлгэрэнгүй мэдээллийг олох болно.
Аргын дугаар 2. 2ip
2ip.ru бол интернетийн орос хэлээр ярьдаг сегментэд маш их хэрэгтэй мэдээлэл, тохиромжтой функцуудыг агуулсан алдартай сайт юм. Тэдний нэг нь сайтад вирус байгаа эсэхийг шалгах явдал юм.
2ip.ru руу орж, тусгай мөрөнд шалгах холбоосын хаягийг оруулаад "Шалгах" дээр дарсны дараа үр дүнг хүлээнэ үү.
Энэ үйлчилгээ болон Др. Вэб бол Dr. Вэб нь бүх хүүхдийн холбоосын бүрэн тайланг өгч, илүү дэлгэрэнгүй мэдээлэл өгдөг.
Видео - Аюулгүй байдлын үүднээс холбоосыг хэрхэн шалгах вэ
Саяхан интернет нь вирусын гол амьдрах орчин болсон, учир нь зөвхөн тэнд л үр дүнтэй байж чаддаг тархалтхэрэглэгчийн компьютер дээр. Системүүд диск эсвэл флаш картаар халдварладаг байсан үе өнгөрсөн. Татаж авсан мэдээллийн хэмжээ нэмэгдэхийн хэрээр хэрэглэгчид интернетээс ирэх аюулыг хийсвэр, өөрт нөлөөлөхгүй зүйл гэж ойлгодог тул халдвар авсан компьютерийн тоо нэмэгдсээр байна.
Харамсалтай нь тийм биш. Аюулгүй байдлын үндсийг үл тоомсорлох нь бидний хадгалсан өгөгдлийг алдагдуулж болзошгүй юм хатуу дискүүд. Томоохон корпорацуудын компьютерын халдвар нь шинж тэмдэг болсон ransomware вирус, энэ нь түгжээг тайлахын тулд мөнгө авч, өгөгдлийг шифрлэсэн. Тэдний ихэнх нь анхаарал болгоомжгүй байдлаас болж өвчилсөн.
Халдвараас урьдчилан сэргийлэх
Юуны өмнө та вирусны эсрэг програм ашиглах хэрэгтэй. Тэдний ихэнх нь чадвартай шүүлтүүрзамын хөдөлгөөн, урьдчилгаа анхааруулганээгдэж буй нөөцөд нуугдаж буй аюулын талаар хэрэглэгчид. Үнэгүй хувилбарууд ч гэсэн таны компьютерийн хамгаалалтыг ихээхэн сайжруулж чадна.
Хоёрдугаарт, та явах хэрэгтэй хөтчүүд, дотор нь суулгасан вэбсайт шалгах. Тэд тодорхой сайт дээр хэрэглэгчдийг хүлээж буй аюулын талаар анхааруулдаг. Эдгээрийн нэг нь - Yandex хөтөч. Үүн дээр анхдагчаар суулгасан залгах, сайтыг сканнердаж, илэн далангүй хортой нөөцөд хандах хандалтыг хязгаарлах. Хэрэв хэрэглэгч ийм хуудас руу нэвтрэхийг оролдвол аюулын тухай анхааруулга, табыг хаах саналыг харах болно.
Гуравдугаарт, оролдоорой гаталж болохгүйнийгмийн сүлжээн дэх сэжигтэй холбоосууд дээр. Вконтакте өөрөө сайт нь аюултай байж болзошгүйг анхааруулж байгаа тул үйлчилгээний зөвлөгөөг үл тоомсорлож болохгүй. Ихэнх халдварууд ийм байдлаар тохиолддог.
Баталгаажуулахын тулд Google ашиглаж байна
Энэ сонголт нь тэдний бүтээлүүд World Wide Web-ийн хэрэглэгчдэд хор хөнөөл учруулахгүй байхыг хүсч буй сайт эзэмшигчдэд тохиромжтой. Хэрэв сайт танд харьяалагдахгүй бол хайлтын системээр дамжуулан шалгах боломжгүй болно.
Эхлэхийн тулд тийшээ явцгаая вэбмастер самбар. Энэ нь google.com/webmasters/tools/home дээр байрладаг (та Google бүртгэлдээ нэвтэрсэн байх шаардлагатай). Үүний дараа товчлуур дээр дарна уу " Нөөц нэмэх” гэж бичээд хайрцагт сайтын холбоосыг оруулна уу. Үүний дараа "дарна уу. Нэмэх». 
Үүний дараа бидэнд хэрэгтэй болно батлахсайтын эрх. Үүнийг хийхийн тулд та HTML загварыг нөөц дээр байрлуулах хэрэгтэй бөгөөд ингэснээр Google биднийг таних боломжтой болно. Бид зааврын дагуу бүх үйлдлүүдийг хийж, товшино уу " Баталгаажуулах». 
Баталгаажуулсны дараа бид сайтынхаа талаарх бүх мэдээллийг харах боломжтой. Үүнийг хийхийн тулд табыг сонгоно уу " Аюулгүй байдлын асуудал". Хэрэв хуудсан дээр вирус байгаа бол систем энэ талаар бидэнд мэдэгдэх болно. Үгүй бол бид ийм дүр зургийг харах болно. 
Yandex вирус байгаа эсэхийг шалгах
Ерөнхийдөө Yandex-д бид Google-тэй ижил процедурыг давтана.
Доктор Вэб ба Касперский
Ихэнх тохиолдолд энэ хоёр үйлчилгээгээр дамжуулан сайтыг шалгаснаар тухайн сайт вирус агуулаагүй гэдэгт 97% итгэлтэй байж болно. Эдгээр лабораториуд нь вирусын эсрэг программ боловсруулахад олон жил зарцуулсан тул тэдний чадварт эргэлзэх зүйл алга. Доктор Вэбээс эхэлцгээе.
Бид явнаалбан ёсны вэбсайт руу vms.drweb.ru/online. Вирусыг шалгахаас гадна та өргөн сонголтыг харж болно мэдээлэлвирус ба тэдгээрийн тархалтын талаар. Хуудасны гол хэсэг нь дунд хэсэгт байрлах хаягийн талбар юм холбоосыг оруулна уушалгаж байгаа нөөц дээр дарж " Баталгаажуулах». 
Хэсэг хугацааны дараа бид хийсэн шалгалтын нарийвчилсан тайлбар, хуудасны аюул, аюулгүй байдлын талаархи дүгнэлтийг хүлээн авах болно. 
Ажил" Касперский' ижил зарчим дээр баригдсан. Гэсэн хэдий ч энд бид бас шалгаж болно файлууд. Оруулна уу URLхаягийн мөрөнд товшино уу баталгаажуулах.
Өмнөх үйлчилгээнээс ялгаатай нь бид шалгалтын дэлгэрэнгүй мэдээллийг өгдөггүй, гэхдээ тэр даруй үр дүнг өгдөг. 
Бусад онлайн үйлчилгээ
Өмнө нь авч үзсэн зүйлсээс гадна холбоосыг шалгах бусад үйлчилгээнүүд байдаг:
Бидэнд холбоосыг дагахыг санал болгодог нь ихэвчлэн тохиолддог.
Тэгээд бид айж байна. Учир нь бидний орох гэж буй сайт бидний компьютерт аюулгүй гэдэгт итгэлгүй байна.
Би Virustotal.com/ru сайтаас надад үл мэдэгдэх бүх холбоосыг шалгадаг.
Гэхдээ Интернет дээр та үүнийг хийх боломжтой өөр олон сайтууд байдаг. Би Virustotal-ийг өөртөө сонгосон тул энэ сайтын жишээг ашиглан тайлбарлах болно.
Мөн та Dr.WEB дээрх холбоосын аюулгүй байдлыг шалгаж болно
бодит цаг хугацаанд, онлайнаар - энэ хуудсыг орхихгүйгээр.
Хуудасны доод талд - Dr.WEB сайт, холбоосыг шалгах зориулалттай.
Virustotal.com/en дээр. бодит цаг хугацаа, онлайн
Нэгдүгээрт, холбоосыг орос хэл дээр шалгахын тулд -
та Google Chrome эсвэл Internet Explorer хөтчөөр Virustotal.com/ru руу очих хэрэгтэй. Учир нь Mozilla Firefox, Safari, Opera нь текстийг англи хэлнээс орос хэл рүү шууд орчуулдаггүй. Safari хөтөч дээр нээгдсэн Virustotal.com/en сайтын дэлгэцийн агшинг доор харуулав.
Мэдээжийн хэрэг, та орчуулгагүйгээр холбоосыг шалгаж болно. Үүнийг хийхийн тулд "URL скан хийх" холбоос дээр дарна уу (доор нь улаанаар зурсан). Таны URL-г бичих газар ижил төстэй цонх нээгдэнэ, i.e. шалгахыг хүссэн холбоосоо оруулаад доорх том цэнхэр "Scan in!" товчийг дарна уу. (сканнердах) ба богино хугацааны дараа танд үр дүнг өгөх болно. Гэхдээ бас англи хэл дээр.
Virustotal.com дээр компьютер дээрх сэжигтэй файлыг хэрхэн шалгах вэ
Компьютерээс файлыг хэрхэн шалгах вэ
Virustotal.com/ru дээрээс вирус болон троянуудын хувьд
Дэлгэцийн зургийн дээд талд "Илрүүлэх харьцаа:" гэсэн мөрөнд 0/20 гэсэн хэсэг байгааг харж болно. Зүүн талд тэг гэдэг нь энэ холбоосыг шалгахад оролцсон сканнеруудын хэн нь ч шалгагдсан сайтаас ямар нэгэн хортой зүйл илрүүлээгүй гэсэн үг юм. Хэрэв нэг буюу хэд хэдэн сканнер шалгаж байгаа сайт дээр сөрөг зүйл илрүүлбэл 0-ийн оронд сөрөг тоймуудын тоог харуулсан тоо гарч ирэх бөгөөд энэ тооны өнгө нь ногоон биш, шар эсвэл улаан байх болно.
Баруун талд байгаа 20 дугаар - оролцогчдын тоог харуулна
URL-уудыг мөлхөж, "цэвэр сайт" тоймыг хүснэгтэд оруулах. Хэрэв нэг буюу хэд хэдэн сканнер шалгаж байгаа сайт дээр ямар нэгэн сөрөг зүйл илрүүлбэл, ногоон өнгийн "цэвэр сайт" -ын оронд сайт болон энэ оруулгын өнгө ногоон байхаа болино гэсэн дүгнэлт гарах болно. Мөлхөж буй үр дүнд "үнэлгээгүй сайтууд" нь "үнэлгээгүй" гэсэн утгатай.
Баруун дээд хэсэгт байгаа дүрс нь шалгагдсан холбоосын нэр хүндийг илтгэнэ. Доош улаан эрхий хуруу, тоо нь сөрөг шүүмж, дээш ногоон эрхий хуруу, тоо нь сайн үнэлгээг харуулж байна.
Энэ тоймыг хийх үед миний сайт дөнгөж таван сартай байгаа тул -
тэгвэл сайтын нэр хүндийн тухай дүрсэнд тэг байх нь зүйн хэрэг.
Муу ч биш, сайн ч биш.
