| Ichki va tashqi xavflar va ulardan himoyalanish
Ushbu maqolada biz ko'rib chiqamiz o'nta keng tarqalgan veb-ilovalar xavfsizligi tahdidlari:
SQL in'ektsiyasi
Saytlararo skript (XSS)
Saytlararo so'rovlarni qalbakilashtirish (CSRF)
Ishonchsiz to'g'ridan-to'g'ri ob'ekt havolalari
Kodni masofadan bajarish
Ro'yxatga olish va monitoring etarli emas
Xavfsiz kriptografik saqlash
URL manziliga kirishni cheklab bo'lmadi
Oʻzaro manbalar almashinuvi (CORS) notoʻgʻri konfiguratsiyasi
Ma'lum zaifliklari bo'lgan komponentlardan foydalanish
1. SQL Injection
SQL inyeksion hujumi tajovuzkor foydalanuvchi kiritish maydonlari orqali ilova ma'lumotlar bazasiga zararli kodni kiritganda amalga oshiriladi. Ushbu turdagi hujumlar turli xil narsalarni amalga oshirishi mumkin. Eng keng tarqalgan ikkita natija tajovuzkorga ma'lumotlar bazasida saqlangan maxfiy ma'lumotlarga ruxsatsiz kirishga ruxsat berishni o'z ichiga oladi. Ma'lumotlar bazasi qanday ma'lumotlarni saqlayotganiga qarab, hujum parollar, moliyaviy ma'lumotlar va shaxsiy ma'lumotlarga kirishi mumkin. Ikkinchi natija ma'lumotlarni manipulyatsiya qilish yoki o'chirish bo'lishi mumkin. Masalan, foydalanuvchi DROP TABLE yoki DROP DATABASE buyrug'ini bajarishi mumkin .
Buni quyidagi qadamlar bilan kamaytirishingiz mumkin:
Foydalanuvchi kiritishini tasdiqlash.
HTML kod sifatida talqin qilinishining oldini olish uchun < va > kabi maxsus belgilarni HTML ob'ekt ekvivalentlariga aylantirishni o'z ichiga olgan chiqish kodlashidan foydalaning.
Iloji bo'lsa, dinamik SQL o'rniga tayyorlangan bayonotlar, parametrlangan so'rovlar yoki saqlangan protseduralardan foydalaning.
Aksariyat tillar va freymvorklarda shakl kiritish usullari bilan ishlash tavsiya etilgan. SQL in'ektsiyasining oldini olish uchun frontend va backend standartlarini birlashtirib, ilovangiz ushbu turdagi tahdidlarga qarshi xavfsizligini oshirishi mumkin.
| 