වෙබ් සම්පත් ආරක්ෂාව සඳහා ස්කෑන් කිරීම. වෙබ් යෙදුමක් ආරක්ෂා කරන්නේ කෙසේද: මූලික ඉඟි, මෙවලම්, ප්රයෝජනවත් සබැඳි. විද්‍යාත්මක නව්‍යතාවයක් යැයි කියනු ලැබේ

ස්කෑන් කරන ලද වෙබ් අඩවි වලින් 70% කට වඩා වැඩි ප්‍රමාණයක් අවදානම් එකක් හෝ වැඩි ගණනකින් ආසාදනය වී ඇති බව පෙන්නුම් කළේය.

වෙබ් යෙදුම් හිමිකරුවෙකු ලෙස, ඔබේ වෙබ් අඩවිය සබැඳි තර්ජන වලින් ආරක්ෂා වී ඇති බව ඔබ සහතික කරන්නේ කෙසේද? නැතිනම් රහස්‍ය තොරතුරු කාන්දු වීමෙන්ද?

ඔබ වලාකුළු මත පදනම් වූ ආරක්ෂක විසඳුමක් භාවිතා කරන්නේ නම්, නිරන්තර අවදානම් ස්කෑන් කිරීම ඔබේ ආරක්ෂක සැලැස්මේ කොටසක් විය හැකිය.

කෙසේ වෙතත්, එසේ නොවේ නම්, ඔබ සාමාන්ය ස්කෑන් පරීක්ෂණයක් සිදු කර පියවර ගත යුතුය අවශ්ය ක්රියාඅවදානම් අවම කිරීමට.

ස්කෑනර් වර්ග දෙකක් තිබේ.

1. වාණිජ - අඛණ්ඩ ආරක්ෂාව, වාර්තා කිරීම, ඇඟවීම් සඳහා ස්කෑන් කිරීම ස්වයංක්‍රීය කිරීමට ඔබට හැකියාව ලබා දේ. සවිස්තරාත්මක උපදෙස්අවදානම් අවම කිරීම ආදිය. මෙම කර්මාන්තයේ සමහර ප්‍රසිද්ධ නම්:

ඇකුනෙටික්ස්
හඳුනාගන්න
ක්වාලිස්

විවෘත මූලාශ්‍රය/නොමිලේ - ඔබට ඉල්ලුම මත ආරක්ෂක පරීක්ෂාවන් බාගත කර ධාවනය කළ හැක.

ඔවුන් සියල්ලන්ටම වාණිජමය වැනි පුළුල් පරාසයක දුර්වලතා ආවරණය කිරීමට නොහැකි වනු ඇත.

පහත විවෘත මූලාශ්‍ර අවදානම් ස්කෑනර් දෙස බලමු.

1. අරක්නි

Arachni යනු නවීන වෙබ් යෙදුම් සඳහා Ruby මත ගොඩනගා ඇති ඉහළ කාර්යසාධනයක් සහිත ආරක්ෂක ස්කෑනරයකි.

එය Mac, Windows සහ Linux සඳහා ද්විමය ආකෘතියෙන් ලබා ගත හැකිය.

එය මූලික ස්ථිතික හෝ CMS වෙබ් අඩවියක් සඳහා විසඳුමක් පමණක් නොව, Arachni පහත වේදිකා සමඟ ඒකාබද්ධ කිරීමට ද හැකියාව ඇත.

එය ක්රියාකාරී සහ නිෂ්ක්රීය චෙක්පත් සිදු කරයි.

Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, Jetty
Java, Ruby, Python, ASP, PHP
Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

සොයාගත් දුර්වලතා කිහිපයක්:

NoSQL / Blind / SQL / Code / LDAP / Command / XPath එන්නත් කිරීම
ව්‍යාජ හරස් අඩවි ස්ක්‍රිප්ටින් ඉල්ලීම
බයිපාස් මාර්ගය
දේශීය/දුරස්ථ ගොනුව ඇතුළුව
පිළිතුර බෙදීම
හරස්-අඩවි ලේඛනගත කිරීම
නිර්වචනය නොකළ DOM යළි-යොමුවීම්
හෙළිදරව් කිරීම ප්රභව කේතය

2. XssPy

python පදනම් වූ XSS (Cross Site Scripting) අවදානම් ස්කෑනරය Microsoft, Stanford, Motorola, Informatica, ඇතුළු බොහෝ ආයතන විසින් භාවිතා කරයි.

ෆයිසාන් අහමඩ් විසින් XssPy යනු ස්මාර්ට් මෙවලමකි. මුල් පිටුව හෝ පිටුව පමණක් පරීක්ෂා කරනවා වෙනුවට, එය වෙබ් අඩවිවල සම්පූර්ණ සබැඳිය පරීක්ෂා කරයි.

XssPy උප වසම ද පරීක්ෂා කරයි.

3. w3af

w3af, විවෘත මූලාශ්‍ර ව්‍යාපෘතියක් 2006 අග භාගයේදී නැවත ආරම්භ කරන ලදී, එය පයිතන් මත පදනම් වූ අතර එය Linux සහ Windows OS සඳහා ලබා ගත හැකිය. w3af OWASP top 10 ඇතුළුව දුර්වලතා 200 කට වඩා හඳුනා ගැනීමට හැකියාව ඇත.

එය වාර්තා කිරීම සඳහා විවිධ ලොග් කිරීමේ ක්‍රම සඳහා සහය දක්වයි.උදාහරණයක්:

CSV
HTML
කොන්සෝලය
පෙළ
XML
විද්යුත් තැපෑල ලිපිනය

එය ප්ලගින ගෘහ නිර්මාණ ශිල්පයක් මත ගොඩනගා ඇති අතර ඔබට පවතින සියලුම ප්ලගීන පරීක්ෂා කළ හැකිය.

4. නික්ටෝ

Netsparker විසින් අනුග්‍රහය දක්වන විවෘත මූලාශ්‍ර ව්‍යාපෘතියක්, එය අන්තර්ජාලයේ වෙබ් සේවාදායකයේ වැරදි වින්‍යාස කිරීම්, ප්ලගීන සහ දුර්වලතා සොයා ගැනීම අරමුණු කරයි.

5. Wfuzz

Wfuzz (වෙබ් ෆුසර්) යනු විනිවිද යාමේ පරීක්ෂණ සඳහා යෙදුම් තක්සේරු කිරීමේ මෙවලමකි.

ඔබට වෙබ් යෙදුම භාවිතා කිරීමට සහ එය වලංගු කිරීමට ඕනෑම ක්ෂේත්‍රයක් සඳහා HTTP ඉල්ලීමෙහි ඇති දත්ත stub කිරීමට හැකිය.

Wfuzz හට ඔබට ස්කෑන් ක්‍රියාත්මක කිරීමට අවශ්‍ය පරිගණකයේ Python අවශ්‍ය වේ.

6. OWASP ZAP

ZAP (Zet Attack Proxy) යනු ලොව පුරා සිටින සිය ගණනක් ස්වේච්ඡා සේවකයන් විසින් සක්‍රියව යාවත්කාලීන කරන ලද ප්‍රසිද්ධ විනිවිද යාමේ පරීක්ෂණ මෙවලම්වලින් එකකි.

එය Raspberry Pi මත පවා ධාවනය කළ හැකි හරස් වේදිකා ජාවා මෙවලමකි.

ZIP බ්‍රවුසරය සහ වෙබ් යෙදුම අතර අසුන්ගෙන පණිවිඩවලට බාධා කර සත්‍යාපනය කරයි.

පහත සඳහන් ZAP විශේෂාංග කිහිපයක් සඳහන් කිරීම වටී.

ෆසර්
ස්වයංක්‍රීය සහ උදාසීන ස්කෑනරය
බහු ස්ක්‍රිප්ටින් භාෂා සඳහා සහය දක්වයි
බලහත්කාරයෙන් බැලීම

7. වාපිටි

Wapiti ලබා දී ඇති ඉලක්කයක වෙබ් පිටු බඩගා යන අතර එය අවදානමට ලක්විය හැකිදැයි බැලීමට ස්ක්‍රිප්ට් සහ දත්ත ඇතුළත් කිරීමේ පෝරම සොයයි.

මෙය ප්‍රභව කේත ආරක්ෂණ පරීක්‍ෂණයක් නොව කළු පෙට්ටි පරීක්‍ෂණයකි.

එය GET සහ POST HTTP ක්‍රම, HTTP සහ HTTPS ප්‍රොක්සි, බහු සත්‍යාපනය යනාදිය සඳහා සහය දක්වයි.

8. වේගා

XSS, SQLi, RFI සහ තවත් බොහෝ දුර්වලතා සොයා ගැනීමට Java හි ලියා ඇති බහු-වේදිකා මෘදුකාංගයක් වන Subgraph විසින් Vega සංවර්ධනය කර ඇත.

වේගාට සැනසීමක් ලැබුණා GUIසහ ලබා දී ඇති අක්තපත්‍ර සමඟ යෙදුමට ප්‍රවිෂ්ට වීමෙන් ස්වයංක්‍රීය ස්කෑන් කිරීම සිදු කිරීමට හැකියාව ඇත.

ඔබ සංවර්ධකයෙක් නම්, ඔබට නව ප්‍රහාරක මොඩියුල නිර්මාණය කිරීමට vega API භාවිතා කළ හැක.

9. SQLmap

ඔබට නමෙන් අනුමාන කළ හැකි පරිදි, එය සමඟින් ඔබට අඩුපාඩු සොයා ගැනීමට දත්ත සමුදායක් මත විනිවිද යාමේ පරීක්ෂණ සිදු කළ හැකිය.

එය ඕනෑම OS එකක Python 2.6 හෝ 2.7 සමඟ ක්‍රියා කරයි. ඔබට අවශ්‍ය නම්, sqlmap වෙන කවරදාටත් වඩා ප්‍රයෝජනවත් වනු ඇත.

10. ග්රාබර්

මෙම කුඩා Python-පාදක මෙවලම ඉතා හොඳින් දේවල් කිහිපයක් කරයි.

Grabber හි සමහර විශේෂාංග:

JavaScript මූලාශ්‍ර කේත විශ්ලේෂකය
Cross-site scripting, SQL injection, blind SQL injection
PHP-SAT භාවිතයෙන් PHP යෙදුම් පරීක්ෂා කිරීම

11. ගොලිස්මෙරෝ

Wfuzz, DNS recon, sqlmap, OpenVas, රොබෝ විශ්ලේෂකය වැනි ජනප්‍රිය ආරක්ෂක මෙවලම් කළමනාකරණය කිරීමට සහ ක්‍රියාත්මක කිරීමට රාමුවක්).

Golismero හට වෙනත් මෙවලම් වලින් සමාලෝචන ඒකාබද්ධ කර එක් ප්‍රතිඵලයක් පෙන්විය හැක.

12. OWASP Xenotix XSS

Xenotix XSS OWASP යනු හරස් අඩවි ස්ක්‍රිප්ටින් සෙවීම සහ සූරාකෑම සඳහා වූ උසස් රාමුවකි.

වේගවත් ස්කෑන් කිරීම සහ වැඩිදියුණු කළ ප්‍රතිඵල සඳහා එහි ස්මාර්ට් ෆියුසර් තුනක් ඇත.

13. මෙටාස්කන්

ගෘහස්ථ සංවර්ධකයින්ගෙන් වෙබ් යෙදුම් දුර්වලතා සෙවීම සඳහා ස්කෑනරය

වර්ගය: .

කර්තෘ: Maksadkhan Yakubov, Bogdan Shklyarevsky.

වෙබ් සම්පත් පරිපාලනය කිරීමේ ගැටළු මෙන්ම ආරක්ෂිත පරිපාලනය සහ අනවසරයෙන් ඇතුළුවීම සහ සයිබර් ප්‍රහාර වලින් ආරක්ෂා වීම සඳහා ක්‍රම, ක්‍රම සහ නිර්දේශ මෙම ලිපියෙන් සාකච්ඡා කෙරේ.

ආරක්ෂිත වෙබ් අඩවියක් සැලසුම් කිරීම, නිර්මාණය කිරීම හෝ ක්‍රියාත්මක කිරීමේ පළමු පියවර වන්නේ එය සත්කාරකත්වය සපයන සේවාදායකය හැකිතාක් ආරක්ෂිත බව සහතික කිරීමයි.

ඕනෑම වෙබ් සේවාදායකයක ප්‍රධාන අංගය වන්නේ මෙහෙයුම් පද්ධතියයි. එහි ආරක්ෂාව සහතික කිරීම සාපේක්ෂව සරල ය: එය නියමිත වේලාවට ස්ථාපනය කරන්න නවතම යාවත්කාලීනආරක්ෂක පද්ධති.

යාවත්කාලීනය කල් ඉකුත් වූ හෝ ස්ථාපනය කර නොමැති සේවාදායකයක් සොයමින්, එකින් එක සේවාදායකයක් හරහා යන අනිෂ්ට මෘදුකාංග භාවිතා කිරීමෙන් හැකර්වරුන් ඔවුන්ගේ ප්‍රහාර ස්වයංක්‍රීය කිරීමට නැඹුරු වන බව මතක තබා ගැනීම වටී. එබැවින්, යාවත්කාලීන කිරීම් කඩිනමින් සහ නිවැරදිව ස්ථාපනය කර ඇති බව සහතික කිරීම රෙකමදාරු කරනු ලැබේ; යාවත්කාලීනවල යල් පැන ගිය අනුවාද ස්ථාපනය කර ඇති ඕනෑම සේවාදායකයක් ප්‍රහාරයට ලක් විය හැක.

ඔබ වෙබ් සේවාදායකයේ ක්‍රියාත්මක වන සියලුම මෘදුකාංග නියමිත වේලාවට යාවත්කාලීන කළ යුතුය. සම්බන්ධ නොවන ඕනෑම මෘදුකාංගයක් අවශ්ය සංරචක(උදාහරණයක් ලෙස, DNS සේවාදායකයක් හෝ VNC හෝ Remote Desktop Services වැනි දුරස්ථ පරිපාලන මෙවලම්) අක්‍රිය හෝ ඉවත් කළ යුතුය. දුරස්ථ පරිපාලන මෙවලම් අවශ්‍ය නම්, පහසුවෙන් අනුමාන කළ හැකි පෙරනිමි මුරපද හෝ මුරපද භාවිතා නොකිරීමට වගබලා ගන්න. මෙම සටහන දුරස්ථ පරිපාලන මෙවලම් සඳහා පමණක් නොව, පරිශීලක ගිණුම්, රවුටර සහ ස්විච සඳහාද අදාළ වේ.

ඊළඟ වැදගත් කරුණක්ප්රතිවයිරස මෘදුකාංගයකි. එය Windows හෝ Unix වේදිකාවක් ලෙස භාවිතා කරන්නේද යන්න නොසලකා ඕනෑම වෙබ් සම්පතක් සඳහා එහි භාවිතය අනිවාර්ය අවශ්‍යතාවයකි. නම්‍යශීලී ෆයර්වෝලයක් සමඟ ඒකාබද්ධ වූ විට, ප්‍රති-වයිරස මෘදුකාංගය වඩාත්ම එකක් බවට පත්වේ ඵලදායී ක්රමසයිබර් ප්‍රහාර වලින් ආරක්ෂාව. වෙබ් සේවාදායකයක් ප්‍රහාරයක ඉලක්කය බවට පත් වූ විට, ප්‍රහාරකයා ආරක්ෂක දුර්වලතා උපයෝගී කර ගැනීම සඳහා අනවසරයෙන් ඇතුළුවීමේ මෙවලම් හෝ අනිෂ්ට මෘදුකාංග බාගත කිරීමට වහාම උත්සාහ කරයි. උසස් තත්ත්වයේ ප්‍රති-වයිරස මෘදුකාංගයක් නොමැති විට, ආරක්ෂක අවදානමක් දිගු කාලයක් තිස්සේ හඳුනා නොගෙන අනවශ්‍ය ප්‍රතිවිපාකවලට තුඩු දිය හැකිය.

වඩාත් හොඳම විකල්පයතොරතුරු සම්පත් ආරක්ෂා කිරීමේදී බහු මට්ටමේ ප්රවේශයක් ඇත. ඉදිරිපස පැත්තෙහි ෆයර්වෝල් සහ මෙහෙයුම් පද්ධතිය ඇත; ඒවා පිටුපස ඇති ප්‍රති-වයිරසය පැන නගින ඕනෑම හිඩැසක් පිරවීමට සූදානම්ය.

පරාමිතීන් මත පදනම්ව මෙහෙයුම් පද්ධතියසහ වෙබ් සේවාදායක ක්‍රියාකාරීත්වය, සයිබර් ප්‍රහාර වලින් ආරක්ෂා වීම සඳහා පහත දැක්වෙන සාමාන්‍ය ශිල්පීය ක්‍රම උපුටා දැක්විය හැක.

• අනවශ්ය සංරචක ස්ථාපනය නොකරන්න. සෑම සංරචකයක්ම එය සමඟ වෙනම තර්ජනයක් දරයි; ඒවා වැඩි වන තරමට මුළු අවදානම වැඩි වේ.
• ඔබගේ මෙහෙයුම් පද්ධතිය සහ යෙදුම් ආරක්ෂක යාවත්කාලීන සමඟ යාවත්කාලීනව තබා ගන්න.
• ප්රතිවයිරස භාවිතා කරන්න, එය සක්රිය කරන්න ස්වයංක්රීය ස්ථාපනයයාවත්කාලීන කිරීම් සහ ඒවා නිවැරදිව ස්ථාපනය කර ඇත්දැයි නිතිපතා පරීක්ෂා කරන්න.

මෙම කාර්යයන්ගෙන් සමහරක් අපහසු විය හැකි නමුත්, පහර දීමට අවශ්‍ය වන්නේ තනි ආරක්ෂක සිදුරක් පමණක් බව මතක තබා ගන්න. මෙම නඩුවේ ඇති විය හැකි අවදානම් අතර දත්ත සොරකම් කිරීම සහ ගමනාගමනය, සේවාදායකයේ IP ලිපිනය අසාදු ලේඛනගත කිරීම, සංවිධානයේ කීර්ති නාමයට හානි කිරීම සහ වෙබ් අඩවියේ අස්ථාවරත්වය ඇතුළත් වේ.

අවදානම් වල විවේචනාත්මක මට්ටම අනුව, රීතියක් ලෙස, අවදානම් තත්ත්වය තීරණය කරන මට්ටම් 5 ක් ඇත. මේ මොහොතේවෙබ් සම්පතක් ඇත (වගුව 1). සාමාන්‍යයෙන්, ප්‍රහාරකයන්, ඔවුන්ගේ ඉලක්ක සහ සුදුසුකම් මත පදනම්ව, හැක් කරන ලද සම්පත මත අඩිතාලමක් ලබා ගැනීමට සහ ඔවුන්ගේ පැමිණීම වෙස්වළා ගැනීමට උත්සාහ කරයි.

වෙබ් අඩවිය හැක් කිරීම සැමවිටම බාහිර සලකුණු මගින් හඳුනාගත නොහැක (ජංගම යළි-යොමුවීම්, පිටු මත අයාචිත තැපැල් සබැඳි, වෙනත් පුද්ගලයින්ගේ බැනර්, විකෘති කිරීම, ආදිය). අඩවියට හානි සිදුවුවහොත්, මෙම බාහිර සංඥා නොපවතිනු ඇත. සම්පතට බාධා කිරීම්, දෝෂ, හෝ ප්‍රති-වයිරස අසාදු ලේඛනවලට ඇතුළත් නොවී සාමාන්‍ය පරිදි ක්‍රියා කළ හැක. නමුත් මෙම වෙබ් අඩවිය ආරක්ෂිත බව ඉන් අදහස් නොවේ. ගැටළුව වන්නේ ආරක්‍ෂක විගණනයකින් තොරව හැකර් ස්ක්‍රිප්ට් අනවසරයෙන් ඇතුළුවීම සහ බාගත කිරීම අපහසු වීම සහ වෙබ් ෂෙල්, පසු දොර සහ වෙනත් හැකර් මෙවලම් බොහෝ කාලයක් සත්කාරකත්වයේ රැඳී සිටිය හැකි අතර ඒවා සඳහා භාවිතා නොකිරීමයි. අපේක්ෂිත අරමුණ. නමුත් එක් දිනක් ඔවුන් ප්‍රහාරකයෙකු විසින් දැඩි ලෙස සූරාකෑමට පටන් ගන්නා මොහොතක් පැමිණේ, එහි ප්‍රතිඵලයක් ලෙස අඩවි හිමිකරුට ගැටළු ඇති වේ. අයාචිත තැපැල් හෝ තතුබෑම් පිටු පළ කිරීම සඳහා, වෙබ් අඩවිය සත්කාරකයේ අවහිර කර ඇත (හෝ ක්‍රියාකාරීත්වයේ කොටසක් අබල කර ඇත), සහ පිටුවල යළි-යොමුවීම් හෝ වෛරස් පෙනුම ප්‍රති-වයිරස තහනම් කිරීම සහ සම්බාධක වලින් පිරී ඇත. සෙවුම් යන්ත්ර. එවැනි අවස්ථාවක, වෙබ් අඩවියට වහාම "ප්රතිකාර" කිරීම අවශ්ය වන අතර, කුමන්ත්රණය නැවත සිදු නොවන පරිදි අනවසරයෙන් ඇතුළුවීමට එරෙහිව ආරක්ෂාව ස්ථාපනය කිරීම අවශ්ය වේ. බොහෝ විට, සම්මත ප්‍රති-වයිරස සමහර වර්ගවල ට්‍රෝජන් සහ වෙබ් ෂෙල් හඳුනා නොගනී; මෙයට හේතුව අකාලික යාවත්කාලීන හෝ යල් පැන ගිය මෘදුකාංග විය හැකිය. වෛරස් සහ ස්ක්‍රිප්ට් සඳහා වෙබ් සම්පතක් පරීක්ෂා කිරීමේදී, ඔබ භාවිතා කළ යුතුය ප්රතිවයිරස වැඩසටහන්විවිධ විශේෂීකරණයන් ඇති අතර, මෙම අවස්ථාවේදී එක් ප්‍රති-වයිරස වැඩසටහනකින් සොයාගත නොහැකි ට්‍රෝජන් එකක් තවත් ප්‍රති-වයිරස වැඩසටහනකින් අනාවරණය කර ගත හැක. රූප සටහන 1 හි දැක්වෙන්නේ ප්‍රති-වයිරස මෘදුකාංග ස්කෑන් වාර්තාවක උදාහරණයක් වන අතර අනෙකුත් ප්‍රති-වයිරස වැඩසටහන් වලට අනිෂ්ට මෘදුකාංග හඳුනා ගැනීමට නොහැකි වූ බව සැලකිල්ලට ගැනීම වැදගත්ය.

"PHP/Phishing.Agent.B", "Linux/Roopre.E.Gen", "PHP/Kryptik.AE" වැනි ට්‍රෝජන් ප්‍රහාරකයන් විසින් භාවිතා කරනු ලැබේ දුරස්ථ පාලකයපරිගණක. එවැනි වැඩසටහන් බොහෝ විට වෙබ් අඩවියකට ඇතුල් වේ විද්යුත් තැපෑල, නිදහස් මෘදුකාංග, වෙනත් වෙබ් අඩවි හෝ කතාබස් කාමරය. බොහෝ විට, එවැනි වැඩසටහනක් ප්රයෝජනවත් ගොනුවක් ලෙස ක්රියා කරයි. කෙසේ වෙතත්, එය අනිෂ්ට ට්‍රෝජන් එකක් වන අතර එය පරිශීලකයින්ගේ පුද්ගලික තොරතුරු රැස් කර ප්‍රහාරකයන්ට මාරු කරයි. ඊට අමතරව, එය ස්වයංක්‍රීයව ඇතැම් වෙබ් අඩවි වෙත සම්බන්ධ විය හැකි අතර වෙනත් ආකාරයේ අනිෂ්ට මෘදුකාංග පද්ධතියට බාගත කළ හැක. හඳුනා ගැනීම සහ ඉවත් කිරීම වැලැක්වීමට, "Linux/Roopre.E.Gen" ආරක්ෂක විශේෂාංග අක්‍රිය කළ හැක. මෙම ට්‍රෝජන් වැඩසටහන රූට්කිට් තාක්ෂණය භාවිතයෙන් සංවර්ධනය කර ඇති අතර එමඟින් පද්ධතිය තුළ සැඟවීමට ඉඩ සලසයි.

• "PHP/WebShell.NCL" මකාදැමීම වැනි විවිධ කාර්යයන් ඉටු කළ හැකි ට්‍රෝජන් අශ්ව වැඩසටහනකි පද්ධති ගොනු, පැටවීම අනිෂ්ට මෘදුකාංග, පවතින සංරචක සඟවන්න හෝ බාගත කළ පුද්ගලික තොරතුරු සහ වෙනත් දත්ත. මෙම වැඩසටහනට සාමාන්‍ය ප්‍රති-වයිරස පරිලෝකනය මඟ හැර පරිශීලකයාගේ අනුදැනුමකින් තොරව පද්ධතියට ඇතුළු විය හැක. මෙම වැඩසටහනආසාදිත වෙබ් අඩවියක් පාලනය කිරීම සඳහා දුරස්ථ පරිශීලකයින්ට පසුබිම් දොරක් ස්ථාපනය කිරීමට හැකියාව ඇත. මෙම වැඩසටහන භාවිතා කරමින්, ප්‍රහාරකයෙකුට පරිශීලකයෙකු ගැන ඔත්තු බැලීමට, ගොනු කළමනාකරණය කිරීමට, අමතර මෘදුකාංග ස්ථාපනය කිරීමට සහ සම්පූර්ණ පද්ධතියම පාලනය කිරීමට හැකිය.
• "JS/TrojanDownloader.FakejQuery. ඒ" - ට්‍රෝජන් වැඩසටහනක්, එහි ප්‍රධාන ඉලක්ක වන්නේ CMS “WordPress” සහ “Joomla” භාවිතයෙන් සංවර්ධනය කරන ලද අඩවි වේ. ප්‍රහාරකයෙකු වෙබ් අඩවියක් හැක් කරන විට, ඔවුන් වර්ඩ්ප්‍රෙස් හෝ ජූම්ලා ප්ලගීන ස්ථාපනය කිරීම අනුකරණය කරන ස්ක්‍රිප්ට් එකක් ක්‍රියාත්මක කරන අතර පසුව හෙඩර්.පීඑච්පී ගොනුවට අනිෂ්ට ජාවාස්ක්‍රිප්ට් කේතය එන්නත් කරයි.
• "PHP/small.NBK" - යනු හැකර්වරුන්ට දුරස්ථ ප්‍රවේශය ලබා ගැනීමට ඉඩ සලසන අනිෂ්ට යෙදුමකි පරිගණක පද්ධතිය, ගොනු වෙනස් කිරීමට, පුද්ගලික තොරතුරු සොරකම් කිරීමට සහ වඩාත් අනිෂ්ට මෘදුකාංග ස්ථාපනය කිරීමට ඔවුන්ට ඉඩ සලසයි. ට්‍රෝජන් අශ්වයන් ලෙස හැඳින්වෙන මෙම ආකාරයේ තර්ජන සාමාන්‍යයෙන් ප්‍රහාරකයෙකු විසින් බාගත කරනු ලැබේ හෝ වෙනත් වැඩසටහනක් මඟින් බාගත කරනු ලැබේ. ආසාදිත යෙදුම් හෝ මාර්ගගත ක්‍රීඩා ස්ථාපනය කිරීම මෙන්ම ආසාදිත අඩවි වලට පිවිසීම හේතුවෙන් ද ඒවා දිස්විය හැකිය.

අවාසනාවකට මෙන්, හැකර් ස්ක්‍රිප්ට් බාහිර සංඥා මගින් හෝ බාහිර ස්කෑනර් මගින් අනාවරණය නොවේ. එබැවින්, වෙබ්මාස්ටර්ගේ පරිගණකයේ ස්ථාපනය කර ඇති සෙවුම් යන්ත්‍ර ප්‍රති-වයිරස හෝ ප්‍රති-වයිරස මෘදුකාංග අඩවි ආරක්ෂක ගැටළු වාර්තා නොකරයි. ස්ක්‍රිප්ට් වෙබ් අඩවියේ පද්ධති නාමාවලිවල කොතැනක හෝ පිහිටා තිබේ නම් (මූලයේ හෝ රූපවල නොවේ) හෝ පවතින ස්ක්‍රිප්ට්වලට එන්නත් කර ඇත්නම්, ඒවා අහම්බෙන් නොපෙනේ.

රූපය 1. ප්‍රති-වයිරස මෘදුකාංග ස්කෑන් වාර්තාවක උදාහරණය

එබැවින්, පහත සඳහන් නිර්දේශයන් වෙබ් සම්පත් ආරක්ෂා කිරීම සඳහා අවශ්ය පියවර විය හැකිය:

1. නිතිපතා උපස්ථසියලුම අන්තර්ගතය ගොනු පද්ධතිය, දත්ත සමුදායන් සහ සිදුවීම් ලොග (ලොග් ගොනු).
2. CMS (අන්තර්ගත කළමනාකරණ පද්ධතිය) හි නවතම ස්ථාවර අනුවාදයට අන්තර්ගත කළමනාකරණ පද්ධතිය නිතිපතා යාවත්කාලීන කිරීම.
3. සංකීර්ණ මුරපද භාවිතා කිරීම. මුරපද අවශ්‍යතා: මුරපදයේ අවම වශයෙන් අක්ෂර අටක්වත් අඩංගු විය යුතු අතර මුරපදය නිර්මාණය කිරීමේදී විශාල සහ කුඩා අකුරු මෙන්ම විශේෂ අක්ෂරද භාවිතා කළ යුතුය.
4. XSS ප්‍රහාරය හෝ SQL එන්නත් වැනි ප්‍රහාර වැලැක්වීම සඳහා ආරක්‍ෂක ඇඩෝන හෝ ප්ලගීන භාවිතා කිරීම අනිවාර්ය වේ.
5. ඇඩෝන (ප්ලගින, සැකිලි හෝ දිගු) භාවිතය සහ ස්ථාපනය කළ යුත්තේ විශ්වාසදායක මූලාශ්‍රවලින් හෝ නිල සංවර්ධක වෙබ් අඩවිවලින් පමණි.
6. අවම වශයෙන් සතියකට වරක් ප්‍රති-වයිරස වැඩසටහන් සමඟ ගොනු පද්ධතිය පරිලෝකනය කිරීම සහ යාවත්කාලීන දත්ත සමුදා අත්සන් භාවිතා කිරීම.
7. අවසර දීමේදී සහ ඕනෑම ඉල්ලීම් පෝරමයකට (ආකෘති පත්‍රය) දත්ත ඇතුළත් කිරීමේදී බෲට්-ෆෝස් මුරපද මගින් වෙබ් අඩවිය අනවසරයෙන් ඇතුළුවීමෙන් ආරක්ෂා කිරීමට CAPTCHA යාන්ත්‍රණය භාවිතා කිරීම සඳහා සපයන්න. ප්රතිපෝෂණ, සෙවීම, ආදිය).
8. ඇතුල් වීමේ හැකියාව සීමා කරන්න පරිපාලන මණ්ඩලයඅසාර්ථක උත්සාහයන් ගණනකට පසුව වෙබ් අඩවි පාලනය.
9. වැනි පරාමිති සැලකිල්ලට ගනිමින් වෙබ් සේවාදායක වින්‍යාස ගොනුව හරහා වෙබ් අඩවි ආරක්ෂණ ප්‍රතිපත්තිය නිවැරදිව වින්‍යාස කරන්න:

• අනවසර IP ලිපින වලින් එයට ප්‍රවේශ වීම වැළැක්වීම සඳහා වෙබ් අඩවියේ පරිපාලන පාලක පැනලයට ප්‍රවේශ වීමට පරිපාලක විසින් භාවිතා කරන IP ලිපින ගණන සීමා කරන්න;
• XSS ප්‍රහාර වැලැක්වීම සඳහා පෙළ හැඩතල ගැන්වීම (උදා: p b i u) හැර වෙනත් කිසිදු ක්‍රමයකින් ඕනෑම ටැග් සම්ප්‍රේෂණය වීම වළක්වන්න.

1. දත්ත සමුදා ප්‍රවේශය, FTP ප්‍රවේශය යනාදිය පිළිබඳ තොරතුරු අඩංගු ගොනු පෙරනිමි නාමාවලි වලින් වෙනත් අය වෙත ගෙනයාම සහ මෙම ගොනු නැවත නම් කිරීම.

අඩු පළපුරුදු හැකර්වරයෙකුට වුවද, ඔබ ආරක්ෂාව ලබා නොදෙන්නේ නම්, ජූම්ලා වෙබ් අඩවියක් හැක් කිරීම ඉතා පහසුය. එහෙත්, අවාසනාවකට මෙන්, වෙබ්මාස්ටර්වරුන් බොහෝ විට එය අත්‍යවශ්‍ය නොවන කරුණක් ලෙස සලකමින් පසු කාලය වන තෙක් තම වෙබ් අඩවිය අනවසරයෙන් ඇතුළුවීමෙන් ආරක්ෂා කිරීම කල් දමයි. ඔබේ වෙබ් අඩවියට ප්‍රවේශය ප්‍රතිසාධනය කිරීම සඳහා එය ආරක්ෂා කිරීමට පියවර ගැනීමට වඩා වැඩි කාලයක් හා වෑයමක් ගතවනු ඇත. වෙබ් සම්පතක ආරක්ෂාව යනු සේවාදායකයන්ගේ උපරිම ආරක්ෂාව සහතික කිරීමට බැඳී සිටින සංවර්ධකයාගේ සහ සත්කාරකයාගේ පමණක් නොව අඩවි පරිපාලකගේ කාර්යයකි.

හැදින්වීම

තුල නවීන ව්යාපාරවෙබ් තාක්ෂණයන් විශාල ජනප්රියත්වයක් ලබා ඇත. බොහෝ අඩවි විශාල සමාගම්අන්තර්ක්‍රියාකාරීත්වය, පුද්ගලීකරණ මෙවලම් සහ පාරිභෝගිකයන් සමඟ අන්තර් ක්‍රියා මාර්ග ඇති යෙදුම් සමූහයකි (මාර්ගගත වෙළඳසැල්, දුරස්ථ බැංකු සේවා), සහ බොහෝ විට - සමාගමේ අභ්‍යන්තර ආයතනික යෙදුම් සමඟ ඒකාබද්ධ වීමේ මාධ්‍යයන්.

කෙසේ වෙතත්, අන්තර්ජාලයේ වෙබ් අඩවියක් ලබා ගත හැකි වූ පසු, එය සයිබර් ප්‍රහාර සඳහා ඉලක්කයක් බවට පත්වේ. බොහෝ සරල ආකාරයකින්අද වෙබ් අඩවියකට ප්‍රහාර එල්ල කරන්නේ එහි සංරචකවල ඇති දුර්වලතා ප්‍රයෝජනයට ගැනීමයි. තවද ප්‍රධාන ගැටළුව වන්නේ නවීන වෙබ් අඩවි වල දුර්වලතා බහුලව තිබීමයි.

අවදානම් යනු ආසන්න සහ වර්ධනය වන තර්ජනයකි. ඒවා බොහෝ දුරට, වෙබ් යෙදුම් කේතයේ ආරක්ෂක දෝෂ සහ වෙබ් අඩවි සංරචක වැරදි ලෙස වින්‍යාස කිරීමේ ප්‍රතිඵලයකි.

අපි සංඛ්‍යාලේඛන ටිකක් දෙමු. 2016 පළමු භාගය සඳහා සයිබර් තර්ජන පිළිබඳ වාර්තාවේ දත්ත වලට අනුව, High-Tech Bridge විසින් සකස් කරන ලද 2016 පළමු භාගයේ වෙබ් ආරක්ෂණ ප්‍රවණතා නිකුත් කරයි:

• සඳහා වෙබ් සේවා හෝ API වලින් 60% කට වඩා ජංගම යෙදුම්දත්ත සමුදාය අවදානමට ලක් කිරීමට ඉඩ සලසන අවම වශයෙන් එක් භයානක අවදානමක් අඩංගු වේ;
• XSS ප්‍රහාරවලට ගොදුරු විය හැකි අඩවිවලින් 35%ක් SQL එන්නත් සහ XXE ප්‍රහාරවලටද ගොදුරු වේ;
• අඩවිවලින් 23%ක POODLE අවදානමක් ඇති අතර, 0.43%ක් පමණක් - Heartbleed;
• RansomWeb ප්‍රහාර වලදී භයානක දුර්වලතා සූරාකෑමේ අවස්ථා (උදාහරණයක් ලෙස, SQL එන්නත් කිරීමට ඉඩ දීම) 5 ගුණයකින් වැඩි වී ඇත;
• වෙබ් සේවාදායකයන්ගෙන් 79.9% ක් වැරදි ලෙස වින්‍යාස කර හෝ අනාරක්ෂිත http ශීර්ෂ ඇත;
• අද අවශ්‍ය යාවත්කාලීන සහ නිවැරදි කිරීම් ස්ථාපනය කර ඇත්තේ වෙබ් සර්වර් වලින් 27.8%ක පමණි.

වෙබ් සම්පත් ආරක්ෂා කිරීම සඳහා, විශේෂඥයින් තොරතුරු ආරක්ෂාවවෙනස් මෙවලම් කට්ටලයක් භාවිතා කරන්න. උදාහරණයක් ලෙස, ගමනාගමනය සංකේතනය කිරීමට SSL සහතික භාවිතා කරන අතර, බරපතල වින්‍යාසය සහ දිගු ස්වයං ඉගෙනීම අවශ්‍ය වන වෙබ් සේවාදායක පරිමිතිය මත Web Application Firewall (WAF) ස්ථාපනය කර ඇත. වෙබ් අඩවි ආරක්‍ෂාව සහතික කිරීම සඳහා සමානව ඵලදායී මාධ්‍යයක් වන්නේ වරින් වර ආරක්‍ෂක තත්ත්වය පරීක්‍ෂා කිරීම (අවදානම්තා සඳහා සෙවීම) සහ එවැනි පරීක්‍ෂණ සිදු කිරීම සඳහා වන මෙවලම් වන්නේ වෙබ් අඩවි ආරක්‍ෂක ස්කෑනර් ය. අපි කතා කරන්නම්මෙම සමාලෝචනයේදී.

අපගේ වෙබ් අඩවියට දැනටමත් වෙබ් යෙදුම් ආරක්ෂණ ස්කෑනර් සඳහා කැප වූ සමාලෝචනයක් ඇත - "", වෙළඳපල නායකයින්ගේ නිෂ්පාදන සමාලෝචනය කරන ලදී. මෙම සමාලෝචනයේදී, අපි තවදුරටත් මෙම මාතෘකා මත ස්පර්ශ නොකරනු ඇත, නමුත් නොමිලේ වෙබ් අඩවි ආරක්ෂණ ස්කෑනර් සමාලෝචනයක් වෙත අවධානය යොමු කරන්නෙමු.

නිදහස් මෘදුකාංග පිළිබඳ මාතෘකාව අදට විශේෂයෙන් අදාළ වේ. රුසියාවේ අස්ථායී ආර්ථික තත්ත්වය හේතුවෙන්, බොහෝ සංවිධාන (වාණිජ්‍ය සහ රාජ්‍ය අංශය යන දෙකම) දැනට ඔවුන්ගේ තොරතුරු තාක්ෂණ අයවැය ප්‍රශස්ත කරමින් සිටින අතර, පද්ධති ආරක්ෂාව විශ්ලේෂණය කිරීම සඳහා මිල අධික වාණිජ නිෂ්පාදන මිලදී ගැනීමට බොහෝ විට ප්‍රමාණවත් මුදලක් නොමැත. ඒ අතරම, මිනිසුන් නොදන්නා දුර්වලතා සෙවීම සඳහා බොහෝ නිදහස් (නිදහස්, විවෘත මූලාශ්‍ර) උපයෝගිතා තිබේ. එපමණක්ද නොව, ඔවුන්ගෙන් සමහරක් පහත් නොවේ ක්රියාකාරිත්වයඔවුන්ගේ වැටුප් සහිත තරඟකරුවන්ට. එමනිසා, මෙම ලිපියෙන් අපි වඩාත් රසවත් නිදහස් වෙබ් අඩවි ආරක්ෂණ ස්කෑනර් ගැන කතා කරමු.

වෙබ් අඩවි ආරක්ෂණ ස්කෑනර් මොනවාද?

වෙබ් අඩවි ආරක්ෂණ ස්කෑනර් යනු පද්ධතියේ හෝ පරිශීලක දත්තවල අඛණ්ඩතාව උල්ලංඝනය කිරීමට, ඒවායේ සොරකම් කිරීමට හෝ සමස්තයක් ලෙස පද්ධතිය පාලනය කිරීමට හේතු වන වෙබ් යෙදුම්වල දෝෂ (අවදානම) සොයන මෘදුකාංග (දෘඪාංග සහ මෘදුකාංග) මෙවලම් වේ.

වෙබ් අඩවි ආරක්ෂණ ස්කෑනර් භාවිතා කරමින්, ඔබට පහත සඳහන් කාණ්ඩවල දුර්වලතා හඳුනාගත හැකිය:

• කේතීකරණ අදියර දුර්වලතා;
• වෙබ් යෙදුමක් ක්‍රියාත්මක කිරීමේ සහ වින්‍යාස කිරීමේ අවධියේ ඇති දුර්වලතා;
• වෙබ් අඩවියේ මෙහෙයුම් අදියරේ දුර්වලතා.

කේතීකරණ අදියරේදී ඇති අවදානම් වලට ආදාන සහ ප්‍රතිදාන දත්ත වැරදි ලෙස සැකසීමට සම්බන්ධ අවදානම් ඇතුළත් වේ (SQL එන්නත්, XSS).

වෙබ් අඩවි ක්‍රියාත්මක කිරීමේ අදියරේදී ඇති අවදානම් අතරට වෙබ් යෙදුම් පරිසරයේ වැරදි සැකසුම් (වෙබ් සේවාදායකය, යෙදුම් සේවාදායකය, SSL/TLS, රාමුව, තෙවන පාර්ශ්ව සංරචක, DEBUG මාදිලියේ පැවැත්ම, ආදිය) සම්බන්ධ අවදානම් ඇතුළත් වේ.

වෙබ් අඩවියක ක්‍රියාකාරී අවධියේ ඇති අවදානම් වලට යල් පැන ගිය මෘදුකාංග භාවිතය හා සම්බන්ධ දුර්වලතා ඇතුළත් වේ. සරල මුරපද, වෙබ් සේවාදායකයක සංරක්ෂිත පිටපත් ගබඩා කිරීම පොදු ප්රවේශය, ප්‍රසිද්ධියේ ලබා ගත හැකි සේවා මොඩියුල (phpinfo) ලබා ගැනීම ආදිය.

වෙබ් අඩවි ආරක්ෂක ස්කෑනර් ක්‍රියා කරන ආකාරය

පොදුවේ, වෙබ් අඩවි ආරක්ෂණ ස්කෑනරයක මෙහෙයුම් මූලධර්මය පහත පරිදි වේ:

• අධ්යයනය කරන ලද වස්තුව පිළිබඳ තොරතුරු රැස් කිරීම.
• අවදානම් දත්ත සමුදායන් භාවිතා කරමින් අවදානම් සඳහා වෙබ් අඩවි මෘදුකාංග විගණනය කිරීම.
• පද්ධතියේ දුර්වලතා හඳුනා ගැනීම.
• ඒවා ඉවත් කිරීම සඳහා නිර්දේශ සකස් කිරීම.

වෙබ් අඩවි ආරක්ෂක ස්කෑනර් වර්ග

වෙබ් අඩවි ආරක්ෂණ ස්කෑනර්, ඒවායේ අරමුණ අනුව, පහත දැක්වෙන වර්ග (වර්ග) වලට බෙදිය හැකිය:

• ජාල ස්කෑනර් - මෙම වර්ගයේස්කෑනර් මඟින් පවතින ජාල සේවා හෙළි කරයි, ඒවායේ අනුවාද ස්ථාපනය කරයි, මෙහෙයුම් පද්ධතිය තීරණය කරයි.
• වෙබ් ස්ක්‍රිප්ට් වල දුර්වලතා සෙවීම සඳහා ස්කෑනර්- මෙම වර්ගයේ ස්කෑනර් SQL inj, XSS, LFI/RFI වැනි දුර්වලතා හෝ දෝෂ (තාවකාලික ගොනු මකා නැත, නාමාවලි සුචිගත කිරීම, ආදිය) සඳහා සොයයි.
• සූරාකෑම සොයන්නන්- මෙම වර්ගයේ ස්කෑනරය සූරාකෑම සඳහා ස්වයංක්‍රීයව සෙවීම සඳහා නිර්මාණය කර ඇත මෘදුකාංගසහ ස්ක්‍රිප්ට්.
• එන්නත් ස්වයංක්රීය මෙවලම්- එන්නත් සෙවීම සහ සූරාකෑම සම්බන්ධයෙන් විශේෂයෙන් කටයුතු කරන උපයෝගිතා.
• නිදොස් කරන්නන්- වෙබ් යෙදුමක දෝෂ නිවැරදි කිරීම සහ කේතය ප්‍රශස්ත කිරීම සඳහා මෙවලම්.

එකවර ස්කෑනර් වර්ග කිහිපයක හැකියාවන් ඇතුළත් විශ්වීය උපයෝගිතා ද ඇත.

පහත දැක්වෙන්නේ නොමිලේ වෙබ් අඩවි ආරක්ෂණ ස්කෑනර් පිළිබඳ කෙටි දළ විශ්ලේෂණයකි. නොමිලේ උපයෝගිතා රාශියක් ඇති බැවින්, වෙබ් තාක්ෂණයන්හි ආරක්ෂාව විශ්ලේෂණය කිරීම සඳහා වඩාත් ජනප්රිය නිදහස් මෙවලම් පමණක් සමාලෝචනයට ඇතුළත් වේ. සමාලෝචනයේ විශේෂිත උපයෝගීතාවයක් ඇතුළත් කරන විට, වෙබ් තාක්ෂණික ආරක්ෂාව පිළිබඳ මාතෘකාව පිළිබඳ විශේෂිත සම්පත් විශ්ලේෂණය කරන ලදී:

නොමිලේ වෙබ් අඩවි ආරක්ෂණ ස්කෑනර් පිළිබඳ කෙටි සමාලෝචනයක්

ජාල ස්කෑනර්

Nmap

ස්කෑනර් වර්ගය: ජාල ස්කෑනරය.

Nmap (ජාල සිතියම්කරු) යනු නිදහස් සහ විවෘත මූලාශ්‍ර උපයෝගීතාවයකි. එය සැලසුම් කර ඇත්තේ ඕනෑම වස්තු ගණනාවක් සමඟ ජාල පරිලෝකනය කිරීමට, ස්කෑන් කරන ලද ජාලයේ වස්තූන්ගේ තත්වය මෙන්ම වරායන් සහ ඒවාට අනුරූප සේවාවන් තීරණය කිරීමට ය. මෙය සිදු කිරීම සඳහා, Nmap UDP, TCP සම්බන්ධ කිරීම, TCP SYN (අර්ධ-විවෘත), FTP ප්‍රොක්සි (ftp ඉදිරි ගමන), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN වැනි විවිධ ස්කෑනිං ක්‍රම භාවිතා කරයි. සහ NULL- ස්කෑන් කිරීම.

Nmap පුළුල් පරාසයක අතිරේක විශේෂාංග සඳහා සහය දක්වයි, එනම්: TCP/IP ස්ටැක් ඇඟිලි සලකුණු භාවිතයෙන් දුරස්ථ ධාරකයක මෙහෙයුම් පද්ධතිය නිර්ණය කිරීම, "නොපෙනෙන" ස්කෑන් කිරීම, ප්‍රමාදය සහ පැකට් නැවත සම්ප්‍රේෂණය කිරීම ගතික ගණනය කිරීම, සමාන්තර පරිලෝකනය, සමාන්තර පිං ඡන්ද විමසීම භාවිතයෙන් අක්‍රිය ධාරක හඳුනා ගැනීම. , ව්‍යාජ ධාරක භාවිතයෙන් ස්කෑන් කිරීම, පැකට් ෆිල්ටර ඇති බව හඳුනා ගැනීම, සෘජු (පෝට්මැපර් භාවිතා නොකර) RPC ස්කෑන් කිරීම, IP ඛණ්ඩනය භාවිතයෙන් ස්කෑන් කිරීම, මෙන්ම IP ලිපින සහ ස්කෑන් කරන ලද ජාල වල අත්තනෝමතික ඇඟවීම.

Linux Journal, Info World, LinuxQuestions.Org සහ Codetalker Digest වැනි සඟරා සහ ප්‍රජාවන් වෙතින් Nmap හට වසරේ ආරක්‍ෂිත නිෂ්පාදන තත්ත්වය ලැබී ඇත.

වේදිකාව: උපයෝගීතාව හරස් වේදිකාවකි.

වැඩි විස්තර වෙතින් Nmap ස්කෑනරයඋපදෙස් ලබා ගත හැක .

IP මෙවලම්

ස්කෑනර් වර්ගය: ජාල ස්කෑනරය.

IP මෙවලම් යනු පෙරීමේ නීති, පෙරීමේ ඇඩප්ටරය, පැකට් විකේතනය, ප්‍රොටෝකෝල විස්තරය සහ තවත් බොහෝ දේ සඳහා සහය දක්වන ප්‍රොටෝකෝල විශ්ලේෂකයකි. විස්තරාත්මක තොරතුරුසෑම පැකේජයක්ම ස්ටයිල් ගසක අඩංගු වේ, දකුණු-ක්ලික් මෙනුව මඟින් තෝරාගත් IP ලිපිනය පරිලෝකනය කිරීමට ඔබට ඉඩ සලසයි.

පැකට් ස්නයිෆර් වලට අමතරව, IP මෙවලම් සම්පූර්ණ කට්ටලයක් ඉදිරිපත් කරයි ජාල මෙවලම්, සංඛ්‍යාලේඛන ඇඩප්ටරය, IP ගමනාගමනය අධීක්ෂණය සහ තවත් බොහෝ දේ ඇතුළුව.

ඔබට IP-මෙවලම් ස්කෑනරය ගැන වැඩි විස්තර දැනගත හැක.

Skipfish

ක්‍රමලේඛක Michal Zalewski වෙතින් Cross-platform web vulnerability scanner Skipfish විසින් වෙබ් යෙදුමක් සහ එහි ශබ්ද කෝෂ මත පදනම් වූ චෙක්පතක් පිළිබඳ පුනරාවර්තන විශ්ලේෂණයක් සිදු කරයි, ඉන් පසුව එය අනාවරණය කරගත් දුර්වලතා පිළිබඳ අදහස් සහිත විවරණ සහිත අඩවි සිතියමක් නිර්මාණය කරයි.

මෙවලම Google විසින් අභ්‍යන්තරව සංවර්ධනය වෙමින් පවතී.

ස්කෑනරය වෙබ් යෙදුම පිළිබඳ සවිස්තරාත්මක විශ්ලේෂණයක් සිදු කරයි. එම යෙදුමම පසුව පරීක්ෂා කිරීම සඳහා ශබ්දකෝෂයක් නිර්මාණය කිරීමටද හැකිය. Skipfish හි සවිස්තර වාර්තාවේ අනාවරණය වූ දුර්වලතා, අවදානම අඩංගු සම්පත් වල URL සහ යවන ලද ඉල්ලීම පිළිබඳ තොරතුරු අඩංගු වේ. වාර්තාවේ, ලබාගත් දත්ත බරපතල මට්ටම සහ අවදානම් වර්ගය අනුව වර්ග කර ඇත. වාර්තාව html ආකෘතියෙන් ජනනය වේ.

Skipfish වෙබ් අවදානම් ස්කෑනරය ඉතා විශාල තදබදයක් ජනනය කරන බව සඳහන් කිරීම වටී, සහ ස්කෑන් කිරීම ඉතා දිගු කාලයක් ගත වේ.

වේදිකා: MacOS, Linux, Windows.

ඔබට Skipfish ස්කෑනරය ගැන වැඩි විස්තර දැනගත හැක.

වාපිටි

ස්කෑනර් වර්ගය: වෙබ් ස්ක්‍රිප්ට් වල දුර්වලතා සෙවීම සඳහා ස්කෑනරය.

Wapiti යනු වෙබ් යෙදුම් විගණනය කිරීම සඳහා වන කොන්සෝල උපයෝගීතාවයකි. එය "කළු පෙට්ටිය" මූලධර්මය මත ක්රියා කරයි.

Wapiti පහත පරිදි ක්‍රියා කරයි: පළමුව, WASS ස්කෑනරය අඩවි ව්‍යුහය විශ්ලේෂණය කරයි, පවතින ස්ක්‍රිප්ට් සඳහා සෙවීම් කරයි, සහ පරාමිති විශ්ලේෂණය කරයි. Wapiti පසුව ෆසර් ක්‍රියාත්මක කර සියලු අවදානම් සහිත ස්ක්‍රිප්ට් සොයා ගන්නා තෙක් ස්කෑන් කිරීම දිගටම කරගෙන යයි.

Wapiti WASS ස්කෑනරය පහත සඳහන් ආකාරයේ දුර්වලතා සමඟ ක්‍රියා කරයි:

• ගොනු අනාවරණය (දේශීය සහ දුරස්ථ ඇතුළත්/අවශ්‍ය, fopen, readfile).
• දත්ත සමුදා එන්නත් (PHP/JSP/ASP SQL එන්නත් සහ XPath එන්නත්).
• XSS (Cross Site Scripting) එන්නත් කිරීම (පිළිබිඹු සහ ස්ථිර).
• Command Execution හඳුනාගැනීම (eval(), system(), passtru()...).
• CRLF එන්නත් කිරීම (HTTP ප්‍රතිචාර බෙදීම, සැසි සවි කිරීම...).
• XXE (XmleXternal Entity) එන්නත් කිරීම.
• අනතුරුදායක විය හැකි දන්නා ගොනු භාවිතය.
• මඟ හැරිය හැකි දුර්වල .htaccess වින්‍යාසයන්.
• සංවේදී තොරතුරු ලබා දෙන උපස්ථ ගොනු තිබීම (මූලාශ්‍ර කේත හෙළිදරව් කිරීම).

Kali Linux බෙදාහැරීමේ උපයෝගිතා වල Wapiti ඇතුළත් වේ. ඔබට SourceForge වෙතින් මූලාශ්‍ර බාගත කර ලිනක්ස් කර්නලය මත පදනම්ව ඕනෑම බෙදාහැරීමකදී ඒවා භාවිතා කළ හැක. Wapiti GET සහ POST HTTP ඉල්ලීම් ක්‍රම සඳහා සහය දක්වයි.

වේදිකා: Windows, Unix, MacOS.

Wapiti ස්කෑනරය ගැන වැඩි විස්තර ඔබට දැනගත හැක.

නෙසස්

Nessus ස්කෑනරය පවුලට අයත් බලවත් සහ විශ්වසනීය මෙවලමකි ජාල ස්කෑනර්, මෙහෙයුම් පද්ධති, ෆයර්වෝල්, පෙරීමේ රවුටර සහ අනෙකුත් ජාල සංරචක මගින් පිරිනමනු ලබන ජාල සේවා වල දුර්වලතා සෙවීමට ඔබට ඉඩ සලසයි. දුර්වලතා සෙවීම සඳහා, ඒවා භාවිතා කරනු ලැබේ සම්මත අදහස්ජාලයේ වින්‍යාසය සහ ක්‍රියාකාරිත්වය පිළිබඳ තොරතුරු පරීක්ෂා කිරීම සහ එකතු කිරීම සහ විශේෂ ක්රම, ජාලයට සම්බන්ධ පද්ධති විනිවිද යාමට ප්‍රහාරකයෙකුගේ ක්‍රියා අනුකරණය කිරීම.

ඔබට Nessus ස්කෑනරය ගැන වැඩි විස්තර දැනගත හැක.

bsqlbf-v2

ස්කෑනර් වර්ගය: එන්නත් ස්වයංක්‍රීයකරණ මෙවලම.

bsqlbf-v2 යනු Perl වලින් ලියා ඇති පිටපතකි. අන්ධ SQL එන්නත් සඳහා Brute Forcer. ස්කෑනරය URL හි නිඛිල අගයන් සහ තන්තු අගයන් දෙකම සමඟ ක්‍රියා කරයි.

වේදිකා: MS-SQL, MySQL, PostgreSQL, Oracle.

ඔබට bsqlbf-v2 ස්කෑනරය ගැන වැඩි විස්තර දැනගත හැක.

නිදොස් කරන්නන්

බර්ප් සූට්

ස්කෑනර් වර්ගය: නිදොස්කරණය.

Burp Suite යනු ජාවා භාෂාවෙන් ලියා ඇති සාපේක්ෂ ස්වාධීන, හරස් වේදිකා යෙදුම් එකතුවකි.

සංකීර්ණයේ හරය Burp Proxy මොඩියුලය වන අතර එය දේශීය ප්‍රොක්සි සේවාදායකයක කාර්යයන් ඉටු කරයි; කට්ටලයේ ඉතිරි සංරචක වන්නේ Spider, Intruder, Repeater, Sequencer, Decoder සහ Comparer වේ. යෙදුමේ ඕනෑම කොටසකට දත්ත යැවිය හැකි ආකාරයෙන් සියලුම සංරචක තනි සමස්තයකට අන්තර් සම්බන්ධිත වේ, උදාහරණයක් ලෙස, වෙබ් යෙදුමේ විවිධ චෙක්පත් සිදු කිරීම සඳහා Proxy සිට Intruder දක්වා, Intruder සිට Repeater දක්වා වඩාත් සවිස්තරාත්මක අතින් විශ්ලේෂණය කිරීම සඳහා HTTP ශීර්ෂ.

වේදිකා: හරස් වේදිකා මෘදුකාංග.

ඔබට Burp Suite ස්කෑනරය ගැන වැඩි විස්තර දැනගත හැක.

ෆිඩ්ලර්

ස්කෑනර් වර්ගය: නිදොස්කරණය.

Fiddler යනු සියලුම HTTP(S) ගමනාගමනය ලොග් කරන නිදොස් කිරීමේ ප්‍රොක්සියකි. මෙවලම ඔබට මෙම ගමනාගමනය පරීක්ෂා කිරීමට, විවේක ස්ථානයක් සැකසීමට සහ පැමිණෙන හෝ පිටතට යන දත්ත සමඟ "සෙල්ලම්" කිරීමට ඉඩ සලසයි.

ෆිඩ්ලර් හි ක්‍රියාකාරී ලක්ෂණ:

• සියලුම ඉල්ලීම් පාලනය කිරීමේ හැකියාව, කුකීස්, අන්තර්ජාල බ්‍රව්සර් මගින් සම්ප්‍රේෂණය කරන ලද පරාමිති.
• පියාසර කරන විට සේවාදායක ප්‍රතිචාර වෙනස් කිරීමේ කාර්යය.
• ශීර්ෂයන් සහ ඉල්ලීම් හැසිරවීමේ හැකියාව.
• නාලිකා පළල වෙනස් කිරීමේ කාර්යය.

වේදිකා: හරස් වේදිකා මෘදුකාංග.

ඔබට ෆිඩ්ලර් ස්කෑනරය ගැන වැඩි විස්තර දැනගත හැක.

N-Stalker වෙබ් යෙදුම් ආරක්ෂණ ස්කෑනරය X නිදහස් සංස්කරණය

ස්කෑනර් වර්ගය: වෙබ් ස්ක්‍රිප්ට් වල දුර්වලතා සෙවීම සඳහා ස්කෑනරය, සෙවුම් මෙවලම ගසාකන්න.

වෙබ් සේවා සඳහා ඵලදායී මෙවලමක් වන්නේ N-Stalker වෙතින් N-Stealth ආරක්ෂක ස්කෑනරයයි. සමාගම N-Stealth හි වඩාත් අංග සම්පූර්ණ අනුවාදයක් අලෙවි කරයි, නමුත් එය නොමිලේ අත්හදා බැලීමේ අනුවාදයසරල ඇගයීම සඳහා බෙහෙවින් සුදුසු ය. ගෙවූ නිෂ්පාදනයට වෙබ් සේවාදායක ආරක්ෂණ පරීක්ෂණ 30 දහසකට වඩා ඇත, නමුත් ද ඇත නිදහස් අනුවාදයමයික්‍රොසොෆ්ට් IIS සහ Apache වැනි බහුලව භාවිතා වන වෙබ් සේවාදායකයන්හි ඇති දුර්වලතා ඇතුළුව විශේෂිත හිඩැස් 16,000 කට වඩා හඳුනා ගනී. උදාහරණයක් ලෙස, N-Stealth අවදානමට ලක්විය හැකි Common Gateway Interface (CGI) සහ Hypertext Preprocessor (PHP) ස්ක්‍රිප්ට් සොයන අතර විනිවිද යාමට ප්‍රහාර භාවිතා කරයි. SQL සේවාදායකය, සාමාන්‍ය හරස්-අඩවි අවස්ථා සහ ජනප්‍රිය වෙබ් සේවාදායකයන්හි වෙනත් හිඩැස්.

N-Stealth HTTP සහ HTTP Secure (HTTPS - SSL භාවිතයෙන්) යන දෙකටම සහය දක්වයි, Common Vulnerabilities and Exposures (CVE) ශබ්දකෝෂයට සහ Bugtraq දත්ත ගබඩාවට එරෙහිව ඇති දුර්වලතා ගැලපේ, සහ යහපත් වාර්තා ජනනය කරයි. N-Stealth වෙබ් සර්වර් වල ඇති වඩාත් පොදු දුර්වලතා සොයා ගැනීමට භාවිතා කරන අතර බොහෝ දුරට ඉඩ ඇති ප්‍රහාරක දෛශික හඳුනා ගැනීමට උපකාරී වේ.

ඇත්ත වශයෙන්ම, වෙබ් අඩවියක හෝ යෙදුම්වල ආරක්ෂාව පිළිබඳ වඩාත් විශ්වාසදායක තක්සේරුවක් සඳහා, ගෙවුම් අනුවාදයක් මිලදී ගැනීම රෙකමදාරු කරනු ලැබේ.

ඔබට N-Stealth ස්කෑනරය ගැන වැඩි විස්තර දැනගත හැක.

නිගමන

අවදානම් හඳුනා ගැනීම සඳහා වෙබ් අඩවි පරීක්ෂා කිරීම හොඳ වැළැක්වීමේ පියවරකි. වර්තමානයේ, බොහෝ වාණිජ සහ නොමිලේ ලබා ගත හැකි වෙබ් අඩවි ආරක්ෂණ ස්කෑනර් තිබේ. ඒ අතරම, ස්කෑනර් විශ්වීය (විස්තීරණ විසඳුම්) සහ විශේෂිත විය හැකිය, ඇතැම් ආකාරයේ දුර්වලතා හඳුනා ගැනීමට පමණක් නිර්මාණය කර ඇත.

සමහර නිදහස් ස්කෑනර් තරමක් බලවත් මෙවලම් වන අතර විශාල ගැඹුරක් පෙන්වයි හොඳ තත්ත්වයේවෙබ් අඩවි පරීක්ෂාවන්. නමුත් වෙබ් අඩවි වල ආරක්ෂාව විශ්ලේෂණය කිරීම සඳහා නොමිලේ උපයෝගිතා භාවිතා කිරීමට පෙර, ඒවායේ ගුණාත්මකභාවය පිළිබඳව ඔබ සහතික විය යුතුය. අද මේ සඳහා දැනටමත් බොහෝ ක්‍රම තිබේ (උදාහරණයක් ලෙස, වෙබ් යෙදුම් ආරක්ෂණ ස්කෑනර් ඇගයීම් නිර්ණායක, OWASP වෙබ් යෙදුම් ස්කෑනර් පිරිවිතර ව්‍යාපෘතිය).

විශේෂිත යටිතල ව්‍යුහයක ආරක්ෂාව පිළිබඳ වඩාත් සම්පූර්ණ චිත්‍රය සැපයිය හැක්කේ විස්තීරණ විසඳුම්වලට පමණි. සමහර අවස්ථාවලදී, ආරක්ෂක ස්කෑනර් කිහිපයක් භාවිතා කිරීම වඩා හොඳය.

1. ඉලක්කය සහ අරමුණු

කාර්යයේ අරමුණ වන්නේ බාහිර ප්රවේශයේ ආරක්ෂාව වැඩි කිරීම සඳහා ඇල්ගොරිතම සංවර්ධනය කිරීමයි තොරතුරු සම්පත්ආයතනික අධ්‍යාපනික ජාල වලින්, ඒවායේ ලාක්ෂණික ආරක්ෂක තර්ජන මෙන්ම පරිශීලක ජනගහනයේ ලක්ෂණ, ආරක්ෂක ප්‍රතිපත්ති, වාස්තු විද්‍යාත්මක විසඳුම් සහ සම්පත් සහාය සැලකිල්ලට ගනිමින්.

ඉලක්කය මත පදනම්ව, පහත සඳහන් කාර්යයන් කාර්යයේදී විසඳනු ලැබේ:

1. අධ්‍යාපනික ජාලයන්හි තොරතුරු සුරක්ෂිතතාවයට ඇති ප්‍රධාන තර්ජන පිළිබඳ විශ්ලේෂණයක් සිදු කරන්න.

2. අධ්‍යාපනික ජාල වල අනවශ්‍ය තොරතුරු සම්පත් වෙත ප්‍රවේශය සීමා කිරීම සඳහා ක්‍රමයක් සකස් කිරීම.

3. වෙබ් පිටු පරිලෝකනය කිරීමට, සෘජු සම්බන්ධතා සෙවීමට සහ වෙබ් අඩවිවල ඇති විය හැකි අනිෂ්ට කේත තවදුරටත් විශ්ලේෂණය කිරීම සඳහා ගොනු බාගත කිරීමට ඉඩ සලසන ඇල්ගොරිතම සංවර්ධනය කරන්න.

4. වෙබ් අඩවිවල අනවශ්‍ය තොරතුරු සම්පත් හඳුනාගැනීම සඳහා ඇල්ගොරිතමයක් සකස් කිරීම.

2. මාතෘකාවේ අදාළත්වය

නවීන බුද්ධිමත් පුහුණු පද්ධති වෙබ්-පාදක වන අතර ඔවුන්ගේ පරිශීලකයින්ට වැඩ කිරීමේ හැකියාව ලබා දේ විවිධ වර්ගදේශීය හා දුරස්ථ අධ්‍යාපන සම්පත්. ගැටලුව ආරක්ෂිත භාවිතයඅන්තර්ජාලයේ පළ කර ඇති තොරතුරු සම්පත් (IR) නිරතුරුවම අදාළ වෙමින් පවතී. මෙම ගැටළුව විසඳීම සඳහා භාවිතා කරන එක් ක්රමයක් වන්නේ අනවශ්ය තොරතුරු සම්පත් වෙත ප්රවේශය සීමා කිරීමයි.

අනවශ්‍ය තොරතුරු වෙත ප්‍රවේශය සීමා වී ඇති බව සහතික කිරීම සඳහා අධ්‍යාපන ආයතනවලට අන්තර්ජාල ප්‍රවේශය සපයන ක්‍රියාකරුවන් අවශ්‍ය වේ. ස්ථාපිත ක්‍රියා පටිපාටියට අනුකූලව නිතිපතා යාවත්කාලීන කරන ලද ලැයිස්තු භාවිතා කරමින් ක්‍රියාකරුවන් විසින් පෙරීම මගින් සීමා කිරීම සිදු කෙරේ. කෙසේ වෙතත්, අධ්‍යාපනික ජාල වල අරමුණ සහ පරිශීලක ප්‍රේක්ෂකයින් අනුව, අනවශ්‍ය සම්පත් ගතිකව හඳුනාගෙන ඒවායින් පරිශීලකයින් ආරක්ෂා කරන වඩාත් නම්‍යශීලී, ස්වයං ඉගෙනුම් පද්ධතියක් භාවිතා කිරීම සුදුසුය.

සාමාන්‍යයෙන්, අනවශ්‍ය සම්පත් වෙත ප්‍රවේශ වීම පහත තර්ජන දරයි: නීතිවිරෝධී සහ සමාජීය ක්‍රියාවන් ප්‍රචාරය කිරීම, එනම්: දේශපාලන අන්තවාදය, ත්‍රස්තවාදය, මත්ද්‍රව්‍යවලට ඇබ්බැහි වීම, අසභ්‍ය දර්ශන බෙදා හැරීම සහ වෙනත් ද්‍රව්‍ය; අධ්යාපනික අරමුණු සඳහා පරිගණක ජාල භාවිතා කිරීමෙන් සිසුන්ගේ අවධානය වෙනතකට යොමු කිරීම; සීමිත කලාප පළලක් සහිත බාහිර නාලිකා අධික ලෙස පැටවීම හේතුවෙන් අන්තර්ජාලයට පිවිසීමේ දුෂ්කරතාවය. ඉහත ලැයිස්තුගත කර ඇති සම්පත් බොහෝ විට අනිෂ්ට මෘදුකාංග සහ ඒවාට සම්බන්ධ තර්ජන එන්නත් කිරීමට භාවිතා කරයි.

ජාල සම්පත් වෙත ප්රවේශය සීමා කිරීම සඳහා පවතින පද්ධති නිශ්චිත සීමාවන්ට අනුකූල වීම සඳහා තනි පැකට් පමණක් නොව, ඒවායේ අන්තර්ගතය - ජාලය හරහා සම්ප්රේෂණය වන අන්තර්ගතයද පරීක්ෂා කිරීමට හැකියාව ඇත. දැනට, අන්තර්ගත පෙරහන් පද්ධති වෙබ් අන්තර්ගතය පෙරීම සඳහා පහත ක්‍රම භාවිතා කරයි: DNS නම හෝ නිශ්චිත IP ලිපිනය, වෙබ් අන්තර්ගතය තුළ ඇති මූල පද සහ ගොනු වර්ගය අනුව. නිශ්චිත වෙබ් අඩවියකට හෝ අඩවි සමූහයකට ප්‍රවේශය අවහිර කිරීමට, ඔබ නුසුදුසු අන්තර්ගත අඩංගු බහු URL සඳහන් කළ යුතුය. URL පෙරහන ජාල ආරක්ෂාව පිළිබඳ පූර්ණ පාලනයක් සපයයි. කෙසේ වෙතත්, හැකි සියලුම නුසුදුසු URL කල්තියා පුරෝකථනය කළ නොහැක. මීට අමතරව, සැක සහිත අන්තර්ගතයන් සහිත සමහර වෙබ් අඩවි URL සමඟ ක්‍රියා නොකරයි, නමුත් තනිකරම IP ලිපින සමඟ.

ගැටලුව විසඳීමට එක් ක්රමයක් වන්නේ HTTP ප්රොටෝකෝලය හරහා ලැබෙන අන්තර්ගතය පෙරීමයි. පවතින අන්තර්ගත පෙරහන් පද්ධතිවල අවාසිය නම් ස්ථිතිකව ජනනය කරන ලද ප්‍රවේශ පාලන ලැයිස්තු භාවිතයයි. ඒවා පිරවීම සඳහා, වාණිජ අන්තර්ගත පෙරහන් පද්ධති සංවර්ධකයින් විසින් දත්ත සමුදාය තුළ අන්තර්ගත කාණ්ඩවලට බෙදා වාර්තා ශ්‍රේණිගත කරන සේවකයින් බඳවා ගනී.

අධ්‍යාපනික ජාල සඳහා පවතින අන්තර්ගත පෙරහන් පද්ධතිවල අඩුපාඩු ඉවත් කිරීම සඳහා, එහි පිටු වල අන්තර්ගතය මත පදනම්ව වෙබ් සම්පතක කාණ්ඩයේ ගතික නිර්ණය සමඟ වෙබ් ගමනාගමන පෙරහන් පද්ධති සංවර්ධනය කිරීම අදාළ වේ.

3. දැනගත් විද්‍යාත්මක නව්‍යතාවය

ප්‍රමාද වූ වර්ගීකරණය හරහා තොරතුරු සම්පත් වෙත ප්‍රවේශ ලැයිස්තු ගතිකව ගොඩනැගීම මත පදනම්ව, බුද්ධිමත් ඉගෙනුම් පද්ධති භාවිතා කරන්නන්ගේ අන්තර්ජාල වෙබ් අඩවිවල අනවශ්‍ය සම්පත් වෙත ප්‍රවේශය සීමා කිරීමේ ඇල්ගොරිතමයකි.

4. සැලසුම්ගත ප්‍රායෝගික ප්‍රතිඵල

බුද්ධිමත් පරිගණක ඉගෙනුම් පද්ධතිවල අනවශ්‍ය සම්පත් වෙත ප්‍රවේශය සීමා කිරීම සඳහා සංවර්ධිත ඇල්ගොරිතම පද්ධතිවල භාවිතා කළ හැක.

5. පර්යේෂණ හා සංවර්ධන සමාලෝචනය

5.1 ගෝලීය මට්ටමින් මාතෘකාව පිළිබඳ පර්යේෂණ සහ සංවර්ධන දළ විශ්ලේෂණය

එවැනි ප්රසිද්ධ විද්යාඥයින්ගේ කාර්යය: H.H. තොරතුරු සුරක්ෂිතභාවය සහතික කිරීමේ ගැටළු සඳහා කැපවී ඇත. බෙස්රුකොව්, පී.ඩී. Zegzda, A.M. ඉවාෂ්කෝ, ඒ.අයි. කොස්ටොග්රිසොව්, වී.අයි. Kurbatov K. Lendver, D. McLean, A.A. Moldovyan, H.A. Moldovyan, A.A. Malyuk, E.A. Derbin, R. Sandhu, J.M. Carroll සහ වෙනත් අය. ඒ අතරම, ආයතනික සහ විවෘත ජාලවල පෙළ මූලාශ්‍ර විශාල ප්‍රමාණයක් තිබියදීත්, තොරතුරු ආරක්ෂාව සඳහා ක්‍රම සහ පද්ධති සංවර්ධනය කිරීමේ ක්ෂේත්‍රයේ, ආරක්ෂක තර්ජන විශ්ලේෂණය කිරීම සහ වෙබ් වෙත ප්‍රවේශ වීමත් සමඟ පරිගණක පුහුණුවේදී අනවශ්‍ය සම්පත් වෙත ප්‍රවේශය සීමා කිරීම අධ්‍යයනය කිරීම අරමුණු කරගත් පර්යේෂණ .

යුක්රේනයේ, මෙම ප්රදේශයේ ප්රධාන පර්යේෂකයා වන්නේ V.V. Domarev ය. . ඔහුගේ නිබන්ධන පර්යේෂණ සංකීර්ණ තොරතුරු ආරක්ෂණ පද්ධති නිර්මාණය කිරීමේ ගැටළු සඳහා කැප කර ඇත. පොත්වල කර්තෘ: "ආරක්ෂාව තොරතුරු තාක්ෂණ. ආරක්ෂණ පද්ධති නිර්මාණය කිරීමේ ක්රමවේදය", "තොරතුරු තාක්ෂණයේ ආරක්ෂාව. ක්‍රමානුකූල ප්‍රවේශය” යනාදිය, විද්‍යාත්මක ලිපි සහ ප්‍රකාශන 40 කට වැඩි ගණනක කතුවරයා.

5.2 ජාතික මට්ටමේ මාතෘකාව පිළිබඳ පර්යේෂණ සහ සංවර්ධන සමාලෝචනය

ඩොනෙට්ස්ක් ජාතික තාක්ෂණික විශ්ව විද්‍යාලයේ, තොරතුරු ආරක්ෂණ පද්ධතියක් නිර්මාණය කිරීම සඳහා ආකෘති සහ ක්‍රම සංවර්ධනය කිරීම ආයතනික ජාලය Khimka S.S. විවිධ නිර්ණායක සැලකිල්ලට ගනිමින් ව්යවසායයට සම්බන්ධ විය. . අධ්‍යාපන පද්ධතිවල තොරතුරු ආරක්ෂා කිරීම යූ.එස්. .

6. අධ්‍යාපන පද්ධතිවල වෙබ් සම්පත් වෙත ප්‍රවේශය සීමා කිරීමේ ගැටළු

තොරතුරු තාක්‍ෂණයේ දියුණුව දැනට සම්පත් විස්තර කිරීමේ අංශ දෙකක් ගැන කතා කිරීමට අපට ඉඩ සලසයි: අන්තර්ජාල අන්තර්ගතය සහ ප්‍රවේශ යටිතල පහසුකම්. ප්‍රවේශ යටිතල ව්‍යුහය සාමාන්‍යයෙන් දෘඪාංග කට්ටලයක් ලෙස සහ මෘදුකාංග, IP පැකට් ආකෘතියෙන් දත්ත සම්ප්‍රේෂණය සැපයීම සහ අන්තර්ගතය යනු ඉදිරිපත් කිරීමේ පෝරමය (උදාහරණයක් ලෙස, යම් කේතනයක අක්ෂර අනුපිළිවෙලක් ලෙස) සහ තොරතුරුවල අන්තර්ගතය (අර්ථාර්ථ විද්‍යාව) සංයෝජනයක් ලෙස අර්ථ දැක්වේ. එවැනි විස්තරයක ලාක්ෂණික ගුණාංග අතර, පහත සඳහන් කරුණු ඉස්මතු කළ යුතුය:

1. ප්‍රවේශ යටිතල ව්‍යුහයෙන් අන්තර්ගතයේ ස්වාධීනත්වය;

2. අන්තර්ගතයේ අඛණ්ඩ ගුණාත්මක හා ප්රමාණාත්මක වෙනස්කම්;

3. නව අන්තර්ක්‍රියාකාරී තොරතුරු සම්පත් මතුවීම ("සජීවී සඟරා", සමාජ මාධ්ය, නිදහස් විශ්වකෝෂ, ආදිය), පරිශීලකයින් සබැඳි අන්තර්ගතයන් නිර්මාණය කිරීමට සෘජුවම සහභාගී වේ.

තොරතුරු සම්පත් වෙත ප්රවේශ පාලනය පිළිබඳ ගැටළු විසඳීමේදී, යටිතල පහසුකම් සහ ජාල අන්තර්ගතයේ ලක්ෂණ සම්බන්ධයෙන් විසඳා ඇති ආරක්ෂක ප්රතිපත්ති සංවර්ධනය කිරීමේ ගැටළු ඉතා වැදගත් වේ. තොරතුරු ආරක්ෂණ ආකෘතියේ විස්තර කිරීමේ මට්ටම වැඩි වන තරමට ප්‍රවේශ පාලනය ජාල සම්පත්වල අර්ථ ශාස්ත්‍රය කෙරෙහි අවධානය යොමු කරයි. පැහැදිලිවම, MAC සහ IP ලිපින (සබැඳිය සහ ජාල ස්ථරයඅන්තර්ක්‍රියා) එකම ලිපිනයට විවිධ සේවාවන් නියෝජනය කළ හැකි බැවින් ජාල උපාංග අතුරුමුහුණත් කිසිදු දත්ත කාණ්ඩයකට සම්බන්ධ කළ නොහැක. වරාය අංක (ප්‍රවාහන ස්තරය), රීතියක් ලෙස, සේවා වර්ගය පිළිබඳ අදහසක් ලබා දෙයි, නමුත් මෙම සේවාව මගින් සපයනු ලබන තොරතුරු ගුණාත්මකව සංලක්ෂිත නොකරන්න. උදාහරණයක් ලෙස, ප්‍රවාහන ස්ථරයේ තොරතුරු මත පමණක් පදනම් වූ විශේෂිත වෙබ් අඩවියක් අර්ථකථන කාණ්ඩ (මාධ්‍ය, ව්‍යාපාර, විනෝදාස්වාදය, ආදිය) එකකට වර්ගීකරණය කළ නොහැක. ආරක්ෂක තොරතුරු ආරක්ෂාවයෙදුම් මට්ටමේදී එය අන්තර්ගත පෙරහන සංකල්පයට සමීප වේ, i.e. ජාල සම්පත්වල අර්ථකථනය සැලකිල්ලට ගනිමින් ප්රවේශ පාලනය. එහි ප්‍රතිඵලයක් වශයෙන්, ප්‍රවේශ පාලන පද්ධතිය වඩාත් අන්තර්ගත-නැඹුරු වන තරමට, විවිධ පරිශීලක කාණ්ඩවලට අදාළ ප්‍රවේශය වඩාත් වෙනස් වන අතර තොරතුරු සම්පත් එහි ආධාරයෙන් ක්‍රියාත්මක කළ හැකිය. විශේෂයෙන්ම, අර්ථාන්විතව නැඹුරු පාලන පද්ධතියක්, ඉගෙනුම් ක්රියාවලියට නොගැලපෙන සම්පත් වෙත අධ්යාපන ආයතනවල සිසුන්ගේ ප්රවේශය ඵලදායී ලෙස සීමා කළ හැකිය.

වෙබ් සම්පතක් ලබා ගැනීමේ ක්‍රියාවලිය සඳහා හැකි විකල්ප රූප සටහන 1 හි දක්වා ඇත

රූපය 1 - HTTP ප්‍රොටෝකෝලය හරහා වෙබ් සම්පතක් ලබා ගැනීමේ ක්‍රියාවලිය

අන්තර්ජාල සම්පත් භාවිතය පිළිබඳ නම්යශීලී පාලනයක් සහතික කිරීම සඳහා, ක්රියාකරු සමාගමෙහි අධ්යාපනික සංවිධානයක් විසින් සම්පත් භාවිතය සඳහා සුදුසු ප්රතිපත්තියක් හඳුන්වා දීම අවශ්ය වේ. මෙම ප්‍රතිපත්තිය අතින් හෝ ස්වයංක්‍රීයව ක්‍රියාත්මක කළ හැක. "අත්පොත" ක්‍රියාත්මක කිරීම යනු අධ්‍යාපන ආයතන භාවිතා කරන්නන්ගේ ක්‍රියාකාරකම් තත්‍ය කාලීනව නිරීක්ෂණය කරන හෝ රවුටර, ප්‍රොක්සි සර්වර් හෝ ෆයර්වෝල් වලින් ලොග් භාවිතා කරන විශේෂ කාර්ය මණ්ඩලයක් සමාගමට ඇති බවයි. එවැනි නිරීක්ෂණයක් ගැටළු සහගත වන්නේ එය ශ්රමය ගොඩක් අවශ්ය වන බැවිනි. අන්තර්ජාල සම්පත් භාවිතය පිළිබඳ නම්‍යශීලී පාලනයක් සැපයීම සඳහා, සමාගම විසින් සංවිධානයේ සම්පත් භාවිත ප්‍රතිපත්තිය ක්‍රියාත්මක කිරීම සඳහා මෙවලමක් පරිපාලකයාට සැපයිය යුතුය. අන්තර්ගත පෙරහන මෙම අරමුණ ඉටු කරයි. එහි සාරය පවතින්නේ තොරතුරු හුවමාරු වස්තු සංරචක බවට වියෝජනය කිරීම, මෙම සංරචකවල අන්තර්ගතය විශ්ලේෂණය කිරීම, අන්තර්ජාල සම්පත් භාවිතය සඳහා පිළිගත් ප්‍රතිපත්තිය සමඟ ඒවායේ පරාමිතීන්ගේ අනුකූලතාවය තීරණය කිරීම සහ එවැනි විශ්ලේෂණවල ප්‍රති results ල මත පදනම්ව යම් ක්‍රියාමාර්ග ගැනීමයි. වෙබ් ගමනාගමනය පෙරීමේදී, තොරතුරු හුවමාරු කිරීමේ වස්තූන් වෙබ් ඉල්ලීම්, වෙබ් පිටු වල අන්තර්ගතය සහ පරිශීලක ඉල්ලීම මත මාරු කරන ලද ගොනු ලෙස වටහා ගනු ලැබේ.

අධ්‍යාපන සංවිධානයේ පරිශීලකයින් ප්‍රොක්සි සේවාදායකයක් හරහා පමණක් අන්තර්ජාලයට ප්‍රවේශය ලබා ගනී. ඔබ යම් සම්පතකට ප්‍රවේශය ලබා ගැනීමට උත්සාහ කරන සෑම අවස්ථාවකම, ප්‍රොක්සි සේවාදායකය එම සම්පත විශේෂ දත්ත ගබඩාවක ඇතුළත් කර ඇත්දැයි පරීක්ෂා කරයි. එවැනි සම්පතක් තහනම් සම්පත් වල දත්ත ගබඩාවේ තබා ඇත්නම්, එයට ප්රවේශය අවහිර කර ඇති අතර, පරිශීලකයාට තිරය මත අනුරූප පණිවිඩයක් ලබා දෙනු ලැබේ.

ඉල්ලූ සම්පත තහනම් සම්පත් වල දත්ත ගබඩාවේ නොමැති නම්, එයට ප්‍රවේශය ලබා දෙනු ලැබේ, නමුත් මෙම සම්පත නැරඹීමේ වාර්තාවක් විශේෂ සේවා ලොගයක සටහන් වේ. දිනකට වරක් (හෝ වෙනත් කාල පරතරයන්හිදී), ප්‍රොක්සි සේවාදායකය වැඩිපුරම පැමිණි සම්පත් ලැයිස්තුවක් (URL ලැයිස්තුවක් ආකාරයෙන්) ජනනය කර එය ප්‍රවීණයන් වෙත යවයි. විශේෂඥයින් (පද්ධති පරිපාලකයින්), සුදුසු ක්‍රමවේදය භාවිතා කරමින්, ලැබෙන සම්පත් ලැයිස්තුව පරීක්ෂා කර ඒවායේ ස්වභාවය තීරණය කරන්න. සම්පත ඉලක්ක නොවන ස්වභාවයක් නම්, විශේෂඥයා එය වර්ගීකරණය කරයි (කාමුක සම්පත්, සූදු සම්පත්) සහ දත්ත සමුදායේ වෙනසක් සිදු කරයි. අවශ්‍ය සියලුම වෙනස්කම් සිදු කිරීමෙන් පසු, දත්ත සමුදායේ යාවත්කාලීන අනුවාදය ස්වයංක්‍රීයව පද්ධතියට සම්බන්ධ සියලුම ප්‍රොක්සි සේවාදායකයන් වෙත යවනු ලැබේ. ප්‍රොක්සි සේවාදායකයන්හි ඉලක්ක නොවන සම්පත් සඳහා පෙරීමේ ක්‍රමය රූපයේ දැක්වේ. 2.

රූපය 2 - ප්‍රොක්සි සර්වර් මත ඉලක්ක නොවන සම්පත් පෙරීමේ මූලික මූලධර්ම

ප්‍රොක්සි සර්වර් මත ඉලක්ක නොවන සම්පත් පෙරීමේ ගැටළු පහත පරිදි වේ. මධ්යගත පෙරහන සමඟ, මධ්යම ඒකකයේ ඉහළ කාර්යසාධන උපකරණ අවශ්ය වේ, විශාල හරහාමධ්‍යම නෝඩයේ සන්නිවේදන නාලිකා, මධ්‍යම නෝඩයේ අසමත් වීම සමස්ත පෙරීමේ පද්ධතියේ සම්පූර්ණ අසාර්ථකත්වයට හේතු වේ.

සංවිධානයේ වැඩපොළවල් හෝ සේවාදායකයන් මත සෘජුවම "ක්ෂේත්රයෙහි" විමධ්යගත පෙරහන සමඟ, යෙදවීමේ සහ සහායක පිරිවැය ඉහළ ය.

ඉල්ලීමක් යැවීමේ අදියරේදී ලිපිනයෙන් පෙරීමේදී, අනවශ්ය අන්තර්ගතයන් ඇතිවීම වැළැක්වීමේ ප්රතික්රියාවක් නොමැති අතර, "වෙස්" වෙබ් අඩවි පෙරීමේදී දුෂ්කරතා ඇත.

අන්තර්ගතය අනුව පෙරීමේදී, එක් එක් සම්පත් ලැබීමේදී විශාල තොරතුරු ප්‍රමාණයක් සැකසීමට අවශ්‍ය වන අතර, ජාවා, ෆ්ලෑෂ් වැනි මෙවලම් භාවිතයෙන් සකස් කරන ලද සම්පත් සැකසීමේ සංකීර්ණත්වය.

7. බුද්ධිමත් පුහුණු පද්ධති භාවිතා කරන්නන් සඳහා වෙබ් සම්පත් වල තොරතුරු ආරක්ෂාව

අන්තර්ජාල සම්පත් වෙත ප්රවේශ පාලන මෙවලම් ඒකාබද්ධ කිරීමේ ධූරාවලි මූලධර්මය මත පදනම් වූ පොදු විසඳුමක් භාවිතා කරමින් තොරතුරු සම්පත් වෙත ප්රවේශය පාලනය කිරීමේ හැකියාව සලකා බලමු (රූපය 3). IOS වෙතින් අනවශ්‍ය IR වෙත ප්‍රවේශය සීමා කිරීම ෆයර්වෝල් කිරීම, ප්‍රොක්සි සර්වර් භාවිතය, අනවසර ක්‍රියාකාරකම් හඳුනාගැනීම සඳහා විෂම ක්‍රියාකාරකම් විශ්ලේෂණය, කලාප පළල සීමා කිරීම, අන්තර්ගත විශ්ලේෂණය මත පදනම්ව පෙරීම, ප්‍රවේශ ලැයිස්තු මත පදනම්ව පෙරීම වැනි තාක්ෂණයන්ගේ එකතුවක් හරහා සාක්ෂාත් කරගත හැකිය. මෙම අවස්ථාවෙහිදී, ප්රධාන කාර්යයන්ගෙන් එකක් වන්නේ යාවත්කාලීන ප්රවේශ සීමා කිරීම් ලැයිස්තු සෑදීම සහ භාවිතයයි.

අනවශ්ය සම්පත් පෙරීම ධාරාව අනුව සිදු කෙරේ නියාමන ලියවිලිස්ථාපිත ක්රියා පටිපාටියට අනුකූලව ප්රකාශයට පත් කරන ලද ලැයිස්තු මත පදනම්ව. අනෙකුත් තොරතුරු සම්පත් වෙත ප්රවේශය සීමා කිරීම අධ්යාපනික ජාලයේ ක්රියාකරු විසින් සකස් කරන ලද විශේෂ නිර්ණායක මත සිදු කරනු ලැබේ.

විභව අනවශ්‍ය සම්පතකට වුවද, නිශ්චිත සංඛ්‍යාතයට පහළින් පරිශීලක ප්‍රවේශය පිළිගත හැකිය. ඉල්ලුමේ ඇති සම්පත් පමණක් විශ්ලේෂණයට සහ වර්ගීකරණයට යටත් වේ, එනම්, පරිශීලක ඉල්ලීම් සංඛ්‍යාව නිශ්චිත සීමාව ඉක්මවා ඇති ඒවාය. ස්කෑන් කිරීම සහ විශ්ලේෂණය සිදු කරනු ලබන්නේ ඉල්ලීම් ගණන සීමාව ඉක්මවා ගිය පසු (බාහිර නාලිකා වල අවම බර පැටවීමේ කාලය තුළ) ටික වේලාවකට පසුවය.

එය පරිලෝකනය කරනු ලබන්නේ තනි වෙබ් පිටු පමණක් නොව, ඒවාට සම්බන්ධ සියලුම සම්පත් (පිටුවේ ඇති සබැඳි විශ්ලේෂණය කිරීමෙන්). ප්රතිඵලයක් වශයෙන්, සම්පත් පරිලෝකනය කිරීමේදී අනිෂ්ට මෘදුකාංග වෙත සබැඳි තිබේද යන්න තීරණය කිරීමට මෙම ප්රවේශය ඔබට ඉඩ සලසයි.

රූපය 3 - අන්තර්ජාල සම්පත් වෙත ප්‍රවේශ පාලන මෙවලම් ධුරාවලිය

(සජීවීකරණය, රාමු 24, 25 KB)

සම්පත් ස්වයංක්‍රීයව වර්ගීකරණය කිරීම සේවාලාභියාගේ ආයතනික සේවාදායකය මත සිදු කෙරේ - පද්ධතියේ හිමිකරු. ප්‍රමාද වූ සම්පත් වර්ගීකරණය පිළිබඳ සංකල්පය මත පදනම් වූ වර්ගීකරණ කාලය තීරණය කරනු ලබන්නේ භාවිතා කරන ක්‍රමය මගිනි. මෙය උපකල්පනය කරන්නේ, විභව අනවශ්‍ය සම්පතකට වුවද, නිශ්චිත සංඛ්‍යාතයකට අඩු පරිශීලක ප්‍රවේශය පිළිගත හැකි බවයි. මෙය මිල අධික ලෙස පියාසර කරන වර්ගීකරණය වළක්වයි. ඉල්ලුමේ ඇති සම්පත් පමණක් විශ්ලේෂණයට සහ ස්වයංක්‍රීය වර්ගීකරණයට යටත් වේ, එනම්, පරිශීලක ඉල්ලීම් සංඛ්‍යාතය නිශ්චිත සීමාව ඉක්මවා ඇති සම්පත්. ස්කෑන් කිරීම සහ විශ්ලේෂණය සිදු කරනු ලබන්නේ ඉල්ලීම් ගණන සීමාව ඉක්මවා ගිය පසු (බාහිර නාලිකා වල අවම බර පැටවීමේ කාලය තුළ) ටික වේලාවකට පසුවය. "කළු" (ChSP), "සුදු" (BSP) සහ "අළු" (GSP) යන ලැයිස්තු තුනක් ගතිකව ගොඩනැගීම සඳහා ක්‍රමය ක්‍රියාත්මක කරයි. කළු ලැයිස්තුවේ ඇති සම්පත් වෙත ප්‍රවේශ වීම තහනම්ය. සුදු ලැයිස්තුවේ සත්‍යාපිත අවසර ලත් සම්පත් අඩංගු වේ. "අළු" ලැයිස්තුවේ අවම වශයෙන් එක් වරක් පරිශීලකයින් විසින් ඉල්ලුමක් ඇති නමුත් වර්ගීකරණය නොකළ සම්පත් අඩංගු වේ. "කළු" ලැයිස්තුවේ මූලික ගොඩනැගීම සහ තවදුරටත් "අතින්" ගැලපීම සිදු කරනු ලබන්නේ බලයලත් රජයේ ආයතනය විසින් සපයනු ලබන තහනම් සම්පත් වල ලිපිනයන් පිළිබඳ නිල තොරතුරු මත ය. "සුදු" ලැයිස්තුවේ ආරම්භක අන්තර්ගතය භාවිතය සඳහා නිර්දේශිත සම්පත් වලින් සමන්විත වේ. කළු ලැයිස්තුවේ නැති සම්පතක් සඳහා වන ඕනෑම ඉල්ලීමක් ලබා දෙනු ලැබේ. මෙම සම්පත "සුදු" ලැයිස්තුවේ නොමැති නම්, එය "අළු" ලැයිස්තුවේ තබා ඇති අතර, මෙම සම්පත සඳහා ඉල්ලීම් සංඛ්යාව සටහන් කර ඇත. ඉල්ලීම් වාර ගණන යම් සීමාවක් ඉක්මවා ගියහොත්, සම්පතෙහි ස්වයංක්‍රීය වර්ගීකරණයක් සිදු කරනු ලැබේ, එය "කළු" හෝ "සුදු" ලැයිස්තුවට ඇතුළත් කර ඇත.

8. බුද්ධිමත් පුහුණු පද්ධති භාවිතා කරන්නන් සඳහා වෙබ් සම්පත් වල තොරතුරු ආරක්ෂාව තීරණය කිරීම සඳහා ඇල්ගොරිතම

ප්රවේශ සීමා කිරීමේ ඇල්ගොරිතම. IOS හි අනවශ්‍ය IR වෙත ප්‍රවේශ වීමේ අවදානම පිළිබඳ සංකල්පයේ පහත දැක්වෙන නිර්වචනය මත අන්තර්ජාල වෙබ් අඩවි වල අනවශ්‍ය සම්පත් වෙත ප්‍රවේශ වීම සීමා කෙරේ. k-th IR පන්තිය ලෙස වර්ගීකරණය කරන ලද අනවශ්‍ය i-th IR වෙත ප්‍රවේශ වීමේ අවදානම, ලබා දී ඇති IOS වර්ගයක හෝ පරිශීලකයාගේ අනන්‍යතාවයේ අනවශ්‍ය IR නිසා සිදුවන හානිය පිළිබඳ විශේෂඥ තක්සේරුවට සමානුපාතික අගයක් වනු ඇත. දී ඇති කාල සීමාවක් සඳහා මෙම සම්පතට ප්‍රවේශයන් ගණන:

තර්ජනයක් සාක්ෂාත් කර ගැනීමේ සම්භාවිතාවේ නිෂ්පාදනයක් ලෙස අවදානම පිළිබඳ සම්භාව්‍ය නිර්වචනය හා සිදුවන හානියේ පිරිවැය සහ මෙම නිර්වචනය අනවශ්‍ය IR වෙත ප්‍රවේශ වීමෙන් සිදුවිය හැකි හානියේ ගණිතමය අපේක්ෂාව ලෙස අවදානම අර්ථකථනය කරයි. මෙම අවස්ථාවෙහිදී, අපේක්ෂිත හානියේ ප්‍රමාණය තීරණය වන්නේ පරිශීලකයින්ගේ පෞරුෂය මත IR හි බලපෑමේ ප්‍රමාණය අනුව වන අතර එය මෙම බලපෑම අත්විඳින පරිශීලකයින් සංඛ්‍යාවට සෘජුවම සමානුපාතික වේ.

ඕනෑම වෙබ් සම්පතක් විශ්ලේෂණය කිරීමේ ක්‍රියාවලියේදී, එයට ප්‍රවේශ වීමේ යෝග්‍යතාවය හෝ නුසුදුසු බව යන දෘෂ්ටි කෝණයෙන්, එහි එක් එක් පිටුවේ පහත සඳහන් ප්‍රධාන සංරචක සලකා බැලීම අවශ්‍ය වේ: අන්තර්ගතය, එනම් පෙළ සහ වෙනත් (ග්‍රැෆික්, ඡායාරූපය, වීඩියෝ) මෙම පිටුවේ පළ කර ඇති තොරතුරු; එකම වෙබ් අඩවියේ වෙනත් පිටු වල පළ කර ඇති අන්තර්ගතය (පූරණය කළ පිටු වල අන්තර්ගතයෙන් ඔබට අභ්‍යන්තර සබැඳි ලබා ගත හැක නිත්‍ය ප්‍රකාශන); වෙනත් අඩවි වෙත සම්බන්ධතා (දෙකම අනුව හැකි බාගත කිරීමවෛරස් සහ ට්‍රෝජන්), සහ අනවශ්‍ය අන්තර්ගතයන් තිබීමේ දෘෂ්ටි කෝණයෙන්. ලැයිස්තු භාවිතයෙන් අනවශ්‍ය සම්පත් වෙත ප්‍රවේශය සීමා කිරීම සඳහා ඇල්ගොරිතමයක් රූපයේ දැක්වේ. 4.

රූපය 4 - අනවශ්‍ය සම්පත් වෙත ප්‍රවේශය සීමා කිරීම සඳහා ඇල්ගොරිතම

අනවශ්‍ය වෙබ් පිටු හඳුනාගැනීමේ ඇල්ගොරිතම. අන්තර්ගතය වර්ග කිරීම සඳහා - වෙබ් පිටු පෙළ - පහත සඳහන් ගැටළු විසඳීමට අවශ්ය වේ: වර්ගීකරණ කාණ්ඩ නියම කිරීම; ස්වයංක්රීයව විශ්ලේෂණය කළ හැකි මූලාශ්ර පාඨ වලින් තොරතුරු උපුටා ගැනීම; වර්ගීකරණය කරන ලද පෙළ එකතු කිරීම් නිර්මාණය කිරීම; ලබාගත් දත්ත කට්ටල සමඟ වැඩ කරන වර්ගීකාරකයක් ඉදිකිරීම සහ පුහුණු කිරීම.

වර්ගීකරණය කරන ලද පාඨවල පුහුණු කට්ටලය විශ්ලේෂණය කරනු ලැබේ, පද හඳුනා ගැනීම - පොදුවේ බහුලව භාවිතා වන වචන ආකෘති සහ එක් එක් වර්ගීකරණ කාණ්ඩය සඳහා වෙන වෙනම. සෑම මූලාශ්‍ර පෙළක්ම දෛශිකයක් ලෙස නිරූපණය කෙරේ, එහි සංරචක පෙළෙහි දී ඇති පදයක් ඇතිවීමේ ලක්ෂණ වේ. දෛශික ස්පාර්සිටි වළක්වා ගැනීමට සහ ඒවායේ මානය අඩු කිරීම සඳහා, රූප විද්‍යාත්මක විශ්ලේෂණ ක්‍රම භාවිතා කරමින් වචන ආකෘති ඒවායේ ආරම්භක ස්වරූපයට අඩු කිරීම සුදුසුය. මෙයින් පසු, දෛශිකය සාමාන්යකරණය කළ යුතු අතර, එය වඩාත් නිවැරදි වර්ගීකරණ ප්රතිඵලය ලබා ගැනීමට අපට ඉඩ සලසයි. එක් වෙබ් පිටුවක් සඳහා, දෛශික දෙකක් ජනනය කළ හැක: පරිශීලකයාට ප්‍රදර්ශනය වන තොරතුරු සඳහා සහ සෙවුම් යන්ත්‍ර සඳහා සපයන ලද පෙළ සඳහා.

වෙබ් පිටු වර්ගීකාරක තැනීම සඳහා විවිධ ප්රවේශයන් තිබේ. වඩාත් බහුලව භාවිතා වන්නේ: Bayesian වර්ගීකාරකය; ස්නායු ජාල; රේඛීය වර්ගීකරණ; ආධාරක දෛශික යන්ත්රය (SVM). ඉහත සඳහන් සියලු ක්‍රම සඳහා පුහුණු එකතුවක් පිළිබඳ පුහුණුව සහ පරීක්ෂණ එකතුවක් පිළිබඳ පරීක්ෂණ අවශ්‍ය වේ. ද්විමය වර්ගීකරණය සඳහා, ඔබට දෛශික අවකාශයේ ඇති ලක්ෂණ එකිනෙකින් ස්වාධීන බව උපකල්පනය කරන බොළඳ බේස් විසඳුමක් තෝරා ගත හැකිය. සියලුම සම්පත් යෝග්‍ය සහ නුසුදුසු ලෙස වර්ග කළ යුතු යැයි අපි උපකල්පනය කරමු. එවිට සම්පූර්ණ වෙබ් පිටු පෙළ සාම්පල එකතුව පන්ති දෙකකට බෙදා ඇත: C=(C1, C2) සහ එක් එක් පන්තියේ පූර්ව සම්භාවිතාව P(Ci), i=1,2 වේ. ප්‍රමාණවත් තරම් විශාල සාම්පල එකතුවක් සමඟ, අපට P(Ci) යනු Ci පන්තියේ සාම්පල සංඛ්‍යාවේ මුළු සාම්පල ගණනට අනුපාතයට සමාන යැයි උපකල්පනය කළ හැකිය. සමහර D සාම්පල වර්ගීකරණය කිරීම සඳහා, කොන්දේසි සහිත සම්භාවිතාව P(D/Ci), Bayes ප්‍රමේයය අනුව, P(Ci/D) අගය ලබා ගත හැක:

P(D) හි ස්ථාවරත්වය සැලකිල්ලට ගනිමින් අපි ලබා ගන්නේ:

දෛශික අවකාශයේ නියමයන් එකිනෙකින් ස්වාධීන යැයි උපකල්පනය කරමින්, අපට පහත සම්බන්ධතාවය ලබා ගත හැක:

සමාන ලක්ෂණ ඇති පෙළ වඩාත් නිවැරදිව වර්ගීකරණය කිරීම සඳහා (උදාහරණයක් ලෙස, කාමුක දර්ශන විස්තර කරන කාමුක දර්ශන සහ ප්‍රබන්ධ අතර වෙනස හඳුනා ගැනීමට), බර කිරීමේ සංගුණක හඳුන්වා දිය යුතුය:

kn=k නම්; kn k ට වඩා අඩු නම්, kn.=1/|k|. මෙහි M යනු නියැදි දත්ත ගබඩාවේ ඇති සියලුම පදවල සංඛ්‍යාතය, L යනු සියලුම සාම්පල ගණනයි.

9. ඇල්ගොරිතම වැඩිදියුණු කිරීම සඳහා උපදෙස්

අනාගතයේදී, වෙබ් පිටුවක කේතයට අනිෂ්ට කේතය හඳුන්වාදීම හඳුනා ගැනීමට සහ ආධාරක දෛශික යන්ත්‍රය සමඟ Bayesian වර්ගීකරණය සංසන්දනය කිරීම සඳහා සබැඳි විශ්ලේෂණය සඳහා ඇල්ගොරිතමයක් සංවර්ධනය කිරීමට සැලසුම් කර ඇත.

10. නිගමන

අධ්‍යාපන පද්ධතිවල වෙබ් සම්පත් වෙත ප්‍රවේශය සීමා කිරීමේ ගැටලුව පිළිබඳ විශ්ලේෂණයක් සිදු කර ඇත. ප්‍රොක්සි සර්වර් මත ඉලක්ක නොවන සම්පත් පෙරීමේ මූලික මූලධර්ම තෝරාගෙන ඇත්තේ වත්මන් ප්‍රවේශ සීමා කිරීම් ලැයිස්තු සෑදීම සහ භාවිතය මත පදනම්වය. ලැයිස්තු භාවිතයෙන් අනවශ්‍ය සම්පත් වෙත ප්‍රවේශය සීමා කිරීම සඳහා ඇල්ගොරිතමයක් සකස් කර ඇති අතර, එය සංචාරවල වාර ගණන සහ පරිශීලක ජනගහනය සැලකිල්ලට ගනිමින්, ඒවායේ අන්තර්ගත විශ්ලේෂණයක් මත පදනම්ව IR වෙත ප්‍රවේශ ලැයිස්තු ගතිකව උත්පාදනය කිරීමට සහ යාවත්කාලීන කිරීමට හැකි වේ. අනවශ්‍ය අන්තර්ගතයන් හඳුනා ගැනීම සඳහා, බොළඳ Bayes වර්ගීකරණයක් මත පදනම් වූ ඇල්ගොරිතමයක් සකස් කර ඇත.

මූලාශ්ර ලැයිස්තුව

1. ශීත V. M. ගෝලීය ආරක්ෂාව ජාල තාක්ෂණයන්/ V. Zima, A. Moldovyan, N. Moldovyan. - 2 වන සංස්කරණය. - ශාන්ත පීටර්ස්බර්ග්: BHV-පීටර්ස්බර්ග්, 2003. - 362 පි.
2. Vorotnitsky Yu. I. විද්‍යාත්මක හා අධ්‍යාපනික වශයෙන් අනවශ්‍ය බාහිර තොරතුරු සම්පත් වෙත ප්‍රවේශ වීමෙන් ආරක්ෂා වීම පරිගණක ජාල/ Yu. I. Vorotnitsky, Xie Jinbao // Mat. XIV Int. conf. "පුළුල් තොරතුරු ආරක්ෂාව." - මොගිලෙව්, 2009. - පිටු 70-71.

ඔබට දුර්වලතා සඳහා අඩවි පරීක්ෂා කළ හැකි හොඳම වෙබ් සේවා. HP ඇස්තමේන්තු කරන්නේ සියලුම දුර්වලතා වලින් 80% වැරදි වෙබ් සේවාදායක සැකසුම්, යල් පැන ගිය මෘදුකාංග භාවිතය හෝ පහසුවෙන් මග හැරිය හැකි වෙනත් ගැටළු නිසා ඇති වන බවයි.

සමාලෝචනයේ ඇති සේවාවන් එවැනි තත්වයන් හඳුනා ගැනීමට උපකාරී වේ. සාමාන්‍යයෙන්, ස්කෑනර් දන්නා දුර්වලතා පිළිබඳ දත්ත ගබඩාවකට එරෙහිව පරීක්ෂා කරයි. ඒවායින් සමහරක් තරමක් සරල වන අතර ඒවා පරීක්ෂා කිරීම පමණි විවෘත වරායන්, අනෙක් අය වඩාත් ප්‍රවේශමෙන් වැඩ කරන අතර SQL එන්නත් කිරීමට පවා උත්සාහ කරති.

WebSAINT

SAINT යනු WebSAINT සහ WebSAINT Pro වෙබ් සේවා සාදනු ලබන සුප්‍රසිද්ධ අවදානම් ස්කෑනරයකි. අනුමත ස්කෑනිං වෙළෙන්දෙකු ලෙස, සේවාව PCI DSS සහතික කිරීමේ කොන්දේසි යටතේ අවශ්‍ය වන ආයතනවල වෙබ් අඩවි ASV ස්කෑන් කිරීම සිදු කරයි. එය කාලසටහනකට අනුව ක්‍රියා කළ හැකි අතර වරින් වර පරීක්ෂා කිරීම් සිදු කළ හැකි අතර ස්කෑන් කිරීමේ ප්‍රතිඵල මත පදනම්ව විවිධ වාර්තා ජනනය කරයි. WebSAINT විසින් TCP සහ UDP ports පරිශිලකයාගේ ජාලයේ නිශ්චිත ලිපිනයන් පරිලෝකනය කරයි. "වෘත්තීය" අනුවාදය pentests සහ වෙබ් යෙදුම් ස්කෑන් කිරීම සහ අභිරුචි වාර්තා එකතු කරයි.

ImmuniWeb

High-Tech Bridge වෙතින් වන ImmuniWeb සේවාව ස්කෑන් කිරීම සඳහා තරමක් වෙනස් ප්‍රවේශයක් භාවිතා කරයි: ස්වයංක්‍රීය පරිලෝකනයට අමතරව, එය අතින් pentests ද ලබා දෙයි. ක්රියා පටිපාටිය සේවාදායකයා විසින් නියම කරන ලද වේලාවට ආරම්භ වන අතර පැය 12 දක්වා ගත වේ. සේවාලාභියා වෙත යැවීමට පෙර සමාගමේ සේවකයින් විසින් වාර්තාව සමාලෝචනය කරනු ලැබේ. වෙබ් යෙදුමේ ප්‍රභව කේතය වෙනස් කිරීම, ෆයර්වෝල් නීති වෙනස් කිරීම සහ පැච් එකක් ස්ථාපනය කිරීම ඇතුළුව, හඳුනාගත් එක් එක් අවදානම ඉවත් කිරීමට අවම වශයෙන් ක්‍රම තුනක් එය නියම කරයි.

මිනිස් ශ්‍රමයට වඩා වැඩි මුදලක් ගෙවිය යුතුය ස්වයංක්රීය චෙක්පත. ImmuniWeb pentests සමඟ සම්පූර්ණ ස්කෑන් කිරීමක මිල ඩොලර් 639 කි.

SaaS වලින් ඔබ්බට

BeyondTrust's BeyondSaaS තවත් වැඩි වනු ඇත. ගනුදෙනුකරුවන්ට ඩොලර් 3,500 සඳහා දායකත්වයක් පිරිනමනු ලැබේ, ඉන්පසු ඔවුන්ට වසර පුරා අසීමිත විගණන ගණනක් සිදු කළ හැකිය. එක් වරක් ස්කෑන් කිරීම ඩොලර් 700 කි. SQL එන්නත්, XSS, CSRF සහ මෙහෙයුම් පද්ධති දුර්වලතා සඳහා වෙබ් අඩවි පරීක්ෂා කෙරේ. ව්‍යාජ ධනාත්මක සම්භාවිතාව 1% ට වඩා වැඩි නොවන බව සංවර්ධකයින් ප්‍රකාශ කරන අතර, වාර්තා වල ගැටළු නිවැරදි කිරීම සඳහා විකල්ප ද දක්වයි.

BeyondTrust විසින් IP ලිපින 256කට සීමා වූ නොමිලේ Retina Network Community ඇතුළු අනෙකුත් අවදානම් පරිලෝකන මෙවලම් පිරිනමයි.

Dell Secure Works

Dell Secure Works සමහර විට සමාලෝචනය කරන ලද වෙබ් ස්කෑනර් අතරින් වඩාත්ම දියුණු වේ. එය QualysGuard Vulnerability Management තාක්‍ෂණය මත ක්‍රියාත්මක වන අතර වෙබ් සේවාදායකයන් පරීක්ෂා කරයි, ජාල උපාංග, යෙදුම් සේවාදායකයන් සහ DBMS ආයතනික ජාලය තුළ සහ වලාකුළු සත්කාරකත්වය මත. වෙබ් සේවාව PCI, HIPAA, GLBA සහ NERC CIP අවශ්‍යතා සමඟ අනුකූල වේ.