6 Битних савета за заштиту ваше ПХП странице од хакера

Ваша ПХП страница је покренута. Честитам! Али сачекајте … да ли сте се побринули за неопходно очвршћивање сигурности?


ПХП је лаган, али врло моћан програмски језик за подупирање. Покреће око 80% глобалних веб апликација, што га чини једним од најчешће коришћених језика у свету развоја.

Разлог његове популарности и широке употребе је једноставна структура кодирања и функције прилагођене програмерима. Постоји пуно ЦМС-а и оквира изграђених на врху ПХП-а, а хиљаде познатих програмера из целог света редовни су део заједнице.

Одличан пример је ВордПресс.

Када се ПХП апликације распоређују на ливе серверима, може се суочити са неколико случајева хаковања и веб напада, што податке о њиховим веб локацијама чини изузетно рањивим за крађу. Једна је од најважнијих тема у заједници, како изградити потпуно сигурну апликацију, водећи рачуна о свим основним циљевима пројекта.

Упркос својим најбољим напорима, програмери увек буду опрезни код скривених рупа које остају непримећене током развоја апликације. Ове рупе могу озбиљно угрозити заштиту виталних података на било којој локацији веб хостинг за ПХП МиСКЛ апликација, остављајући их рањивим за покушаје хаковања.

Дакле, овај чланак говори о неким корисним саветима за безбедност ПХП-а које бисте паметно могли користити у својим пројектима. Помоћу ових малих савета можете бити сигурни да ваша апликација увек стоји високо на безбедносним проверама и да никада не сме бити угрожена било каквим спољним веб нападима.

Цросс-Сите Сцриптинг (КССС)

Скриптовање на више локација је један од најопаснијих спољних напада који се изводи убризгавањем било каквог злонамерног кода или скрипте у веб локацију. То може утицати на језгре ваше апликације, јер хакер може убацити било коју врсту кода у вашу апликацију, а да вам чак ни не наговештава. Овај напад се најчешће дешава на оним веб локацијама које признају и шаљу корисничке податке.

У КССС нападу, убризгани код замењује оригинални код ваше веб локације, али делује као стварни код који ремети перформансе веб локације и често краде податке. Хакери заобилазе контролу приступа вашој апликацији, добијајући приступ колачићима, сесијама, историји и другим виталним функцијама.

Овом нападу можете да се супротставите користећи ХТМЛ посебне знакове & ЕНТ_КУОТЕС у кодовима ваше апликације. Користећи ЕНТ_КУОТЕС, можете да уклоните опције са једним и двоструким цитатом, што вам омогућава да прочистите било какву могућност напада скрипта на више места..

Кривотворење захтева на више локација (ЦСРФ)

ЦСРФ предаје потпуну контролу апликација хакерима да изврше било коју непожељну радњу. Уз потпуну контролу, хакери могу обављати злонамерне операције преносећи заражени код на своју веб локацију, што резултира крађом података, функционалним модификацијама итд. Напад присиљава кориснике да промене конвенционалне захтеве у измењене деструктивне, попут несвесног преноса средстава, брисања целокупну базу података без икаквог обавештења итд.

ЦСРФ напад може се покренути само када кликнете на прикривену злонамерну везу коју је послао хакер. То значи да ако сте довољно паметни да схватите заражену скривену скрипту, лако можете искључити сваки потенцијални ЦСРФ напад. У међувремену, такође можете да користите две заштитне мере да појачате безбедност своје апликације, тј. Употребом ГЕТ захтева у вашем УРЛ-у и обезбедите да се нон-ГЕТ захтеви генеришу само из кода клијента.

Отмица сесија

Отмица сесија је напад кроз који хакер краде вашу сесију ИД-а да би добио приступ жељеном налогу. Користећи тај ИД сесије, хакер може да потврди вашу сесију слањем захтева на сервер, где $ _СЕССИОН матрица потврђује своје време рада, а да притом не задржава ваше знање. Може се извести путем КССС напада или приступом подацима у којима су подаци сесије похрањени.

Да бисте спречили отмицу сесије, увек сесије везајте за своју стварну ИП адресу. Ова пракса вам помаже да поништите сесије сваки пут када се догоди непозната повреда и одмах вам даје до знања да неко покушава заобићи вашу сесију како би добио контролу приступа апликацији. И увек запамтите, да не излажете личне карте ни под којим околностима, јер касније може да компромитује ваш идентитет другим нападом.

Спрјечите нападе убризгавања СКЛ-а

База података једна је од кључних компоненти апликације која хакере углавном напада путем СКЛ ињекционог напада. То је врста напада у којем хакер користи одређене УРЛ параметре како би добио приступ бази података. Напад се може извршити и коришћењем поља веб обрасца, где хакер може изменити податке које просљеђујете упитима. Изменом ових поља и упита, хакер може да добије контролу над вашом базом података и може да изврши неколико катастрофалних манипулација, укључујући брисање целокупне базе апликација.

Да бисте спречили нападе убризгавања СКЛ-а, увек се саветује коришћење параметризованих упита. Овај ПДО упит правилно замјењује аргументе прије покретања СКЛ упита, учинковито искључујући сваку могућност напада СКЛ убризгавања. Ова пракса не само да вам помаже да осигурате своје СКЛ упите већ их чини и структурираним за ефикасну обраду.

Увек користите ССЛ цертификате

Да бисте добили заштићен пренос података путем Интернета, увек користите ССЛ цертификате у својим апликацијама. То је глобално признати стандардни протокол познат као протокол преноса хипертекста (ХТТПС) за сигуран пренос података између сервера. Помоћу ССЛ сертификата, ваша апликација добија безбедан пут преноса података, што хакери скоро онемогућавају упадање на ваше сервере.

Сви главни веб прегледачи као што су Гоогле Цхроме, Сафари, Фирефок, Опера и други препоручују употребу ССЛ сертификата, јер пружа шифровани протокол за пренос, примање и дешифровање података путем интернета.

Сакривање датотека из прегледача

У оквиру микро ПХП-а постоји специфична структура директорија која осигурава чување важних оквирних датотека попут контролера, модела, конфигурационе датотеке (.иамл) итд..

Ове датотеке прегледач већину времена не обрађује, али их се дуже прегледава у прегледачу, стварајући кршење сигурности за апликацију.

Дакле, увек чувајте датотеке у јавној фасцикли, уместо да их чувате у роот директоријуму. Ово ће их учинити мање доступним у прегледачу и сакрити ће функције од било којег потенцијалног нападача.

Закључак

ПХП апликације су увек рањиве на спољашње нападе, али користећи горе наведене савете, лако можете да осигурате језгре ваше апликације од било каквог злонамерног напада. Будући да сте програмер, ваша је одговорност да заштитите податке своје веб странице и учините их без грешака.

Поред ових савета, многе технике могу вам помоћи да заштитите своју веб апликацију од спољних напада, као што је коришћење најбољег решења за хостинг у облаку које обезбеђује оптималне безбедносне функције, облак ВАФ, подешавање корена документа, листа ИП адресе и још много тога.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map