වෙබ් සේවාදායකයන් හැක් කිරීම - දළ විශ්ලේෂණයක්

වෙබ් සේවාදායකය යනු වෙබ් අඩවි ගබඩා කිරීම, සැකසීම සහ බෙදා හැරීම සඳහා භාවිතා කරන පද්ධතියකි. එය නිර්මාණය කර ඇත්තේ වෙබ් යෙදුම් සත්කාරකත්වය සැපයීම සඳහා වන අතර එමඟින් සේවාදායකයින්ට එම යෙදුම් වෙත ප්‍රවේශ විය හැකිය.

එය සේවාදායක භූමිකාව ඇති ග්‍රාහක-සේවාදායක ආකෘති සැකැස්ම ක්‍රියාත්මක කරන අතර බ්‍රව්සරයට සේවාදායක භූමිකාව ඇත.

වෙබ් සේවාදායකයන් සමන්විත වන්නේ:


  • ලේඛන මූල - වෙබ් අඩවියක HTML ගොනු ගබඩා කරන ෆෝල්ඩරයක්
  • සේවාදායක මූල - වින්‍යාසය, ලොග් සහ ක්‍රියාත්මක කළ හැකි ගොනු ගබඩා කරන ෆෝල්ඩරයක්
  • අතථ්‍ය ලේඛන ගස - වෙනත් තැටියක පිහිටා ඇති ගබඩා වර්ගයක් වන අතර මුල් තැටිය පිරී ඇති විට භාවිතා වේ
  • අතථ්‍ය සත්කාරක - එක් සේවාදායකයක එක් වසමකට වඩා සත්කාරකත්වය
  • වෙබ් ප්‍රොක්සි - සේවාදායකයා සහ සේවාදායකයා අතර තබා ඇති සේවාදායකයක්, එයින් අදහස් කරන්නේ සේවාදායකයා වෙතින් ලැබෙන සියලුම ඉල්ලීම් කෙලින්ම සේවාදායකයට යාම වෙනුවට ප්‍රොක්සි හරහා සේවාදායකයට යන බවයි.


වෙබ් සේවාදායක තර්ජන සහ පහරදීම්

ඕනෑම පරිගණක පද්ධතියක් සේම, වෙබ් සේවාදායකයන් ද සම්මුතියකට ලක් කළ හැකිය. ඉලක්කගත වෙබ් සේවාදායකයන්ට ප්‍රහාර එල්ල කිරීමට සහ අනවසරයෙන් ප්‍රවේශ වීමට ප්‍රහාරකයන් විවිධ උපක්‍රම භාවිතා කරයි.

සමහර ප්‍රහාරවලට ඇතුළත් වන්නේ:


DoS / DDoS ප්‍රහාර

DoS / DDoS ප්‍රහාරය යනු සේවාදායකයා නිසියාකාරව ක්‍රියාත්මක වීම වැළැක්වීම සඳහා ප්‍රහාරකයා ඉලක්කගත වෙබ් සේවාදායකයට ඉල්ලීම් විශාල ප්‍රමාණයක් යවන ප්‍රහාරයකි.

DNS සේවාදායකය කොල්ලකෑම

ඩීඑන්එස් සේවාදායකයා පැහැරගෙන යාමේ ප්‍රහාරය යනු ප්‍රහාරකයා ඩීඑන්එස් සේවාදායකයකු ඉලක්ක කර එහි සිතියම් සැකසීම් සමඟ කෝපයට පත් කිරීම නිසා ප්‍රහාරකයාගේ අනිෂ්ට වෙබ් අඩවියට සේවය කරන ප්‍රහාරකයාගේ රළු සේවාදායකය වෙත ගනුදෙනුකරුවන් යොමු කරයි.

ඩීඑන්එස් විස්තාරණ ප්‍රහාර

ඩීඑන්එස් ඇම්ප්ලිෆිකේෂන් ප්‍රහාරය යනු ප්‍රහාරකයා විසින් පුනරාවර්තන ඩීඑන්එස් විමසුම භාවිතා කරමින් ඉලක්කයේ අයිපී ලිපිනය සමඟ ඉල්ලීම් විශාල ප්‍රමාණයක් ඩීඑන්එස් සේවාදායකයට යැවීමයි.

නාමාවලි සංචාරක ප්‍රහාර

ඩිරෙක්ටරි ට්‍රැවර්සල් ප්‍රහාරය යනු සීමිත ඩිරෙක්ටරි වෙත ප්‍රවේශය ලබා ගැනීම සඳහා ප්‍රහාරකයා ඉලක්කගත URL හසුරුවන ප්‍රහාරයකි.


MITM ප්‍රහාර

මෑන්-ඉන්-ද-මැද ප්‍රහාරය යනු සේවාදායකයා සිට සේවාදායකය දක්වා සහ පසුපසට යන ගමනාගමනය ප්‍රහාරකයා විසින් වළක්වන ප්‍රහාරයකි. ඔවුන් එසේ කරන්නේ ප්‍රහාරකයා ප්‍රොක්සියක් යැයි සිතමින් සේවාදායකයා රැවටීමෙනි. සේවාදායකයා ප්‍රහාරකයාගෙන් සම්බන්ධතාවය පිළිගත් පසු, සේවාදායකයා සහ සේවාදායකයා අතර ඇති මුළු සන්නිවේදනයම ප්‍රහාරකයා හරහා ගොස් තොරතුරු සොරකම් කිරීමට ඉඩ දෙයි.

තතුබෑම් ප්‍රහාර

තතුබෑම් ප්‍රහාරය යනු ප්‍රහාරකයා අනිෂ්ට සබැඳි සමඟ ඉලක්කයට විද්‍යුත් තැපැල් කරන ප්‍රහාරයකි. ඉලක්කය සබැඳිය ක්ලික් කළ පසු, ඒවා අනිෂ්ට වෙබ් අඩවියකට හරවා යවන අතර එමඟින් සංවේදී තොරතුරු සැපයීමට ඔවුන් පොළඹවයි. එවිට ප්‍රහාරකයා මෙම තොරතුරු සොරකම් කරයි.

වෙබ් අඩවි විරූපණය

වෙබ් අඩවි අපවිත්‍ර ප්‍රහාරය යනු ප්‍රහාරකයා ඉලක්ක වෙබ් අඩවියේ අන්තර්ගතයට වෙනස්කම් සිදු කරන ප්‍රහාරයකි.

වෙබ් සේවාදායකයේ වැරදි වින්‍යාසය

වෙබ් සේවාදායකයේ වැරදි වින්‍යාස කිරීමේ ප්‍රහාරය යනු ප්‍රහාරකයා විසින් සේවාදායකයේ වැරදි වින්‍යාසය තුළ ඇති අනාරක්‍ෂිතතාවයන් ගසාකන ප්‍රහාරයකි.


HTTP ප්‍රතිචාර බෙදීම් ප්‍රහාර

HTTP ප්‍රතිචාර බෙදීම් ප්‍රහාරය යනු ප්‍රහාරකයා විසින් ප්‍රතිචාර රේඛා වලට නව රේඛා එන්නත් කරන අතර එමඟින් සේවාදායකයා එක් ප්‍රතිචාරයක් දෙකට බෙදේ. එවිට සේවාදායකයාට එන පළමු ප්‍රතිචාරය පාලනය කිරීමට සහ සේවාදායකයා අනිෂ්ට වෙබ් අඩවියකට හරවා යැවීමට ප්‍රහාරකයාට හැකි වේ.

වෙබ් හැඹිලි විෂ වීම

වෙබ් හැඹිලි විෂවීම යනු ප්‍රහාරකයා විසින් හැඹිලි අන්තර්ගතය අනිෂ්ට එකක් සමඟ ප්‍රතිස්ථාපනය කිරීමයි.

එස්එස්එච් තිරිසන් බල ප්‍රහාර

එස්එස්එච් තිරිසන් බල ප්‍රහාරය යනු ප්‍රහාරකයා විසින් එස්එස්එච් පිවිසුම් අක්තපත්‍ර ලබාගෙන සත්කාරකයන් දෙදෙනෙකු අතර එස්එස්එච් උමං මාර්ග නිර්මාණය කරන අතර එමඟින් අනිෂ්ට අන්තර්ගතයන් මාරු කළ හැකිය.

වෙබ් සේවාදායකයේ මුරපදය බිඳ දැමීමේ ප්‍රහාර

වෙබ් සේවාදායකයේ මුරපද කඩාවැටීමේ ප්‍රහාරය යනු ප්‍රහාරකයා ඉලක්ක සේවාදායකයේ මුරපද බිඳ දමා නව ප්‍රහාර සිදු කිරීමට භාවිතා කරන ප්‍රහාරයකි.


වෙබ් යෙදුම් ප්‍රහාර

වෙබ් යෙදුම් ප්‍රහාරය යනු ප්‍රහාරක විසින් යෙදුම් කේතයේ ඇති අවදානම් ගසාකන ප්‍රහාරයකි.



අනවසරයෙන් ඇතුළුවීමේ ක්‍රමවේදය

වෙබ් සේවාදායකය අනවසරයෙන් ඇතුළුවීමේ ක්‍රමවේදය මඟින් ප්‍රහාරකයන්ට සාර්ථක ප්‍රහාරයක් ක්‍රියාත්මක කිරීම සඳහා අනුගමනය කළ යුතු පියවර සපයයි.

මෙම පියවර:

  • ඉලක්කගත වෙබ් සේවාදායකය පිළිබඳ තොරතුරු රැස් කරන්න
  • සේවාදායකයේ දුරස්ථ ප්‍රවේශ හැකියාවන්, වරාය සහ සේවාවන් ගැන ඉගෙන ගන්න
  • ඉලක්කගත වෙබ් අඩවිය නොබැඳිව පිරික්සීමට එය මිරර් කරන්න
  • අවදානම් සොයා ගන්න
  • සැසි කොල්ලකෑම සහ මුරපද බිඳ දැමීමේ ප්‍රහාර සිදු කරන්න

තොරතුරු එක්රැස් කිරීමේ පියවරේදී, ප්‍රහාරකයා ඉලක්කය robots.txt ලබා ගැනීමට උත්සාහ කළ හැකිය ගොනුව, වෙබ් ක්‍රෝලර් වලින් සඟවා ඇති නාමාවලි සහ ගොනු අඩංගු වේ. මෙම ගොනුවට ප්‍රහාරකයාට මුරපද, ඊමේල් සහ සැඟවුණු සබැඳි වැනි තොරතුරු සැපයිය හැකිය.


ඉහත පියවරයන් ක්‍රියාත්මක කිරීම සහ අනවසරයෙන් ඇතුළුවීම සාර්ථක කර ගැනීම සඳහා, ප්‍රහාරකයින් වැනි මෙවලම් භාවිතා කරයි මෙටාස්ප්ලොයිට් සහ Wfetch .

Metasploit යනු විනිවිද යාමේ පරීක්ෂණ වේදිකාවක් වන අතර එමඟින් අවදානම් සොයා ගැනීමට, සූරාකෑමට සහ වලංගු කිරීමට ඔබට හැකියාව ලැබේ.

Wfetch යනු සන්නිවේදනය පහසුවෙන් තේරුම් ගත හැකි වන පරිදි ඉල්ලීම සහ ප්‍රතිචාරය පෙන්වන මෙවලමකි. නව වෙබ් අඩවි වල ක්‍රියාකාරීත්වය පරීක්ෂා කරන HTTP ඉල්ලීම් නිර්මාණය කිරීමට හෝ සක්‍රීය සේවාදායක පිටු (ASP) හෝ රැහැන් රහිත ප්‍රොටෝකෝල වැනි නව අංග අඩංගු වෙබ් අඩවි වල එය භාවිතා කළ හැකිය.



වෙබ් සේවාදායකය ප්‍රතිප්‍රහාර වලට පහර දෙයි

වෙබ් සත්කාරක ජාලයක් කොටස් තුනකින් සමන්විත වීම රෙකමදාරු කරනු ලැබේ:

  • අන්තර්ජාල
  • DMZ
  • අභ්‍යන්තර ජාලය

වෙබ් සේවාදායකය අන්තර්ජාලයෙන් සහ අභ්‍යන්තර ජාලයෙන් හුදෙකලා වන පරිදි DMZ තුළ තැබිය යුතුය. සෑම කොටසක්ම ෆයර්වෝලයකින් ආරක්ෂා කළ යුතු අතර එහි කේන්ද්‍රස්ථානයක් හෝ ස්විචයක් තිබිය යුතුය.

තවත් ප්‍රතිප්‍රහාරයක් වන්නේ සේවාදායකය නිරන්තරයෙන් යාවත්කාලීන වන බවට සහතික වීම සහ ආරක්ෂක පැච් සහ හොට්ෆික්ස් යෙදීමයි. භාවිතා නොකරන වරායන් සහ ප්‍රොටෝකෝල මෙන්ම සියලු අනවශ්‍ය ICMP ගමනාගමනය අවහිර කළ යුතුය.

පෙරනිමි මුරපද සහ භාවිතයට නොගත් පෙරනිමි ගිණුම් පිළිවෙලින් වෙනස් කර අක්‍රීය කළ යුතුය.

සේවාදායකය සම්මුතියකට ලක්වී නොමැති බව සහතික කිරීම සඳහා ලොග් නිතර නිරීක්ෂණය කළ යුතුය.

වෙබ් අඩවි වෙනස් කිරීමේ අනාවරණ පද්ධති ස්ක්‍රිප්ට් ධාවනය කිරීමෙන් ක්‍රියාත්මක කළ හැකි සහ සාමාන්‍ය ලිපිගොනු වල වෙනස්කම් සොයාගත හැකි අතර එමඟින් වරින් වර ලිපිගොනු වල හැෂ් සංසන්දනයක් සිදු කරයි.

රසවත් ලිපි