คุ้มครองปกป้องแอปพลิเคชันเว็บไซต์ของคุณให้เสมือนบ้านของคุณเอง

แนวทางง่ายๆสำหรับในการมองความปลอดภัยของเว็บแอปพลิเคชันคือการคิดภาพบ้านของคุณ มันมีประตูหน้าประตูข้างหลังหน้าต่างจำนวนห้องหลังคารั้วอาณาเขตและก็เส้นทางการเข้าถึงที่แตกต่างกัน คำศัพท์เฉพาะนั้นต่างกัน

ประตูหน้า.
ประตูหน้าของเว็บแอปพลิเคชันใดๆก็ตามเป็นหน้าเข้าระบบและไม่น่ามหัศจรรย์ที่มันเป็นจุดสำคัญของการจู่โจม หน้าเข้าสู่ระบบจะมีกล่องปรับแก้เพื่อพิมพ์ชื่อผู้ใช้แล้วก็รหัสผ่านและก็ปุ่มเพื่อส่งสิ่งเหล่านี้สำหรับเซิร์ฟเวอร์เพื่อสำรวจสิทธิ์การเข้าถึงส่วนที่เหลือของเว็บแอปพลิเคชันของคุณหน้าเข้าสู่ระบบบางหน้าอาจจัดให้มี captcha เพื่อมั่นใจว่าคุณเป็นมนุษย์และไม่เย้ยหยันของรูปแบบเดียวกันบนเซิร์ฟเวอร์ที่ไม่เหมือนกันฟอร์มจำลองจะวนไปตามชื่อผู้ใช้และรหัสผ่านที่มากมายกระทั่งจะสามารถเข้าถึงแอปพลิเคชันได้ สิ่งนี้เรียกว่าการปลอมแปลงผ่านไซต์แล้วก็คล้ายกับการขโมยกุญแจบ้านของคุณ

Captchas 
เป็นภาพที่มีตัวอักษแล้วก็จำนวนที่มีเสียงรบกวนซึ่งทำให้ไม่สามารถอ่านสคริปต์อัตโนมัติได้โชคร้ายที่เมื่อสคริปต์อ่านฉลาดหลักแหลมขึ้นภาพพวกนี้ภาพแคปช่าจำเป็นต้องสลับซับซ้อนแล้วก็ยากขึ้นสำหรับมนุษย์ที่จะอ่าน สิ่งนี้กระตุ้นให้เกิดความหงุดหงิดสำหรับผู้ใช้จุดหมายปลายทางเพราะผู้ใช้ล้มเหลวซ้ำแล้วซ้ำเล่าในการบากบั่นเข้าถึงบัญชีของพวกเขาเนื่องด้วย captcha ไม่สามารถที่จะอ่านได้ วิธีแก้ปัญหานี้คือการผัดเปลี่ยนแคปต์ชาด้วยโทเค็นที่ไม่มีอันตราย โทเค็นที่ปลอดภัยถูกทำขึ้นของฉันร่วมชื่อผู้ใช้รหัสผ่านรวมทั้งข้อมูลผู้ใช้อื่นๆที่มีอยู่กับคีย์ที่สร้างขึ้นโดยไม่ซ้ำกัน การจัดเรียงต่อกันนี้จะถูกเข้ารหัสและก็เก็บไว้เป็นเขตข้อมูลที่ซ่อนอยู่ในแบบฟอร์มจึงทำให้เป็นไปไม่ได้สำหรับรูปแบบเลียนแบบใดๆก็ตามที่จะพยายามเข้าระบบที่บรรลุผลสำเร็จ

หน้าต่างรวมทั้งประตูหลัง
หน้าต่างแอปพลิเคชันเว็บเป็นยังไง ฉันไม่ได้เป็นระบบปฏิบัติการบนเซิร์ฟเวอร์ ฉันกำลังพูดถึงพื้นที่ที่อาจเกิดขึ้นของแต่ละหน้าซึ่งบางทีอาจใช้การไม่ได้ พื้นที่กลุ่มนี้เป็นกล่องปรับแต่งแล้วก็พื้นที่เนื้อความที่อนุญาตให้ผู้ใช้พิมพ์ข้อมูล ผู้จู่โจมจะใช้กล่องแก้ไขรวมทั้งพื้นที่เนื้อความเพื่อป้อนคำสั่งที่ฐานข้อมูลรู้เรื่อง แม้โปรแกรมคอมพิวเตอร์ไม่ได้ถูกเขียนโดยสวัสดิภาพมันจะง่ายต่อการขัดจังหวะฐานข้อมูลเมื่อมีการบันทึกข้อมูลเพื่อปฏิบัติงานตามคำสั่งของผู้จู่โจม การจู่โจมทั่วไปอาจทำให้ฐานข้อมูลถูกทำลายข้อมูลถูกลักขโมยหรือข้อมูลผู้ใช้ถูกรุกล้ำการโจมตีชนิดนี้เรียกว่าการฉีด SQL

รั้วชายแดน
รั้วขอบเขตของหน้าเว็บไซต์เป็นลิงค์อะไรก็ตามพื้นที่ที่สามารถแก้ไขได้และก็ที่อยู่ URL หลัก URL ของหน้ารวมทั้งลิงค์ที่ฝังอยู่ในหน้าสามารถก็อปปี้รวมทั้งแก้ไขจากเว็บไซต์อื่นเพื่อให้เซิร์ฟเวอร์สามารถดำเนินงานคำบัญชาได้รหัสจาวาสคริปต์สามารถแทรกลงในพื้นที่ที่สามารถแก้ไขได้เพื่อบังคับให้ข้อมูลถูกส่งไปยังไซต์คดโกงหรือเพื่อควบคุมโปรแกรมท่องอินเตอร์เน็ตของผู้ใช้ คำสั่งฐานข้อมูลสามารถแทรกลงในที่อยู่ URL หลักการโจมตีกลุ่มนี้เรียกว่าการโจมตีข้ามไซต์สคริปต์(XSS) เพราะว่าเป็นสคริปต์ที่นำผู้ใช้ไปยังเว็บไซต์ของผู้โจมตี การจู่โจม XSS สามารถใช้เพื่อลักขโมยตัวเจาะจงเซชันที่ได้รับการรับรองความถูกต้องชัดเจนของผู้ใช้และใช้เพื่อเพิ่มระดับการเข้าถึงบัญชีอื่นที่พวกเขาทำขึ้นแล้ว

เพื่อป้องกันการเขียนสคริปต์ข้ามไซต์โปรแกรมคอมพิวเตอร์จำเป็นที่จะต้องสแกนพื้นที่ที่สามารถปรับปรุงแก้ไขได้ทั้งผองสำหรับรหัสและก็รวมโทเค็นที่ไม่เป็นอันตรายในแต่ละ URL รวมทั้งลิงก์ ควรจะปิดรูรวมทั้งช่องว่างในรั้ว เพจที่ปลอดภัยทั้งหมดทั้งปวงควรจะตรวจดูว่ามีผู้ใช้ที่ผ่านการตรวจสอบแล้วหรือเปล่า

การแสดงหน้าที่
เรามีผู้โทรเข้าบ้านเลียนแบบที่มีประสบการณ์ซึ่งอ้างถึงว่าเป็นคนแก๊สหรือ บริษัท น้ำบอกว่าพวกเขาจะต้องเข้าถึงบ้านของคุณเพื่อปิดการจัดหาของคุณ ผู้โจมตีเว็บไซต์อาจติดต่อคุณหรือผู้ใช้อื่นๆของเว็บของคุณทางอีเมลโซเชียลมีเดียหรือโทรศัพท์แล้วก็หลอกให้ท่านเผยรายละเอียดการเข้าสู่ระบบของคุณ เหตุผลที่พวกเขาบางทีอาจให้ได้อาจเป็นเพราะเว็บไซต์ของคุณถูกแฮ็กแล้วและพวกเขาสามารถปรับปรุงแก้ไขได้แม้คุณให้สิทธิ์การเข้าถึงแก่พวกเขา การปกป้องคุ้มครองเพียงอย่างเดียวคือการเตือนผู้ใช้ของคุณโดยตลอดว่าพวกเขาไม่ควรเผยชื่อผู้ใช้และก็รหัสผ่านแก่ผู้ใดกันและก็คุณในฐานะผู้ครอบครองเว็บจะไม่ขอให้พวกเขาเปิดเผยรหัสผ่านของตัวเอง คุณควรให้ลิงค์เพื่ออนุญาตให้ผู้ใช้ของคุณรีเซ็ตรหัสผ่านที่ลืมโดยส่งลิงก์อีเมลพร้อมโทเค็นที่เข้ารหัสเพื่อค้ำประกันมูลเหตุ