Podczas tworzenia i administrowania stroną jednym z głównych problemów jest zapewnienie jej bezpieczeństwa. Aby sprawdzić niezawodność zasobu, należy go zbadać pod kątem występowania luk w zabezpieczeniach, a testowanie przeprowadza się zwykle przy użyciu tych samych metod i narzędzi, które są używane przez hakerów.
Instrukcje
Krok 1
Aby wejść na stronę z uprawnieniami administratora, haker może potrzebować odpowiedniej formy autoryzacji. Po znalezieniu hasła może spróbować odgadnąć hasło za pomocą brute-forcerów - programów sortujących hasła za pomocą słownika. Być może haker wyłowił już interesujące dane (login i hasło) z bazy danych, wykorzystując odkrytą lukę sql. Aby przejąć stronę, wystarczy wpisać skradzione dane do formularza autoryzacyjnego. W związku z tym im trudniej jest znaleźć panel administracyjny, tym większe bezpieczeństwo witryny.
Krok 2
Możesz sprawdzić bezpieczeństwo swojego zasobu za pomocą specjalnych narzędzi. Na przykład użyj wyszukiwarki administratorów, którą możesz łatwo znaleźć w sieci. Wystarczy wpisać w nim adres strony, a program wyświetli ścieżki wszystkich stron związanych z administracją. Należy pamiętać, że niektóre programy antywirusowe mogą wykrywać program jako niechciane oprogramowanie i blokować jego działanie. Aby mieć pewność, że unikniesz obecności trojana w narzędziu, poszukaj narzędzia Admin Finder w zasobach hakerów. Hakerzy nie będą umieszczać zainfekowanych narzędzi na swoich stronach internetowych i forach.
Krok 3
Hakerzy dość często sprawdzają plik robots.txt, w którym administratorzy wymieniają pliki, których indeksowanie przez roboty wyszukujące jest zabronione. Ten plik może również zawierać dane niezbędne dla atakującego.
Krok 4
Aby wyświetlić strukturę witryny, możesz użyć specjalnych skanerów. Na przykład małe narzędzie konsoli SiteScaner pokazuje dobre wyniki. Uruchom go, wprowadź adres swojej witryny. Spójrz na wyświetloną listę, aby zobaczyć, czy znajdują się na niej strony, które chcesz ukryć.
Krok 5
Istnieją usługi sieciowe, które wystarczająco szczegółowo pokazują strukturę witryny. Na przykład ten: https://defec.ru/scaner/ Wprowadź adres swojej witryny w polu wyszukiwania, wprowadź kod bezpieczeństwa i kliknij przycisk SKANUJ. Na liście, która się otworzy, zobaczysz strukturę swojego zasobu internetowego.
Krok 6
Szukając obszaru administracyjnego, haker może po prostu przejrzeć najczęstsze opcje. Na przykład są to: /admin,/login, index/admin.php, admin.php, login.php, admin/index.php, admincp/index.php. Podczas konfigurowania witryny staraj się unikać dobrze znanych nazw katalogów i plików. Dotyczy to również baz danych – ponad pół tysiąca ich nazw pospolitych jest znanych narzędziom hakerskim.
Krok 7
Przetestuj swój zasób pod kątem odporności na włamania za pomocą programu XSpider. Jest to całkiem legalne oprogramowanie, jego wersję demo można pobrać ze strony producenta. Program przeznaczony jest dla administratorów systemów i umożliwia uzyskanie raportu o możliwych sposobach penetracji zasobu internetowego.
Krok 8
Dość często administratorzy nie ustawiają uprawnień do przeglądania katalogów, co pozwala hakerowi niemal swobodnie poruszać się po katalogach witryny. Możesz zabezpieczyć folder przed przeglądaniem w bardzo prosty sposób: wstaw do niego stronę index.html z tekstem informującym, że ten katalog jest zamknięty do przeglądania. Gdy spróbujesz zajrzeć do katalogu, ta strona otworzy się automatycznie.
