denne guiden vil dele de vanligste nettsted hacking teknikker for å hjelpe deg med å forberede ondsinnede angrep.
den lukrative natur Internett har ført til en betydelig økning i antall nettsted hacking teknikker.
Nettkriminelle bruker mange forskjellige verktøy og teknikker for å få tilgang til sensitiv informasjon som finnes på nettet. De angriper ofte nettsteder og nettverksressurser i et forsøk på å presse penger eller stjele eiendeler fra organisasjoner.
for å beskytte deg selv og din bedrift mot nettkriminelle, er det viktig å være klar over hvordan nettstedet hacking teknikker fungerer.
SQL Injection angrep
SQL Injection angrep er den vanligste nettsted hacking teknikk. De fleste nettsteder bruker Structured Query Language (SQL) til å samhandle med databaser.
SQL lar nettstedet opprette, hente, oppdatere og slette databaseposter. Den brukes til alt fra å logge en bruker inn på nettstedet til å lagre detaljer om en e-handel transaksjon.
ET SQL-injeksjonsangrep plasserer SQL i et webskjema i et forsøk på å få programmet til å kjøre DET. For eksempel, i stedet for å skrive ren tekst i et brukernavn eller passordfelt, kan en hacker skrive inn ' OR 1=1
.
hvis programmet legger denne strengen direkte til EN SQL-kommando som er utformet for å kontrollere om en bruker finnes i databasen, vil den alltid returnere true.
dette kan tillate en hacker å få tilgang til en begrenset del av et nettsted. ANDRE SQL-injeksjonsangrep kan brukes til å slette data fra databasen eller sette inn nye data.
Hackere bruker noen ganger automatiserte verktøy for Å utføre SQL-injeksjoner på eksterne nettsteder. De vil skanne tusenvis av nettsteder, teste mange typer injeksjonsangrep til de lykkes.
SQL-injeksjonsangrep kan forebygges ved å filtrere brukerinngang på riktig måte. De fleste programmeringsspråk har spesielle funksjoner for å håndtere brukerinngang som skal brukes i EN SQL-spørring.
Hva er skripting på tvers av nettsteder (XSS)?
skripting på tvers av nettsteder er et stort sikkerhetsproblem som ofte utnyttes av hackere for hacking av nettsteder. Det er en av de vanskeligere sårbarhetene å håndtere på grunn av måten den fungerer på.
Noen av de største nettstedene i verden har jobbet med vellykkede xss-angrep, inkludert Microsoft og Google.
DE FLESTE XSS nettsted hacking angrep bruker skadelige Javascript-skript som er innebygd i hyperkoblinger. Når brukeren klikker på koblingen, kan den stjele personlig informasjon, kapre en webøkt, ta over en brukerkonto eller endre annonsene som vises på en side.
Hackere vil ofte sette inn disse ondsinnede koblingene i nettfora, sosiale medier nettsteder og andre fremtredende steder der brukerne vil klikke på dem.
for å unngå xss-angrep må nettstedseiere filtrere brukerinndata for å fjerne skadelig kode.
Hva er tjenestenekt (DoS / DDoS)?
et tjenestenektangrep oversvømmer et nettsted med en enorm Mengde internettrafikk, noe som gjør at serverne blir overveldet og krasjer.
De Fleste DDoS-angrep utføres ved hjelp av datamaskiner som har blitt kompromittert med skadelig programvare. Eierne av infiserte datamaskiner kan ikke engang være klar over at deres maskin sender forespørsler om data til nettstedet ditt.
Tjenestenektangrep kan forebygges av:
- Rate begrense webserveren router.
- Legge til filtre til ruteren for å slippe pakker fra tvilsomme kilder.
- Slippe falske eller misformede pakker.
- Angi mer aggressive tidsavbrudd på tilkoblinger.
- bruke brannmurer med DDoS-beskyttelse.
- bruk Av Tredjeparts DDoS-begrensningsprogramvare Fra Akamai, Cloudflare, VeriSign, Arbor Networks eller en annen leverandør.
Hva er forfalskning av forespørsler på tvers av nettsteder (CSRF eller XSRF)?
cross-site request forfalskning er en vanlig ondsinnet utnyttelse av nettsteder. Det oppstår når uautoriserte kommandoer overføres fra en bruker som et webprogram stoler på.
brukeren er vanligvis logget inn på nettstedet, slik at de har et høyere nivå av privilegier, slik at hackeren kan overføre midler, få kontoinformasjon eller få tilgang til sensitiv informasjon.
det er mange måter for hackere å overføre smidde kommandoer, inkludert skjulte skjemaer, AJAX og bildekoder. Brukeren er ikke klar over at kommandoen er sendt, og nettstedet mener at kommandoen har kommet fra en godkjent bruker.
hovedforskjellen MELLOM ET xss-og CSRF-angrep er at brukeren må være logget inn og klarert av et nettsted for AT ET csrf-hackingangrep skal fungere.
webområdeeiere kan forhindre csrf-angrep ved å sjekke HTTP-overskrifter for å bekrefte hvor forespørselen kommer fra og sjekke csrf-tokens i webskjemaer. Disse kontrollene vil sikre at forespørselen har kommet fra en side i webapplikasjonen og ikke en ekstern kilde.
HVA ER DNS spoofing (DNS cache forgiftning)?
dette nettstedet hacking teknikk injiserer korrupte domene systemdata i EN DNS resolver cache for å omdirigere der et nettsted trafikk sendes. Det brukes ofte til å sende trafikk fra legitime nettsteder til ondsinnede nettsteder som inneholder skadelig programvare.
DNS-spoofing kan også brukes til å samle informasjon om trafikken som omdirigeres. Den beste teknikken for å forhindre DNS-spoofing er å sette korte TTL-tider og regelmessig fjerne DNS-cacher av lokale maskiner.
Social engineering teknikker
i noen tilfeller er den største svakheten i et nettsteds sikkerhetssystem folkene som bruker det. Sosialteknikk søker å utnytte denne svakheten.
en hacker vil overbevise en nettstedbruker eller administrator om å røpe nyttig informasjon som hjelper dem å utnytte nettstedet. Det finnes mange former for social engineering angrep, inkludert:
Phishing
Brukere av et nettsted blir sendt falske e-poster som ser ut som de har kommet fra nettstedet. Brukeren blir bedt om å oppgi noe informasjon, for eksempel innloggingsdetaljer eller personlig informasjon. Hackeren kan bruke denne informasjonen til å kompromittere nettstedet.
Baiting
dette er en klassisk sosialteknisk teknikk som først ble brukt på 1970-tallet. en hacker vil forlate en enhet nær forretningsstedet ditt, kanskje merket med en etikett som «ansattes lønn».
En av dine ansatte kan plukke den opp og sette den inn i datamaskinen sin av nysgjerrighet. USB-pinnen inneholder skadelig programvare som infiserer datanettverkene dine og kompromitterer nettstedet ditt.
Pretexting
en hacker vil kontakte deg, en av dine kunder, eller en ansatt og later til å være noen andre. De vil kreve sensitiv informasjon, som de bruker til å kompromittere nettstedet ditt.
den beste måten å eliminere social engineering angrep er å utdanne dine ansatte og kunder om slike angrep.
ikke-målrettede nettsted hacking teknikker
i mange tilfeller vil hackere ikke spesifikt målrette nettstedet ditt. Så hva slags nettsted hacking teknikker bruker de da?
de retter seg vanligvis mot et sikkerhetsproblem som eksisterer for et innholdsstyringssystem, plugin eller en mal.
for eksempel kan de ha utviklet noen hackingsteknikker for nettsteder som retter seg mot et sikkerhetsproblem i En bestemt versjon Av WordPress, Joomla eller et annet innholdsstyringssystem.
de vil bruke automatiserte bots for å finne nettsteder som bruker denne versjonen av content management system i spørsmålet før du starter et angrep. De kan bruke sikkerhetsproblemet til å slette data fra nettstedet ditt, stjele sensitiv informasjon eller sette inn skadelig programvare på serveren din.
den beste måten å unngå angrep på nettsteder er å sikre at innholdsstyringssystemet, plugins og maler er oppdatert.