Hababka Jabsiga Codsiga Webka

Codsiyada websaydhku waa barnaamijyo u oggolaanaya dadka isticmaala inay la falgalaan server-yada websaydhka. Waxay ku ordaan daalacashada shabakadda iyagoo gacan ka helaya qoraallada macmiilka iyo server-ka.

Dhismaha codsiyada websaydhku wuxuu ka kooban yahay:

  • Lakabka macmiilka / soo bandhigida
  • Lakabka caqliga ganacsiga
  • Lakabka Database

Lakabka macmiilka / soo bandhigida wuxuu ka kooban yahay qalab uu arjigu ku shaqeeyo. Qalabka noocan ah waxaa ka mid ah laptop-yada, kiniiniyada, taleefannada casriga ah, iwm.


Lakabka caqliga ganacsiga wuxuu leeyahay laba lakab:


  • Lakabka macquulka ah ee Web-server-ka oo ka kooban qaybo ka shaqeeya codsiyada iyo jawaabaha, iyo koodh akhriska iyo soo celinta xogta biraawsarka



  • Lakabka caqliga ganacsiga oo ay ku jiraan xogta dalabka

Lakabka keydka macluumaadka wuxuu ka kooban yahay lakabka B2B iyo server keyd xog ururin ah oo xogta ururku ku kaydsan yahay.



Hanjabaadaha Codsiga Webka iyo Weerarada

OWASP waa beel furan oo u heellan inay awood u siiso ururada inay uur qaadaan, horumariyaan, helaan, shaqeeyaan, ayna ilaaliyaan codsiyada lagu kalsoonaan karo.

Mashruuca OWASP Top 10 wuxuu soosaaraa dukumenti qeexaya 10-ka dalab ee ugu sareeya ee amaanka.


Dukumiintiga ugu dambeeya wuxuu liis garayaa 10ka hanjabaado amni ee soo socda

Cirbad

Weerarka duritaanka waa weerar kaas oo weeraryahanku ku durayo xog xun xaasidyada amarrada iyo weydiimaha kuwaas oo markaa lagu fuliyo dalabka.

Weerarkani wuxuu bartilmaameedsanayaa meelaha laga soo galo ama meelaha laga soo galo arjiga wuxuuna u oggolaadaa kuwa wax weeraraya inay soo saaraan macluumaad xasaasi ah.

Inta badan weerarada la isku duro ee la isticmaalo waa:


  • Cirbadda SQL waa weerar uu weeraryahanku ku durayo weydiimaha SQL ee xun ee arjiga
  • Cirbida Taliska waa weerar uu weeraryahanku ku durayo amarro xunxun barnaamijka
  • Cirbadda LDAP waa weerar uu weerarku ku durayo hadalada xun ee LDAP arjiga

Aqoonsiga jabay

Aqoonsiga jaban waxaa loola jeedaa hanjabaadaha iyo u nuglaanta xaga sugida iyo maaraynta kulanka.

Weeraryahannadu waxay uga faa’iideystaan ​​u nuglaantaas inay iska dhigaan bartilmaameedyadooda.

Nugeylka jira qaarkood waxaa ka mid ah:

  • Aqoonsiyada kal-fadhi ee URL-yada
  • Furaha sirta ah ee aan la qarin
  • Wakhtiyada si ka qaldan loo dejiyey

Soo bandhigida xogta xasaasiga ah

Hanjabaadaha soo-gaadhista xogta xasaasiga ahi waxay ku dhacaan codsiyada adeegsada koodh-garaynta daciifka ah ee keydinta xogta iyo keydinta xogta.


Jilicsanaantani waxay u sahlaysaa kuwa wax weerara inay si fudud u jabiyaan sirta oo ay xadaan xogta.

XML Qaybta Dibadda

Weerarka XML External Entity waa weerar kaas oo weeraryahanku uu ka faa'iideysanayo falanqeeye si wanaagsan u qaabeysan oo XML ah taasoo keeneysa in arjiga lagu turxaan bixiyo galinta XML ee ka imaaneysa ilo aan la aaminin.

Xakamaynta Helitaanka Jaban

Xakamaynta marin-u-helka jaban waxaa loola jeedaa hanjabaadaha iyo u nuglaanta xukunka marinka Weeraryahannadu waxay ka faa'iideystaan ​​nuglaantaas si ay uga dhuuntaan xaqiijinta una helaan mudnaanta maamulka.

Qaabdhismeedka Amniga

Qaabdhismeedka amniga ayaa loola jeedaa u nuglaanta ka jirta codsiyada leh qaab codsi si liidata loo qaabeeyey.


Qaar ka mid ah dhibaatooyinka sababa u nuglaanta khalkhal gelinta amniga waxaa ka mid ah:

  • Meelaha gelinta aan la xaqiijin
  • Foomka iyo khalkhal galinta halbeegga
  • Wax ka qabashada khaldan

Qoraalka Ka-Gudubka Goobta (XSS)

Weerarka Websaydhada Weerarku waa weerar kaas oo weeraryahanku ku durayo qoraallo bogagga shabakadda kuwaas oo lagu fuliyo nidaamka bartilmaameedka.

Baahi la'aanta

Xaqiijinta amni darrada waxaa loola jeedaa u nuglaanta weeraryahannada oo ka faa'iideysta iyaga oo ku duraya koodh xaasidnimo ah xog taxane ah ka dibna loo diro bartilmaameedka.

Sababtoo ah u nuglaanta u nuglaanta nabadgelyo darrada, xogta sirta xun ee sirta ah ayaa la jecleystay iyada oo aan la helin koodhka xaasidnimada ah, kaas oo u oggolaanaya weeraryahanku inuu helo marin aan oggolaansho lahayn oo nidaamka ah.

Adeegsiga Qeybaha Nuglaanta La yaqaan

Isticmaalka qaybaha leh jilicsanaanta la yaqaan waxay u oggolaaneysaa kuwa wax weerara inay ka faa'iideystaan ​​oo ay fuliyaan weerarro.

Joogitaanka iyo kormeerka oo aan ku filnayn

Joogitaanka iyo kormeerka oo aan ku filnayn ayaa dhacaya marka arjiga uu ku guuldareysto inuu galo dhacdooyinka iyo waxqabadka xun. Tani waxay keenaysaa dhibaatooyin xagga ogaanshaha weerarada nidaamka.



Habka Jabsiga

Habka Codsiga Webka Webka wuxuu siiyaa kuwa wax weeraraya talaabooyin ay raacaan si ay u fuliyaan weerar guuleysta.

Talaabooyinkani waa:

Raadinta Kaabayaasha Shabakada

Kaabayaasha shabakadda raad-raaca waxay ka caawineysaa weeraryahan soo uruurinta macluumaadka ku saabsan kaabayaasha shabakadda bartilmaameedka iyo aqoonsiga dayacanka laga faa'iideysan karo.

Nidaamkan, weeraryahanku wuxuu sameeyaa:

  • Soo helida adeegaha si wax looga barto server-yada martigeliya arjiga
  • Soo helid adeeg si loo ogaado adeegga la weerari karo
  • Aqoonsiga adeegga si loo barto macluumaadka ku saabsan serverka sida nooca iyo sameynta
  • Soo helida waxyaabaha qarsoon si loo ogaado waxyaabaha ku jira qarsoon

Weerarka serverka

Macluumaadka lagu soo ururiyey tallaabada raad-raaca ayaa u oggolaanaysa haakarisku inay falanqeeyaan, helaan u nuglaanshaha inay ka faa'iideystaan, iyo inay adeegsadaan farsamooyin kala duwan si ay u weeraraan serverka.

Falanqaynta dalabka websaydhka

Weeraryahannadu waxay falanqeeyaan barnaamijka websaydhka bartilmaameedka ah si ay u aqoonsadaan jilicsanaantooda ugana faa'iideystaan.

Si loo jabsado arjiga, weeraryahannadu waxay u baahan yihiin inay:

  • Aqoonso meelaha laga soo galo gelitaanka isticmaalaha
  • Aqoonso tiknoolajiyada dhinaca server-ka ee loo isticmaalo soo saarista bogagga firfircoon
  • Aqoonsiga shaqeynta server-side
  • Aqoonso aagagga weerarka iyo dayacanka la xiriira

Diidmada Xakamaynta Macaamiisha

Weeraryahannadu waxay isku dayaan inay ka gudbaan gacan ku haynta macmiilka dhinaceeda wax-soo-saarka isticmaalaha iyo is-dhexgalka.

Si looga gudbo kontaroolada dhinaca-macmiilka, weeraryahannadu waxay isku dayaan inay:

  • Weerar ku qaado foomamka qarsoon
  • Weerar ku fidinta biraawsarka
  • Dib u eeg koodhka isha

Weerarrada Xaqiijinta

Weeraryahannadu waxay isku dayaan inay ka faa'iidaystaan ​​dayacanka ku jira hababka xaqiijinta.

Adoo adeegsanaya nuglaanta noocan oo kale ah, weeraryahannadu waxay awoodaan inay qabtaan:

  • Tirinta magaca isticmaale
  • Weerarrada ereyga
  • Weerarrada kal-fadhi
  • Cookie ku shaqeeya

Weerarrada Oggolaanshaha

Weerarka oggolaanshaha waa weerar uu weeraryahanku ka soo galo dalabka koonto sharci ah oo xaddidan mudnaanta ka dibna u adeegsado koontadaas inuu sare ugu qaado mudnaanta.

Si loo fuliyo weerar oggolaansho, weeraryahanku wuxuu adeegsadaa ilaha soo socda:

  • NACAYB
  • Halbeegga halbeegga
  • Xogta POST
  • HTTP madaxyada
  • Kukiyada
  • Calaamadaha qarsoon

Weerarka Xakamaynta Helitaanka

Weeraryahannadu waxay falanqeeyaan websaydhka bartilmaameedka iyagoo isku dayaya inay bartaan faahfaahinta ku saabsan xakamaynta marin u helka la hirgeliyey.

Inta hawshani socoto, weeraryahannadu waxay isku dayaan inay wax ka bartaan cidda galaangal u leh noocyada xogta, yaa leh heer marin loo helo, iyo sida loo kordhiyo mudnaanta.

Weerarrada Maareynta Fadhiga

Weeraryahannadu waxay uga faa'iideystaan ​​u nuglaanta sugnaanta iyo maaraynta kalfadhiga si ay isaga dhigaan bartilmaameedyadooda.

Nidaamka abuurista calaamadda fadhiga saxda ah wuxuu ka kooban yahay laba tallaabo:

  • Saadaalinta calaamadda fadhiga
  • Kalsoonida kal-fadhiga

Iyada oo leh calaamado sax ah, weeraryahannadu waxay awoodaan inay fuliyaan weerarro sida MITM, afduubka kal-fadhiga, iyo ku celiska kulanka.

Weerarada Cirbadaha

Weeraryahannadu waxay ka faa'iideystaan ​​wax-soo-saarka foomka aan la ogeyn ee ay ku durayaan weydiimaha iyo amarrada xun.

Isticmaalka Nuglaanta nuglaanta Codsiga

Xirfadaha koodh xumi ayaa ka dhigi kara arjiga nugul cilladaha caqligal ahaan. Haddii weeraryahanku ku guuleysto aqoonsiga cilladaha noocaas ah, markaa way awoodaan inay ka faa'iidaystaan ​​oo ay weerar qaadaan.

Weerarada Isku Xirka Macluumaadka

Weeraryahannadu waxay fuliyaan weerarada ku saabsan isku xirnaanta keydka macluumaadka si ay ugu xoogsadaan kantaroolka keydka xogta sidaasna ay ugu helaan helitaanka macluumaadka xasaasiga ah

Weerarada Adeegyada Webka

Weeraryahannadu waxay bartilmaameedsadaan adeegyada websaydhka ee ku jira barnaamijka websaydhka si ay u helaan ugana faa'iideystaan ​​u nuglaanta caqliga ganacsiga.

Kadib waxay adeegsadaan farsamooyin kala duwan si ay ugu fuliyaan weerarka arjiga.