Isu Keselamatan Laman Web

Laman web/ perniagaan dalam talian adalah punca utama pendapatan hari ini walaupun kebanyakan pemilik laman web untuk mendapatkan keperluan Isu Keselamatan Laman Web. Dengan memiliki jualan perniagaan Keselamatan Laman Web yang betul dapat meningkatkan manifold. Pelanggan mengadu bahawa keselamatan laman web adalah sebab utama mengapa mereka melakukan atau tidak membeli-belah di laman web tertentu. Semua orang lebih suka gerbang selamat ketika membuat transaksi dalam talian. Malangnya, jenayah internet adalah salah satu daripada jenayah.

Secara kerap kita mendengar tentang isu-isu keselamatan laman web seperti maklumat hacked atau kad kredit yang dicuri dan mendapat grimy dengan virus. Ini boleh menyebabkan laman web anda serta reputasi anda, banyak kerosakan. Program seperti Trojans, worm, malware dan spyware melampirkan diri mereka ke sistem anda. Kemudian semoga menonton atau merekodkan apa yang anda lakukan. Oleh itu, maklumat peribadi anda boleh didedahkan kerana keselamatan laman web yang lemah.

Isu Keselamatan Laman Web & Bagaimana Mengatasinya?

Sesetengah contoh isu keselamatan laman web adalah butir-butir perbankan dan alamat rumah anda boleh diserahkan kepada penjenayah yang kemudiannya dapat menargetkan anda. Penjenayah boleh menggunakan maklumat yang mereka kumpulkan cara untuk meneruskan motif mereka sendiri. Ia juga boleh menjejaskan keselamatan keluarga, rakan atau pekerja.

Terdapat banyak jenis dan tahap keselamatan yang melindungi setiap bahagian laman web. Perisian anti-virus, menjalankan laman web anda melalui sambungan terenkripsi, mengesahkan bahawa laman web anda sah dengan memaparkan dasar privasi dan meterai amanah, yang mempunyai PCI scan dilakukan sekurang-kurangnya setiap suku tahun. Mereka proaktif untuk menjaga laman web anda sekarang dengan dunia teknologi yang selalu berubah.

Pada mulanya, anda harus memilih penyedia hosting web yang berhati-hati tentang keselamatan pelayan. Di samping itu, anda boleh mengekalkan pusat keselamatan berasingan untuk tapak web anda dan mengelakkan isu keselamatan laman web di mana anda menjalankan imbasan dan kemas kini biasa. Laman web anda sering mewakili wajah awam perniagaan anda. Keselamatan laman web adalah penting kerana anda melakukan semua yang anda dapat menjamin tapak selamat untuk anda dan pelanggan anda.

 Isu Keselamatan Laman Web, Risiko dan Ancaman

Apakah jenis-jenis isu keselamatan laman web, risiko dan ancaman, dan apa yang boleh menjadikan perniagaan dan tapak web anda menjadi sasaran yang menarik atau mudah? Banyak perniagaan kecil merasakan mereka tidak mewakili sasaran yang berbaloi kepada penyerang, tetapi seperti yang anda baca, andaian ini salah nyata. Semua entiti dalam talian menghadapi pelbagai risiko keselamatan dan ancaman yang harus difahami dan dinilai.

Risiko Keselamatan

Pelanggan iWeb kini boleh meningkatkan keselamatan laman web mereka menggunakan rangkaian perkhidmatan laman web baru kami, termasuk Firewall, perlindungan DDoS, pengoptimuman penghantaran kandungan (CDN) dan pemantauan keselamatan.

 

 Jenis Ancaman Keselamatan

Ancaman keselamatan laman web berevolusi secepat teknologi yang mereka cari untuk berkompromi. Pangkalan data CVE (Kerentanan Umum & Pendedahan) sahaja termasuk lebih daripada 59,000 ancaman keselamatan maklumat yang diketahui, dan carian dalam pangkalan data untuk apache membawa senarai lebih dari 500 kerentanan yang diketahui.

Walaupun teknik yang digunakan untuk mengakses data dan menukar kod berbeza-beza, pelanggaran keselamatan biasanya mempunyai salah satu daripada empat matlamat berikut:

  • Akses pangkalan data dan kecurian atau rasuah data peribadi atau sensitif
  • Mengubah kod laman web untuk mengubah apa yang pengguna lihat
  • Memintas data peribadi dan sensitif
  • Serangan Penafian Perkhidmatan (DoS) yang menyebabkan perkhidmatan tidak tersedia

Mengapa isu ini terjadi? – Motivasi penggodam

Motivasi para hacker untuk menyerang pelbagai laman web daripada mendapatkan maklumat yang sangat khusus, untuk memudahkan serangan terhadap sasaran yang lebih besar, untuk menghadapi cabaran mengubah laman web yang terkenal atau dilindungi dengan baik. Sesetengah perkara boleh menggalakkan serangan keselamatan, dan ini digariskan di bawah. Jika anda seorang SMB dan anda fikir ini hanya terpakai kepada syarikat besar, berfikir lagi.

  1. Data dan maklumat yang berharga

Maklumat yang lebih berharga dalam pangkalan data laman web anda, semakin besar kemungkinannya untuk disasarkan. Sekiranya rekod anda termasuk maklumat sensitif atau kewangan yang boleh memudahkan penipuan, pangkalan data anda akan lebih menarik kepada penggodam yang boleh menggunakan atau menjual maklumat ini untuk keuntungan kewangan.

Sebagai cara untuk melindungi pengguna terhadap risiko seperti ini, e-dagang dan laman web lain yang mengumpul kredit dan pembayaran pelanggan mestilah mematuhi PCI (Industri Kad Pembayaran).

Ingat bahawa walaupun maklumat peribadi asas juga boleh menjadi berharga. Ia mungkin digunakan untuk meniru seseorang, menyebarkan perisian hasad atau semata-mata sebagai cara untuk mengganggu perkhidmatan anda untuk motivasi peribadi.

 

  1. Pengintipan industri dan politik

Maklumat dalam pangkalan data anda atau pelayan syarikat anda mungkin tidak berguna kepada penipu, tetapi mungkin sangat berguna untuk bersaing atau syarikat, industri atau bahkan pemerintah yang bersaing. Data yang dicuri atau nama pengguna dan kata laluan boleh memberikan seseorang yang mempunyai akses kepada akaun dan data pelanggan anda, atau kepada perisikan, fail rahsia atau e-mel organisasi anda.

Blооmbеrg melaporkan:

China telah membuat pengintasan perindustrian sebagai sebahagian daripada dasar ekonominya, mencuri rahsia syarikat untuk membantu ia melonjak ke atas A.S. dan pesaing luar negara lain untuk meneruskan matlamatnya untuk menjadi ekonomi terbesar dunia, pegawai perisikan A.S. telah membuat kesimpulan dalam laporan yang dikeluarkan bulan lepas..”

Sekiranya anda membezakan atau kelebihan persaingan anda berpunca daripada kepintaran atau kod proprietari, atau bahkan dari kelebihan atau kempen penggerak yang anda mahu teruskan, anda boleh menjadi sasaran pengintipan atau pencurian.

 

  1. Menjadi sasaran yang mudah

Pengimbasan kelemahan automatik, digabungkan dengan interaksi sosial yang semakin berpecah belah antara perniagaan dan pelanggan mereka, bermakna SMB yang meletakkan sumber yang lebih sedikit ke arah memerangi ancaman mewakili jumlah sasaran yang semakin mudah semakin meningkat. Menurut Symantec.com, sasaran serangan terhadap perniagaan kecil menyumbang 31% daripada semua serangan keselamatan pada tahun 2012, dari 18% pada tahun sebelumnya.

Aplikasi Web Pengesan mengesan mengimbas laman web untuk konfigurasi pelayan tidak selamat dan lain-lain kelemahan keselamatan yang diketahui yang memudahkan serangan seperti XSS (skrip silang tapak), suntikan SQL, pelaksanaan perintah, direktori traversal dan konfigurasi pelayan yang tidak selamat. Jika tapak anda mempunyai kelemahan, semakin banyak kemungkinan mereka akan dikenal pasti dan dieksploitasi oleh penggodam. Sebagai komunikasi melalui peningkatan media sosial, pengguna telah digunakan untuk menerima pemasaran pemasaran dan komunikasi CRM dari syarikat melalui pelbagai media sosial, sering menawarkan kupon, diskaun dan insentif lain. Ini menjadikan penipuan pancingan data – peniruan sebuah organisasi untuk mendapatkan maklumat peribadi dan kewangan, atau menyebarkan perisian hasad – lebih popular dari sebelumnya dengan penyerang yang akan menjadi.

 

  1. Serangan papan luncur

Bukan sahaja perniagaan yang lebih kecil kebal terhadap pengintipan. Mereka yang mempunyai pertahanan keselamatan yang lemah semakin disasarkan sebagai ‘batu loncatan’ terhadap serangan yang lebih berharga terhadap organisasi yang lebih besar di mana mereka adalah pembekal.

Sebagai contoh, penyerang boleh mencuri maklumat peribadi dan fail yang berkaitan dengan salah satu pelanggan anda yang lebih besar untuk mencipta e-mel yang direka dengan baik yang bertujuan untuk seseorang dalam organisasi tersebut (dikenali sebagai “kejuruteraan sosial”). Laman web atau aplikasi anda juga boleh digunakan untuk memudahkan pemasangan perisian hasad pada komputer organisasi sasaran yang diketahui menggunakannya, yang dicapai dengan menyuntikkan kod ke laman web anda untuk mengalihkan pengguna ke laman berasingan, yang kemudian menjejaskan komputer sasaran (dikenali sebagai serangan “lubang penyiraman”).

 

  1. Motivasi bukan kewangan

Tidak semua peretasan mempunyai motif kewangan. Bagi penggodam yang merawat laman web menyerang sebagai sukan, laman web dengan keselamatan terbaik, seperti pakar keselamatan Internet sendiri, boleh membuat sasaran yang mencabar. Begitu juga, laman web dengan musuh politik atau sosial semulajadi boleh menjadi sasaran yang popular.

 

9 tips melindungi laman web anda dari penggodam

Anda mungkin tidak menganggap laman web anda mempunyai apa-apa yang patut digodam, tetapi laman web dikompromikan sepanjang masa. Sebilangan besar pelanggaran keselamatan laman web bukanlah untuk mencuri data anda atau membantutkan laman web anda, sebaliknya cuba menggunakan pelayan anda sebagai penyampai e-mel untuk spam, atau menyiapkan pelayan web sementara, biasanya untuk menyampaikan fail yang menyalahi undang-undang. Cara lain yang biasa untuk menyalahgunakan mesin dikompromi termasuk menggunakan pelayan anda sebagai sebahagian daripada botnet, atau untuk membeli Bitcoins. Anda juga boleh dilanggar oleh ransomware.

Hacking kerap dilakukan oleh skrip automatik yang ditulis untuk menjelajahi Internet dalam usaha untuk mengeksploitasi isu-isu keselamatan laman web yang diketahui dalam perisian. Berikut ialah 10 petua teratas kami untuk membantu memastikan anda dan laman web anda selamat dalam talian.

  1. Pastikan perisian terkini

Ia mungkin kelihatan jelas, tetapi memastikan anda menyimpan semua perisian terkini adalah penting dalam menjaga laman web anda selamat. Ini terpakai untuk kedua-dua sistem pengendalian pelayan dan apa-apa perisian yang mungkin anda jalankan di laman web anda seperti CMS atau forum. Apabila lubang keselamatan laman web ditemui dalam perisian, penggodam cepat mencuba untuk menyalahgunakannya.

Jika anda menggunakan penyelesaian hosting terurus maka anda tidak perlu risau tentang penggunaan kemas kini keselamatan untuk sistem pengendalian seperti syarikat hosting harus menjaga perkara ini. Sekiranya anda menggunakan perisian pihak ketiga di laman web anda seperti CMS atau forum, anda harus memastikan anda cepat memohon sebarang patch keselamatan. Kebanyakan vendor mempunyai senarai mel atau suapan RSS yang memperincikan sebarang isu keselamatan laman web. WordPress, Umbraco dan banyak CMS lain memberitahu anda tentang kemas kini sistem yang ada semasa anda log masuk.

Ramai pemaju menggunakan alatan seperti Composer, npm, atau RubyGems untuk menguruskan pergantungan perisian mereka, dan kelemahan keselamatan yang terdapat dalam pakej yang anda bergantung tetapi tidak memberi perhatian kepada adalah salah satu cara paling mudah untuk ditangkap. Pastikan anda menyimpan ketergantungan anda sehingga kini, dan gunakan alat seperti Gemnasium untuk mendapatkan pemberitahuan automatik apabila kelemahan diumumkan di salah satu komponen anda.

 

  1. SQL suntikan

Serangan suntikan SQL adalah apabila penyerang menggunakan medan borang atau URL URL untuk mendapatkan akses ke atau memanipulasi pangkalan data anda. Apabila anda menggunakan standard Transact SQL, mudah untuk tidak memasukkan kod jahat ke dalam pertanyaan anda yang boleh digunakan untuk menukar jadual, mendapatkan maklumat dan memadam data. Anda boleh dengan mudah mencegah ini dengan sentiasa menggunakan pertanyaan ber parameter, kebanyakan bahasa web mempunyai ciri ini dan mudah dilaksanakan.

 

  1. XSS

Serangan skrip lintas tapak (XSS) menyuntik JavaScript berniat jahat ke halaman anda, yang kemudiannya berjalan di pelayar pengguna anda, dan boleh menukar kandungan halaman, atau mencuri maklumat untuk menghantar kembali kepada penyerang. Sebagai contoh, jika anda menunjukkan komen pada halaman tanpa pengesahan, penyerang mungkin menghantar komen yang mengandungi tag skrip dan JavaScript, yang dapat dijalankan di setiap pelayar pengguna lain dan mencuri cookie log mereka, yang membolehkan serangan mengawal akaun setiap pengguna yang melihat komen itu. Anda perlu memastikan bahawa pengguna tidak boleh menyuntikkan kandungan JavaScript aktif ke halaman anda.

Ini adalah kebimbangan khusus dalam aplikasi web moden, di mana muka surat kini dibina terutamanya dari kandungan pengguna, dan dalam banyak kes menjana HTML yang kemudiannya juga ditafsirkan oleh kerangka depan seperti Angular dan Ember. Rangka kerja ini menyediakan perlindungan XSS yang banyak, namun pencampuran pelayan dan penyebaran klien menciptakan jalan serangan yang baru dan lebih rumit juga: tidak hanya menyuntikkan Javascript ke HTML yang efektif, tetapi Anda juga dapat menyuntikkan kandungan yang akan menjalankan kode dengan memasukkan arahan sudut, atau menggunakan Ember pembantu.

Kunci di sini adalah untuk memberi tumpuan kepada bagaimana kandungan yang dijana oleh pengguna anda dapat melepaskan batas yang anda harapkan dan ditafsirkan oleh penyemak imbas sebagai sesuatu yang lain yang anda maksudkan. Ini sama seperti mempertahankan terhadap suntikan SQL. Apabila menghasilkan HTML secara dinamik, gunakan fungsi yang secara eksplisit membuat perubahan yang anda cari (contohnya useelement.setAttribute dan element.textContent, yang akan secara automatik melarikan diri oleh penyemak imbas, daripada menetapkan element.innerHTML dengan tangan), atau gunakan fungsi dalam alat templat anda yang secara automatik melakukan pelarian yang sesuai, bukannya menyusun rentetan atau menetapkan kandungan HTML mentah.

Alat lain yang berkuasa di dalam kotak alat pertahanan XSS adalah Dasar Keselamatan Kandungan (CSP). CSP adalah pengepala pelayan anda boleh dikembalikan yang memberitahu penyemak imbas untuk menghadkan cara dan apa JavaScript dilaksanakan di halaman, contohnya untuk tidak membenarkan menjalankan mana-mana skrip yang tidak dihoskan di domain anda, tidak membenarkan JavaScript dalam talian, atau lumpuhkan eval (). Mozilla mempunyai panduan yang sangat baik dengan beberapa contoh konfigurasi. Ini menjadikannya lebih sukar untuk skrip penyerang berfungsi, walaupun mereka boleh memasukkannya ke halaman anda.

 

  1. Mesej Ralat

Berhati-hati dengan berapa banyak maklumat yang anda berikan dalam mesej ralat anda. Sediakan hanya ralat minimum kepada pengguna anda, untuk memastikan mereka tidak membocorkan rahsia yang ada pada pelayan anda (mis. Kekunci API atau kata laluan pangkalan data). Jangan berikan butiran pengecualian sama ada, kerana ini boleh membuat serangan kompleks seperti suntikan SQL jauh lebih mudah. Pastikan ralat terperinci dalam log pelayan anda, dan tunjukkan pengguna hanya maklumat yang mereka perlukan.

 

  1. Pengesahan bahagian pelayan/ pengesahan borang

Pengesahan hendaklah sentiasa dilakukan di sisi penyemak imbas dan pelayan. Penyemak imbas boleh menangkap kegagalan mudah seperti medan wajib yang kosong dan apabila anda memasukkan teks ke dalam medan nombor sahaja. Walau bagaimanapun, ini boleh dilangkau, dan anda harus memastikan anda menyemak pengesahan ini dan sisi pelayan pengesahan yang lebih mendalam kerana gagal berbuat demikian boleh menyebabkan kod berniat jahat atau kod skrip dimasukkan ke dalam pangkalan data atau boleh menyebabkan hasil yang tidak diingini di laman web anda.

 

  1. Kata Laluan

Semua orang tahu mereka harus menggunakan kata laluan yang kompleks, tetapi itu tidak bermakna mereka selalu lakukan. Adalah penting untuk menggunakan kata laluan yang kuat untuk kawasan pentadbir dan laman web anda, tetapi sama pentingnya untuk menuntut amalan kata laluan yang baik untuk pengguna anda untuk melindungi keselamatan akaun mereka.

Sebanyak pengguna tidak menyukainya, menguatkuasakan keperluan kata laluan seperti minimum sekitar lapan aksara, termasuk huruf besar dan nombor akan membantu melindungi maklumat mereka dalam jangka panjang.

Kata laluan harus sentiasa disimpan sebagai nilai yang disulitkan, sebaiknya menggunakan satu cara algoritma hashing seperti SHA. Menggunakan kaedah ini bermakna apabila anda mengesahkan pengguna, anda hanya pernah membandingkan nilai yang disulitkan. Untuk keselamatan laman web tambahan adalah idea yang baik untuk garam kata laluan, menggunakan garam baru bagi setiap kata laluan.

Sekiranya ada orang yang meretas dan mencuri kata laluan anda, menggunakan kata laluan hashed boleh membantu merosakkan pembatasan, sebagai penyahsulitan mereka tidak mungkin. Yang boleh dilakukan seseorang yang terbaik adalah serangan kamus atau serangan kekerasan, pada asasnya meneka setiap kombinasi sehingga ia mendapat perlawanan. Apabila menggunakan kata laluan masin, proses retak banyak kata laluan adalah lebih perlahan kerana setiap tangkapan harus diasingkan secara berasingan untuk setiap garam + kata laluan yang sangat mahal.

Malangnya, banyak CMS menyediakan pengurusan pengguna keluar dari kotak dengan banyak ciri keselamatan laman web ini yang dibina, walaupun sesetengah konfigurasi atau modul tambahan mungkin diperlukan untuk menggunakan kata laluan masin (pra Drupal 7) atau untuk menetapkan kekuatan kata laluan minimum. Jika anda menggunakan .NET maka ia patut menggunakan pembekal keahlian kerana ia sangat boleh dikonfigurasikan, menyediakan keselamatan laman web yang terbina dan memasukkan kawalan sedia dibuat untuk log masuk dan tetapan semula kata laluan.

 

 

  1. Muat Naik Fail

Membenarkan pengguna memuat naik fail ke laman web anda boleh menjadi risiko keselamatan laman web yang besar, walaupun hanya mengubah avatar mereka. Risiko yang mana-mana fail yang dimuat naik bagaimanapun tidak bersalah boleh dilihat, boleh mengandungi skrip yang apabila dilaksanakan pada pelayan anda membuka laman web anda sepenuhnya.

Sekiranya anda mempunyai borang muat naik fail maka anda perlu merawat semua fail dengan penuh syak wasangka. Jika anda membenarkan pengguna memuat naik imej, anda tidak boleh bergantung pada pelanjutan fail atau jenis mime untuk mengesahkan bahawa fail itu adalah imej kerana ini dengan mudah boleh dipalsukan. Malah membuka fail dan membaca tajuk, atau menggunakan fungsi untuk memeriksa saiz imej bukan bukti penuh. Kebanyakan format imej membenarkan menyimpan seksyen komen yang boleh mengandungi kod PHP yang boleh dilaksanakan oleh pelayan.

Jadi apa yang boleh anda lakukan untuk menghalangnya? Pada akhirnya anda mahu menghentikan pengguna daripada dapat melaksanakan sebarang fail yang mereka muat naik. Secara lalai, pelayan web tidak akan cuba untuk melaksanakan fail dengan sambungan imej, tetapi tidak digalakkan semata-mata untuk memeriksa sambungan fail sebagai fail dengan imej nama .jpg, .php telah diketahui melalui.

Sesetengah pilihan adalah untuk menamakan semula fail pada muat naik untuk memastikan sambungan fail yang betul, atau untuk menukar keizinan fail, misalnya, chmod 0666 supaya tidak dapat dilaksanakan. Jika menggunakan * nix anda boleh membuat fail .htaccess yang hanya membenarkan akses untuk menetapkan fail yang menghalang serangan pelanjutan berganda yang disebut tadi.

 

  1. HTTPS

Protokol Pemindahan Teks Hyper Secure atau HTTPS adalah protokol yang digunakan untuk memberikan keselamatan melalui Internet. HTTPS memberi jaminan kepada pengguna bahawa mereka bercakap dengan pelayan yang mereka harapkan, dan tidak ada orang lain yang boleh memintas atau menukar kandungan yang mereka lihat dalam transit.

Jika anda mempunyai apa-apa yang pengguna anda inginkan peribadi, sangat disyorkan untuk menggunakan hanya HTTPS untuk menghantarnya. Itu tentunya bermakna kad kredit dan halaman log masuk (dan URL yang mereka serahkan kepada) tetapi biasanya lebih jauh dari laman web anda juga. Borang log masuk selalunya akan menetapkan kuki sebagai contoh, yang dihantar dengan setiap permintaan lain ke laman web anda yang dibuat pengguna log masuk dan digunakan untuk mengesahkan permintaan tersebut. Penyerang mencuri ini akan dapat meniru pengguna dengan sempurna dan mengambil alih sesi log masuk mereka. Untuk mengalahkan serangan semacam ini, anda hampir selalu mahu menggunakan HTTPS untuk keseluruhan laman web anda.

Itu tidak lagi rumit atau mahal seperti dulu. Let’s Encrypt menyediakan sijil yang benar-benar bebas dan automatik, yang anda perlukan untuk mendayakan HTTPS, dan terdapat alat-alat komuniti sedia ada yang tersedia untuk pelbagai platform dan rangka kerja yang biasa untuk menetapkan ini secara automatik untuk anda.

Terutama Google telah mengumumkan bahawa mereka akan meningkatkan anda dalam kedudukan carian jika anda menggunakan HTTPS, memberikan keuntungan SEO ini juga. Terdapat kayu untuk pergi dengan wortel itu walaupun: Chrome dan pelayar lain merancang untuk meletakkan amaran yang lebih besar dan lebih besar di setiap laman web yang tidak melakukan ini, bermula dari Januari 2017. HTTP tidak selamat sedang dalam perjalanan keluar, dan kini adalah masa untuk naik taraf.

Sudah menggunakan HTTPS di mana-mana? Pergi lebih jauh dan lihat menetapkan HTTP Strict Transport Security (HSTS), tajuk mudah yang anda boleh tambahkan kepada respons pelayan anda untuk tidak membenarkan HTTP tidak selamat untuk keseluruhan domain anda.

 

  1. Alat keselamatan laman web

Sebaik sahaja anda fikir anda telah melakukan semua yang anda boleh maka sudah tiba masanya untuk menguji keselamatan laman web anda. Cara paling berkesan untuk melakukan ini adalah melalui penggunaan beberapa alat keselamatan laman web. Selalunya dirujuk sebagai ujian penembusan atau ujian pen untuk pendek.

Terdapat banyak produk komersial dan percuma untuk membantu anda dengan ini. Mereka bekerja sama dengan skrip hack yang akan digunakan dalamnya. Mereka menguji semua eksploit yang diketahui dan cuba untuk mengompromikan laman web anda. Dengan menggunakan beberapa kaedah yang disebutkan sebelumnya seperti suntikan SQL.

 

Beberapa alat percuma untuk keselamatan laman web yang patut dilihat:

  • Nеtѕраrkеr (Edisi komuniti percuma dan versi percubaan). Baik untuk ujian suntikan SQL dan OpenSSAS XSS. Tuntutan menjadi pengimbas keselamatan sumber terbuka yang paling canggih. Baik untuk menguji kelemahan yang diketahui, kini mengimbas lebih 25,000. Tetapi ia sukar untuk ditubuhkan dan memerlukan pelayan OpenVAS dipasang yang hanya berjalan pada * nix.
  • OреnVAS adalah garpu Nessus sebelum ia menjadi produk komersial sumber tertutup.
  • SecurityHeaders.io (cek dalam talian percuma). Alat untuk melaporkan dengan cepat mana tajuk keselamatan yang disebut di atas. Seperti CSP dan HSTS) domain telah diaktifkan dan dikonfigurasi dengan betul.
  • Xenotix XSS Exploit Frаmеwоrk Alat daripada OWASP (Projek Keselamatan Aplikasi Terbuka Web). Ini termasuk pemilihan besar contoh serangan XSS. Yang boleh anda jalankan dengan cepat mengesahkan sama ada input tapak anda terdedah dalam Chrome, Firefox dan IE.

Keputusan dari ujian automatik boleh menjadi menakutkan, kerana mereka mempersembahkan banyak masalah potensial. Yang penting adalah untuk memberi tumpuan kepada isu-isu kritikal terlebih dahulu. Setiap isu yang dilaporkan biasanya datang dengan penjelasan yang baik tentang potensi kerentanan. Anda mungkin akan mendapati bahawa beberapa isu sederhana / rendah tidak menjadi perhatian terhadap tapak anda.

Lebih-lebih lagi, jika anda ingin mengambil langkah yang lebih jauh, anda boleh mengambil secara manual untuk mengompromikan laman web anda. Ia boleh dilakukan dengan mengubah nilai POST/ GET. Proksi debugging boleh membantu anda di sini kerana ia membolehkan anda memintas nilai permintaan HTTP. Ia antara penyemak imbas dan pelayan anda. Aplikasi freeware popular yang dipanggil Fiddler adalah titik permulaan yang baik.

Jadi apa yang perlu anda cuba untuk mengubah permintaan itu? Jika anda mempunyai halaman yang hanya boleh dilihat oleh pengguna log masuk. Kemudian saya akan cuba menukar parameter URL. Seperti id pengguna, atau nilai cookie dalam usaha untuk melihat butiran pengguna lain. Selain daripada itu, satu lagi ujian yang bernilai adalah bentuk. Seperti mengubah nilai POST untuk cuba menghantar kod untuk melaksanakan XSS atau memuat naik skrip sisi pelayan.

Semoga tip ini akan membantu memastikan laman dan maklumat anda selamat. Syukurlah kebanyakan CMS mempunyai banyak ciri keselamatan laman web yang terbina. Tetapi, masih merupakan idea yang baik untuk mengetahui tentang eksploit keselamatan yang paling umum. Jadi anda boleh memastikan anda dilindungi.