Mengetahui kaedah serangan memungkinkan anda membina strategi pertahanan yang berkesan - peraturan ini relevan tidak hanya di kalangan tentera, tetapi juga di Internet. Dengan memahami bagaimana penggodam meretas laman web, anda akan dapat menutup kemungkinan kelemahan sumber anda terlebih dahulu.
Arahan
Langkah 1
"Mengunggah shell ke laman web" bermaksud menggunakan kerentanan di laman web untuk menyuntikkan skrip berbahaya (shell web) yang membolehkan penggodam untuk mengawal laman web orang lain melalui baris perintah. Shell PHP yang paling ringkas kelihatan seperti ini:
Langkah 2
Seorang penggodam tidak perlu membuat cangkerang webnya sendiri, program seperti itu sudah lama ditulis dan mempunyai sekumpulan fungsi yang sangat besar. Tugas penggodam adalah untuk memuat naik shell siap ke laman web, biasanya suntikan SQL dan PHP digunakan untuk ini.
Langkah 3
Suntikan SQL mengeksploitasi kesilapan dalam akses pangkalan data. Dengan memasukkan kodnya ke dalam permintaan, penggodam dapat memperoleh akses ke fail pangkalan data - misalnya, untuk log masuk dan kata laluan, data kad bank, dll. Suntikan PHP berdasarkan kesalahan dalam skrip PHP dan membolehkan kod pihak ketiga dijalankan di pelayan.
Langkah 4
Bagaimana anda tahu jika laman web anda mempunyai kelemahan? Adalah mungkin untuk memasukkan perintah tertentu secara manual, memberikan nilai ke bar alamat, dan lain-lain, tetapi ini memerlukan pengetahuan tertentu. Juga, tidak ada jaminan bahawa anda akan menguji setiap pilihan yang mungkin. Oleh itu, gunakan utiliti khusus untuk pengesahan - sebagai contoh, program XSpider. Ini adalah program yang benar-benar sah yang dibuat untuk pentadbir rangkaian, dengan bantuannya, anda dapat memeriksa kelemahan anda di laman web anda. Demo boleh didapati dalam talian.
Langkah 5
Terdapat banyak program untuk mencari kelemahan yang dibuat oleh penggodam. Dengan menggunakan utiliti ini, pentadbir dapat memeriksa laman webnya dengan alat yang sama yang mungkin cuba menggodamnya. Untuk mencari alat ini, cari "pengimbas SQL" atau "pengimbas kerentanan PHP". Contoh utiliti yang memungkinkan, dengan adanya kerentanan SQL, untuk mendapatkan maklumat dari pangkalan data, adalah Havij - Advanced SQL Injection Tool. Anda boleh memeriksa laman web anda untuk mengetahui adanya kelemahan SQL menggunakan utiliti penggodam NetDeviLz SQL Scanner. Kerentanan yang dikenal pasti harus segera dihapuskan.
