Mtaalam wa Semalt: Njia za kawaida za Hackare Zinazotumia Kushambulia Tovuti

Kuvinjari ni tishio linalowakabili wafanyabiashara wadogo na wakubwa sawa. Kwa kweli, mashirika makubwa kama Microsoft, NBC, Twitter, Facebook, Drupal, na ZenDesk hivi karibuni tovuti zao zilibuniwa ndani. Ikiwa wahalifu hawa wa cyber wanataka kuiba data ya kibinafsi, funga PC yako au uchukue udhibiti wa wavuti yako, jambo moja linabaki wazi; wanaingilia biashara.

Artem Abarin , Meneja wa Mafanikio ya Wateja wa Semalt Mwandamizi, anatoa maanani kufikiria hila zifuatazo ambazo mdadisi anaweza kutumia kuingia ndani ya tovuti / mfumo wako.

1. Shambulio la sindano

Shambulio hili linatokea wakati kuna dosari katika maktaba yako ya SQL, Database ya SQL au hata OS yenyewe. Timu yako ya wafanyikazi inafungua kile kinachopita kama faili za kuaminika lakini haijulikani kwao, faili zina maagizo yaliyofichika (sindano). Kwa kufanya hivyo, wao huruhusu harufi kupata ufikiaji usioidhinishwa wa data za siri kama maelezo ya kadi ya mkopo, akaunti za benki, nambari ya usalama wa kijamii, nk.

2. Mashambulio ya Wavuti ya Wavuti ya Msalaba

Shambulio la XSS linatokea wakati pakiti ya faili, programu au URL ya 'kupata ombi' inatumwa kwa dirisha la kivinjari. Kumbuka kuwa wakati wa shambulio, silaha (inaweza kuwa yoyote ya tatu zilizotajwa) inapita mchakato wa uthibitisho. Kama matokeo, mtumiaji alidanganywa kwa kufikiria kuwa wanafanya kazi kwenye ukurasa halali wa wavuti.

3. Uthibitishaji uliovunjika na Usimamizi wa Sherehe

Katika kesi hii, hashi inajaribu kufadhili kwenye mfumo dhaifu wa uthibitishaji wa watumiaji. Mfumo huu unajumuisha nywila za watumiaji, vitambulisho vya kikao, usimamizi muhimu na kuki za kivinjari. Ikiwa kuna mtiririko wa kuingia mahali fulani, watekaji wanaweza kupata akaunti yako ya mtumiaji kutoka eneo la mbali basi wanaingia kwa kutumia vitambulisho vyako.

4. Mashambulio ya Clickjack

Kubonyeza kubonyeza (au UI-Redress Attack) hufanyika wakati watekaji hutumia tabaka nyingi, zenye nguvu kumdanganya mtumiaji kubonyeza safu ya juu bila kushuku kitu. Katika kesi hii, kubonyeza 'hariri' za hariri ambazo zilikuwa na maana kwa ukurasa wako wa wavu. Kwa mfano, kwa kujumuisha kwa uangalifu muundo wa sanduku, sanduku za maandishi na karatasi, mporaji atasababisha mtumiaji katika kufikiria kuwa wataingia kwenye akaunti yao, lakini kwa maana halisi, hiyo ni sura isiyoonekana inayodhibitiwa na mtu mwenye nia mbaya.

5. DNS Spoofing

Je! Ulijua kwamba data ya kache ya zamani ambayo umesahau juu inaweza kuja na kukutesa? Kweli, mpiga debeaji anaweza kutambua hatari katika mfumo wa jina la kikoa ambayo inawaruhusu kupotosha trafiki kutoka kwa seva halali kwenda kwa wavuti ya dummy au seva. Mashambulio haya yanajirudia na kujienea kutoka kwa seva moja ya DNS kwenda nyingine, ikitoa kitu chochote kwenye njia yake.

6. Shambulio la Uhandisi wa Jamii

Kitaalam, hii sio ya kuvinjari kwa sekunde. Katika kesi hii, unatoa habari ya siri kwa imani nzuri sema juu ya gumzo la wavuti, barua pepe, media ya kijamii au kupitia mwingiliano wowote wa mkondoni. Walakini, hapa ndipo shida inapoingia; ulichodhani ni mtoaji wa huduma halali zinageuka kuwa ujanja. Mfano mzuri utakuwa kashfa ya "Msaada wa Ufundi wa Microsoft".

7. SYMlinking (shambulio la ndani)

Symlink ni faili maalum ambazo "zinaelekeza" kiunganisho kigumu kwenye mfumo wa faili uliowekwa. Hapa, mpigaji wa nyara anasimamia ulinganifu kwa njia ambayo matumizi au mtumiaji anayepata mwisho wake anadhania kuwa wanapata faili sahihi. Marekebisho haya yana ufisadi, ongeza, ongeza au ubadilishe ruhusa ya faili.

8. Mashindano ya Omba ya Msalaba

Mashambulio haya hufanyika wakati mtumiaji ameingia kwenye akaunti yao. Hackare kutoka eneo la mbali anaweza kuchukua fursa hii kukutumia ombi la HTTP la kughushi. Hii inamaanisha kukusanya maelezo yako ya kuki. Takwimu hii ya kuki inabaki kuwa halali ikiwa unakaa ndani. Kuwa salama, kila wakati toka kwenye akaunti zako unapomalizika nazo.

9. Mashtaka ya Utekelezaji wa Nambari ya Kijijini

Hii inanyonya udhaifu kwenye seva yako. Vipengele vya kudumu kama saraka za kijijini, mfumo, maktaba na pia moduli zingine za programu zinazoendesha kwa msingi wa uthibitishaji wa watumiaji zinalenga programu hasidi, maandishi na mistari ya amri.

10. Mashambulizi ya DDOS

Kukataa kwa shambulio la huduma (iliyofupishwa kama DDOS), hufanyika wakati huduma za mashine au seva zinakataliwa kwako. Sasa unapokuwa nje ya mkondo, watekaji huteka na wavuti au kazi fulani. Kusudi la shambulio hili ni hili: kusumbua au kuchukua mfumo wa kukimbia.