អ្នកជំនាញ Semalt: វិធីប្រាកដប្រជាដើម្បីការពារគេហទំព័រពីអ្នកវាយប្រហារ
មនុស្សភាគច្រើនគិតថាគេហទំព័ររបស់ពួកគេមិនមានអ្វីសំខាន់ដែលត្រូវគេលួចចូលនោះទេ។ វេបសាយមួយអាចត្រូវបានសម្របសម្រួលដោយពួក Hacker ដើម្បីប្រើម៉ាស៊ីនមេដើម្បីបញ្ជូនសារឥតបានការឬប្រើវាជាម៉ាស៊ីនបម្រើបណ្តោះអាសន្នដើម្បីផ្ទុកឯកសារខុសច្បាប់។ ពួក Hacker បានកំណត់គោលដៅម៉ាស៊ីនមេវេបសាយទៅនឹងប៊្លុកខ្យូមីនដើរតួជាបណ្តាញអ៊ីនធឺណិតឬតំរូវការសំរាប់ឧបករណ៍លោះ។ ពួក Hacker ប្រើស្គ្រីបដោយស្វ័យប្រវត្តិដើម្បីរំលោភលើអ៊ីនធឺណិតក្នុងគោលបំណងទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះនៅក្នុងកម្មវិធី។
ខាងក្រោមនេះជាគន្លឹះខ្លះៗដែលរៀបចំដោយលោក Igor Gamanenko ដែលជាអ្នកគ្រប់គ្រងជោគជ័យរបស់អតិថិជន Semalt ដើម្បីការពារអ្នកនិងគេហទំព័ររបស់អ្នក។
កម្មវិធីទាន់សម័យ
ផ្នែកទន់ប្រតិបត្តិការរបស់ម៉ាស៊ីនមេនិងកម្មវិធីជំនួយណាមួយគួរតែត្រូវបានធ្វើបច្ចុប្បន្នភាពជាប្រចាំ។ ភាពងាយរងគ្រោះណាមួយនៅក្នុងសូហ្វវែរផ្តល់ឱ្យពួក Hacker នូវចន្លោះប្រហោងងាយស្រួលក្នុងការរៀបចំនិងបង្ហាញពីបំណងមិនល្អរបស់ពួកគេ។ ប្រសិនបើក្រុមហ៊ុនបង្ហោះគ្រប់គ្រងវែបសាយរបស់អ្នកពេលនោះអ្នកមិនមានអ្វីត្រូវព្រួយបារម្ភទេព្រោះក្រុមហ៊ុនម្ចាស់ផ្ទះគួរតែថែរក្សាសុវត្ថិភាពគេហទំព័រ។ រាល់ពាក្យសុំរបស់ភាគីទីបីគួរតែត្រូវបានធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់ដើម្បីអនុវត្តបំណះសន្តិសុខថ្មី។
ការចាក់បញ្ចូល SQL
ពួក Hacker ប្រើការវាយប្រហារដោយចាក់ដើម្បីរៀបចំមូលដ្ឋានទិន្នន័យរបស់គេហទំព័រ។ ការប្រើប្រាស់ SQL Transact ស្តង់ដារធ្វើឱ្យវាកាន់តែងាយស្រួលក្នុងការបញ្ចូលលេខកូដព្យាបាទទៅក្នុងសំណួរដែលអាចត្រូវបានប្រើដើម្បីរៀបចំតារាងឬលុបទិន្នន័យ។ ដើម្បីចៀសវាងបញ្ហានេះតែងតែប្រើសំណួរដែលមានលក្ខណៈកំណត់ដូចជាសំណួរដែលបានបង្ហាញខាងក្រោម៖
$ stmt = $ pdo-> រៀបចំ ('SELECT * FROM តារាង WHERE ជួរឈរ =: តម្លៃ');
$ stmt-> ប្រតិបត្តិ (អារេ ('តម្លៃ' => $ ប៉ារ៉ាម៉ែត្រ));
ឆ្លងកាត់ស្គ្រីបគេហទំព័រ
ទំរង់នៃការវាយប្រហារទាំងនេះចាក់បញ្ចូលកូដ JavaScript យ៉ាងសាហាវទៅក្នុងគេហទំព័រដែលដំណើរការលើកម្មវិធីរុករកអ៊ីនធឺណិតដោយអនាមិកនិងអាចផ្លាស់ប្តូរមាតិកាគេហទំព័រឬលួចយកព័ត៌មានរសើបដើម្បីបញ្ជូនត្រលប់ទៅពួក Hacker វិញ។ អ្នកគ្រប់គ្រងគេហទំព័រត្រូវតែធានាថាអ្នកប្រើប្រាស់មិនអាចចាក់បញ្ចូលមាតិកា JavaScript ដោយជោគជ័យនៅលើទំព័ររបស់អ្នក។ ការប្រើប្រាស់ឧបករណ៍ដូចជាគោលការណ៍សន្តិសុខមាតិកាណែនាំគេហទំព័រដើម្បីកំណត់លើរបៀបនិងអ្វីដែល JavaScript ដំណើរការលើទំព័រ។
សារកំហុស
អ្នកគ្រប់គ្រងគេហទំព័រគួរតែប្រុងប្រយ័ត្នចំពោះព័ត៌មានដែលបង្ហាញនៅក្នុងសារកំហុសរបស់អ្នក។ ផ្តល់តែកំហុសដែលមានកំណត់ដល់អ្នកប្រើដើម្បីធានាថាពួកគេមិនផ្តល់ទិន្នន័យសម្ងាត់លើម៉ាស៊ីនមេរបស់អ្នកដូចជាពាក្យសម្ងាត់ឬលេខកូដ API ។
ពាក្យសម្ងាត់
វាមានសារៈសំខាន់ខ្លាំងណាស់ក្នុងការប្រើពាក្យសម្ងាត់ស្មុគស្មាញដើម្បីចូលប្រើម៉ាស៊ីនមេឬផ្នែកគ្រប់គ្រងគេហទំព័ររបស់អ្នក។ អ្នកប្រើប្រាស់គួរតែត្រូវបានលើកទឹកចិត្តឱ្យប្រើពាក្យសម្ងាត់រឹងមាំដើម្បីធានាគណនីរបស់ពួកគេ។ បន្សំនៃអក្សរធំអក្សរតូចលេខនិងតួអក្សរពិសេសបង្កើតបានជាពាក្យសម្ងាត់សុវត្ថិភាព។ ពាក្យសម្ងាត់គួរត្រូវបានរក្សាទុកដោយប្រើក្បួនដោះស្រាយដែលមានការគិតខ្លី។ សុវត្ថិភាពគេហទំព័រអាចត្រូវបានធ្វើឱ្យប្រសើរឡើងដោយប្រើអំបិលថ្មីនិងតែមួយសម្រាប់ពាក្យសម្ងាត់។
ផ្ទុកឯកសារឡើង
ដើម្បីទប់ស្កាត់ការប៉ុនប៉ងលួចស្តាប់វាគួរតែជៀសវាងការចូលប្រើឯកសារដែលបានផ្ទុកឡើងដោយផ្ទាល់។ រាល់ឯកសារដែលផ្ទុកចូលក្នុងគេហទំព័ររបស់អ្នកគួរតែត្រូវបានរក្សាទុកនៅក្នុងថតឯកសារដាច់ដោយឡែកមួយនៅខាងក្រៅ Webroot ។ ស្គ្រីបផ្សេងទៀតគួរតែត្រូវបានបង្កើតឡើងដើម្បីទៅប្រមូលយកឯកសារពីថតឯកសារឯកជនហើយយកវាទៅក្នុងកម្មវិធីរុករក
HTTPS
វាជាពិធីការដែលផ្តល់នូវសុវត្ថិភាពនៅលើគេហទំព័រ។ វាធានាដល់អ្នកប្រើប្រាស់ថាពួកគេកំពុងចូលប្រើម៉ាស៊ីនមេដែលពួកគេរំពឹងទុកហើយថាគ្មានអ្នកវាយប្រហារណាម្នាក់អាចស្ទាក់ចាប់មាតិកាដែលពួកគេកំពុងឆ្លងកាត់នោះទេ។ គេហទំព័រដែលគាំទ្រប័ណ្ណឥណពន្ធរឺទំរង់ទូទាត់ផ្សេងៗគួរតែប្រើខូឃីស៍ដែលបានផ្ញើតាមការស្នើសុំរបស់អ្នកប្រើប្រាស់។ វាជួយផ្ទៀងផ្ទាត់សំណើដូច្នេះវាអាចរារាំងការវាយប្រហារ។
ប្រើឧបករណ៍សុវត្ថិភាពគេហទំព័រ
នៅពេលដែលអ្នកបានអនុវត្តគ្រប់វិធានការខាងលើការធ្វើតេស្ត៍សុវត្ថិភាពគេហទំព័ររបស់អ្នកមានសារៈសំខាន់ណាស់។ វាត្រូវបានអនុវត្តយ៉ាងល្អបំផុតដោយប្រើឧបករណ៍ធ្វើតេស្តជ្រៀតចូលដែលរួមមាន Netsparker, OpenVAS, Security Headers.io និង Xootix XSS Exploit Framework ។ លទ្ធផលនៃការប្រើប្រាស់ឧបករណ៍នេះបង្ហាញនូវការព្រួយបារម្ភនិងដំណោះស្រាយជឿនលឿនដែលអាចកើតមាន។