ප්රති-වයිරස සහ ස්කෑනර් නොමැතිව අනිෂ්ට කේතය සොයන්නේ කෙසේද? ප්රති-වයිරස සහ ස්කෑනර් නොමැතිව අනිෂ්ට කේතය සොයන්නේ කෙසේද WordPress හි අනිෂ්ට කේතය සොයන්නේ කෙසේද?
1. එය අඩවි ෆෝල්ඩරය තුළට ඉවත් කරන්න.
2. your_site/fscure/ සබැඳිය අනුගමනය කරන්න
3. සියල්ල
1. අත්සන් මගින් වෛරස් සඳහා ස්වයංක්රීයව සෙවීම.
2. ගොනු තුළ තන්තුවක් සොයන්න
3. ගොනු මකා දැමීම
4. නිත්ය ප්රකාශන භාවිතයෙන් අනිෂ්ට කේතය පැච් කරන්න
ස්ක්රිප්ට් එක ඔබ වෙනුවෙන් සියලුම වැඩ නොකරන අතර අවම දැනුමක් අවශ්ය වේ. වැඩ කිරීමට පෙර වෙබ් අඩවියේ උපස්ථයක් සෑදීමට නිර්දේශ කරනු ලැබේ.
එය ක්රියා කරන්නේ කෙසේද?මුලින්ම දියත් කළ විට, එය ගොනු දර්ශකයක් නිර්මාණය කරයි. fscure.lst ගොනුව ෆෝල්ඩරයේ ඇත. විය හැකි අනිෂ්ට අත්සන් අඩංගු ගොනු ලැයිස්තුවක් පෙන්වයි. “විභව ද්වේෂ සහගත” යන්නෙන් අදහස් කරන්නේ එය වෛරසයක්ද නැද්ද යන්න තීරණය කිරීමට ඔබට සිදුවනු ඇති බවයි. අත්සන් ලැයිස්තුව config.php ගොනුව තුළ වින්යාස කර ඇත, නියත SCAN_SIGN. පෙරනිමි සැකසුම් සමඟ, ස්ක්රිප්ට් js ගොනු පරීක්ෂා නොකරන අතර ඒවා සඳහා අත්සන් අඩංගු නොවේ.
1. fscure.lst දර්ශකය නිර්මාණය නොකරයි. ප්රමාණවත් අයිතිවාසිකම් නොමැති නම් එය සිදුවිය හැකිය. fscure folder එකට 777 දාන්න
2. 5xx දෝෂය. බොහෝ විට "504 Gateway Time-out". ස්ක්රිප්ටයට සැකසීමට කාලය නොමැති අතර කල් ඉකුත්වීම හේතුවෙන් බිඳ වැටේ. මෙම අවස්ථාවේදී, එහි කාර්යය වේගවත් කිරීමට ක්රම කිහිපයක් තිබේ. වේගය මූලික වශයෙන් දර්ශකයේ විශාලත්වය මත රඳා පවතී. එය fscure.lst ගොනුවේ ඇත. සාමාන්යයෙන්, 5MB දක්වා ගොනුවක් 90% කදී සැකසිය හැක. එයට කාලය නොමැති නම්, වින්යාසය තුළ *.jpg;*.png;*.css ස්කෑන් කිරීම තහනම් කිරීමෙන් ඔබට ස්ක්රිප්ටයේ “ගිජුකම” අඩු කළ හැකිය.
config.php ගොනුවේ.
// පරිසීමකය; නිර්වචනය කරන්න ("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");
3. සත්කාරකත්වය වැනි අනතුරු ඇඟවීමක් නිකුත් කරයි
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php
ස්ක්රිප්ට් එකේ වයිරස් නෑ කවදාවත් තිබ්බෙත් නෑ. සහ (HEX)base64.inject.unclassed.6 යනු "echo base64_decode(" වැනි ඉදිකිරීමකි, එය බොහෝ විට හමු වන අතර එයම තරමක් හානිකර නොවේ. කෙසේ වෙතත්, නවතම අනුවාදයේ, මම මෙම කේතය ප්රතිස්ථාපනය කළෙමි.
ඔබ විසින්ම වෛරසය සොයා ගැනීමට නොහැකි නම් කුමක් කළ යුතුද?උදව් සඳහා ඔබට මා සම්බන්ධ කර ගත හැක. මගේ ගාස්තු මධ්යස්ථයි. මම මාස 6 කට මගේ වැඩ සහතික කරනවා. කාර්යයේ පිරිවැය රූබල් 800 කි. 1 අඩවියක් සඳහා. ඔබගේ ගිණුමේ අඩවි කිහිපයක් තිබේ නම්, මිල තනි තනිව තීරණය වේ.
ඔබ සෑම දෙයක්ම තනිවම කිරීමට සමත් වූවා නම්, මූල්ය ත්යාගයක් හෝ මගේ වෙබ් අඩවියට සබැඳියක් සඳහා මම කෘත ful වෙමි.
මගේ අවශ්යතා:
yandex
41001151597934
webmoney
Z959263622242
R356304765617
E172301357329
එකට කළ යුතුයි. ඔබ හැක් කිරීමේ මුල් හේතුව ඉවත් කරන්නේ නම් (උදාහරණයක් ලෙස, CMS දිගුවේ ඇති අවදානමක්), නමුත් සියල්ල ඉවත් නොකරන්න අනිෂ්ට ගොනු, ප්රහාරකයාට ඔහුගේ එක් ස්ක්රිප්ට් එකක් භාවිතා කිරීමෙන් නැවතත් අඩවියට ප්රවේශය ලබා ගැනීමට හැකි වනු ඇත. ඔබ බාගත කළ සියල්ල මකා දැමුවහොත් අනිෂ්ට ස්ක්රිප්ට්, නමුත් හැක් කිරීමට හේතුව ඉවත් නොකරන්න, ප්රහාරකයාට නැවත වෙබ් අඩවිය හැක් කර නැවත එයට ස්ක්රිප්ට් උඩුගත කිරීමට හැකි වේ.
සුදුසු දැනුමක් සහ පළපුරුද්දක් ඇති විශේෂ ist යෙකු අනිෂ්ට ස්ක්රිප්ට් ඉවත් කිරීමට සහ අනවසරයෙන් ඇතුළුවීමට හේතු විශ්ලේෂණය කිරීමට කටයුතු කළ යුතුය:
- අනිෂ්ට ස්ක්රිප්ට් ඉවත් කිරීම සඳහා, ඔබට PHP ක්රමලේඛන භාෂාව පිළිබඳ දැනුම මෙන්ම ජනප්රිය CMS (ජූම්ලා, වර්ඩ්ප්රෙස්, ආදිය) හි “ඇතුළත” සහ ඒවා සඳහා දිගු පිළිබඳ දැනුම අවශ්ය වේ. මෙම දැනුම CMS වෙතින් ස්ක්රිප්ට් සහ එහි දිගු බාහිර ගොනු වලින් වෙන්කර හඳුනා ගැනීමටත්, සැක සහිත ස්ක්රිප්ට් හමු වූ විට ඒවා සිදු කරන ක්රියා මොනවාද යන්න නිසැකව තීරණය කිරීමටත් අවශ්ය වේ.
- අනවසරයෙන් ඇතුළුවීමට හේතු විශ්ලේෂණය කිරීම සඳහා, සේවාදායක පරිපාලන අත්දැකීම් අවශ්ය වේ. ගිණුමේ ඇති ලිපිගොනු වල තත්වය, ඒවා වෙනස් කළ කාලය විශ්ලේෂණය කිරීමට සහ වෙබ් අඩවි අනවසරයෙන් ඇතුළුවීමට හේතු වූ ප්රහාරකයාගේ කුමන ක්රියාද යන්න තීරණය කිරීම සඳහා මෙම දත්ත සේවාදායක ලොග් සමඟ සංසන්දනය කිරීමට මෙය අවශ්ය වේ.
එමනිසා, ඔබේ වෙබ් අඩවිය හැක් කර ඇත්නම්, නැවත නැවත හැක් කිරීම් වලක්වා ගැනීම සඳහා, එම කාර්යය ඔබම කිරීමට නොව, අවශ්ය රෝග විනිශ්චය සිදු කරන සහ නිර්දේශ කරන හෝ සිදු කරන විශේෂ ist යෙකු සම්බන්ධ කර ගැනීම රෙකමදාරු කරනු ලැබේ. අවශ්ය ක්රියාගැටලුව විසඳීමට, සහ ලබාගත් ප්රතිඵලයේ ගුණාත්මකභාවය සහතික කළ හැක්කේ කාටද?
කෙසේ වෙතත්, සමහර අවස්ථාවලදී විශේෂ දැනුමකින් තොරව වෙබ් අඩවියේ ආරක්ෂිත ක්රියාකාරිත්වය යථා තත්ත්වයට පත් කිරීමට උපකාර වන පියවර ගණනාවක් තිබේ. පහත ක්රමයේ සීමාව වන්නේ වෙබ් අඩවියේ ක්රියාකාරිත්වය නැවත ආරම්භ කිරීම සඳහා, එය හැක් කිරීමට පෙර නිර්මාණය කරන ලද උපස්ථ පිටපතක් අවශ්ය වීමයි. උල්ලංඝනය වූ දිනය නොදන්නේ නම්, ඔබට පවතින පැරණිතම උපස්ථය භාවිතයෙන් මෙම ක්රමය උත්සාහ කළ හැකිය. දෙවන සීමාව, පළමුවැන්නෙහි ප්රතිවිපාකයක් ලෙස, වෙබ් අඩවිය ප්රතිෂ්ඨාපනය කිරීමෙන් පසුව, ප්රතිස්ථාපන උපස්ථය නිර්මාණය කිරීමෙන් පසු වෙබ් අඩවියට එකතු කරන ලද දත්ත (උදාහරණයක් ලෙස, නව ලිපි, පින්තූර හෝ ලේඛන). නව දත්ත රඳවා තබා ගනිමින් ඔබට වෙබ් අඩවිය ප්රතිස්ථාපනය කිරීමට අවශ්ය නම්, ඔබ විශේෂඥයෙකු සම්බන්ධ කර ගත යුතුය.
වෙබ් අඩවිය හැක් කිරීමට හේතුව තීරණය කිරීමට මෙම පියවර අපට ඉඩ නොදේ, නමුත් ඒ සෑම එකක්ම විනිවිද යාමට ඇති එක් හේතුවක් ඉවත් කිරීම අරමුණු කර ගෙන ඇත. හැක් කිරීමට නිශ්චිත හේතුව නොදන්නා බැවින්, ඒවා සියල්ලම සිදු කිරීම අවශ්ය වේ. ප්රහාරකයාට වෙබ් අඩවියේ හෝ සත්කාරක ගිණුමේ ඔහුගේ ක්රියාකාරකම් දිගටම කරගෙන යාමට ඇති හැකියාව මුලින්ම සම්පූර්ණයෙන්ම ඉවත් කිරීම සඳහා ක්රියා පිළිවෙලට සකස් කර ඇත. දැනට, ඉන්පසු අනාගතයේදී ප්රහාරකයෙකු වෙබ් අඩවියට ඇතුළු වීම වළක්වන්න.
පහත පියවරයන් උපකල්පනය කරන්නේ ඔබට ඔබගේ සත්කාරක ගිණුමේ ඇත්තේ එක් වෙබ් අඩවියක් පමණක් බවයි. ගිණුමේ අඩවි කිහිපයක් තිබේ නම්, ඒවා ද හැක් කළ හැකි අතර, ඒවා හරහා වෙබ් අඩවිය හැක් කළ හැකිය. ප්රතිසංස්කරණ කටයුතු සිදු කරන වෙබ් අඩවිය වෙනම ගිණුමකට මාරු කිරීම හෝ ගිණුමේ සත්කාරකත්වය දරන සියලුම අඩවි සඳහා එකවර ප්රතිසාධනය කිරීම අවශ්ය වේ.
ක්රියාවන්ගේ අනුපිළිවෙල වැදගත් වේ, එබැවින් ඒවා පහතින් පිහිටා ඇති නිශ්චිත අනුපිළිවෙලින් සිදු කිරීම අවශ්ය වේ.
ඉහත සියලු ක්රියා අතපසුවීම් හෝ කිසිදු වෙනසක් නොමැතිව නිශ්චිත අනුපිළිවෙලට අනුකූලව සිදු කළ යුතුය. ක්රියාවන් සාවද්ය ලෙස සිදු කරන්නේ නම්, වෙබ් අඩවියේ අනිෂ්ට ස්ක්රිප්ට් හෝ දුර්වලතා පැවතිය හැකි අතර, එහි ප්රතිඵලයක් ලෙස එය කෙටි කාලයකට පසු ප්රහාරකයෙකුට නැවත හැක් කළ හැක. කිසියම් හේතුවක් නිසා ඉහත පියවරයන් දක්වා ඇති ආකාරයෙන් සිදු කිරීමට නොහැකි නම්, හැක් කිරීමෙන් පසු වෙබ් අඩවිය යථා තත්ත්වයට පත් කිරීමට කටයුතු කිරීමට විශේෂඥයෙකු අමතන්න.
අනාගතයේදී නැවත නැවත හැක් කිරීම් වලින් ඔබේ වෙබ් අඩවිය ආරක්ෂා කිරීම සඳහා, ඔබ පහත නිර්දේශ පිළිපැදිය යුතුය:අනිෂ්ට කේතය නොසැලකිලිමත්කම හෝ ද්වේෂසහගත චේතනාව හරහා වෙබ් අඩවියට ඇතුල් වේ. අනිෂ්ට කේතයේ අරමුණු වෙනස් වේ, නමුත් අත්යවශ්යයෙන්ම එය වෙබ් අඩවියක සාමාන්ය ක්රියාකාරිත්වයට හානි කරයි හෝ බාධා කරයි. WordPress හි අනිෂ්ට කේතය ඉවත් කිරීමට, ඔබ එය මුලින්ම සොයා ගත යුතුය.
WordPress අඩවියක අනිෂ්ට කේතය යනු කුමක්ද?විසින් පෙනුම, බොහෝ විට, අනිෂ්ට කේතය යනු ලතින් හෝඩියේ අකුරු සහ සංකේත සමූහයකි. ඇත්ත වශයෙන්ම, මෙය මෙම හෝ එම ක්රියාව සිදු කරනු ලබන සංකේතාත්මක කේතයකි. ක්රියාවන් බෙහෙවින් වෙනස් විය හැකිය, උදාහරණයක් ලෙස, ඔබගේ නව පළ කිරීම් වහාම තෙවන පාර්ශවීය සම්පතක් මත ප්රකාශයට පත් කෙරේ. මෙය අත්යවශ්යයෙන්ම ඔබේ අන්තර්ගතය සොරකම් කිරීමකි. කේත වලට වෙනත් "කාර්යයන්" ද ඇත, උදාහරණයක් ලෙස, අඩවි පිටු මත පිටතට යන සබැඳි තැබීම. කාර්යයන් වඩාත් සංකීර්ණ විය හැකි නමුත් එක් දෙයක් පැහැදිලිය: අනිෂ්ට කේත දඩයම් කර ඉවත් කළ යුතුය.
අනිෂ්ට කේත වෙබ් අඩවියකට ඇතුල් වන්නේ කෙසේද?වෙබ් අඩවියට ඇතුළු වීමට කේත සඳහා බොහෝ අඩුපාඩු තිබේ.
එවැනි වෛරස් වලට එරෙහිව සටන් කිරීම දුෂ්කර බවත්, අතින් ඉවත් කිරීම සඳහා දැනුම අවශ්ය බවත් මම වහාම සටහන් කරමි. ගැටලුවට විසඳුම් තුනක් ඇත: පළමු විසඳුම වන්නේ ප්රති-වයිරස ප්ලගීන භාවිතා කිරීමයි, උදාහරණයක් ලෙස, BulletProof Security නම් ප්ලගිනය.
මෙම විසඳුම හොඳ ප්රතිඵල ලබා දෙයි, නමුත් ටිකක් වුවද, කාලය ගත වේ. සංකීර්ණ වෛරස් ඇතුළු අනිෂ්ට කේත ඉවත් කිරීම සඳහා වඩාත් රැඩිකල් විසඳුමක් ඇත, මෙය කලින් සාදන ලද ඒවායින් වෙබ් අඩවිය යථා තත්වයට පත් කිරීමයි. උපස්ථ පිටපත්අඩවිය.
හොඳ වෙබ්මාස්ටර් කෙනෙක් මෙය වරින් වර කරන බැවින්, ඔබට කිසිදු ගැටළුවක් නොමැතිව ආසාදිත නොවන අනුවාදයකට ආපසු යා හැක. තෙවන විසඳුම වන්නේ ධනවත් හා කම්මැලි අය සඳහා, විශේෂිත "කාර්යාලයක්" හෝ තනි විශේෂඥයෙකු අමතන්න.
WordPress හි අනිෂ්ට කේතය සොයන්නේ කෙසේද?වර්ඩ්ප්රෙස් හි අනිෂ්ට කේතය වෙබ් අඩවියේ ඕනෑම ගොනුවක තිබිය හැකි අතර වැඩ කරන තේමාවේ අවශ්ය නොවන බව තේරුම් ගැනීම වැදගත්ය. ඔහුට අන්තර්ජාලයෙන් ලබාගත් ප්ලගිනයක්, තේමාවක් හෝ "ගෙදර හැදූ" කේතයක් ඉදිරිපත් කළ හැකිය. අනිෂ්ට කේතය සොයා ගැනීමට උත්සාහ කිරීමට ක්රම කිහිපයක් තිබේ.
ක්රමය 1: අතින්. ඔබ සියලුම අඩවි ගොනු හරහා අනුචලනය කර ඒවා ආසාදිත නොවන උපස්ථයක ගොනු සමඟ සංසන්දනය කරන්න. ඔබ වෙනත් කෙනෙකුගේ කේතය සොයා ගන්නේ නම්, එය මකන්න.
ක්රමය 2: WordPress ආරක්ෂක ප්ලගීන භාවිතා කිරීම. උදාහරණ වශයෙන්, . මෙම ප්ලගිනයට විශිෂ්ට විශේෂාංගයක් ඇත, වෙනත් පුද්ගලයින්ගේ කේතය තිබීම සඳහා අඩවි ගොනු පරිලෝකනය කිරීම සහ ප්ලගිනය මෙම කාර්යය සමඟ හොඳින් කටයුතු කරයි.
ක්රමය 3. ඔබට සාධාරණ සහය සත්කාරකත්වයක් තිබේ නම් සහ වෙබ් අඩවියේ වෙනත් අයෙකු සිටින බව ඔබට පෙනෙන්නේ නම්, ඔවුන්ගේ ප්රති-වයිරසයෙන් ඔබේ වෙබ් අඩවිය පරිලෝකනය කරන ලෙස ඔවුන්ගෙන් ඉල්ලා සිටින්න. ඔවුන්ගේ වාර්තාව සියලුම ආසාදිත ගොනු ලැයිස්තුගත කරනු ඇත. ඊළඟට, මෙම ගොනු විවෘත කරන්න පෙළ සංස්කාරකයසහ අනිෂ්ට කේතය ඉවත් කරන්න.
ක්රමය 4. ඔබට SSH ප්රවේශය සමඟ වැඩ කළ හැකි නම් අඩවි නාමාවලිය, ඉන්පසු ඉදිරියට යන්න, එය එහිම කුස්සියක් ඇත.
වැදගත්! ඔබ අනිෂ්ට කේතය සෙවූ ආකාරය කුමක් වුවත්, කේතය සෙවීමට සහ මකා දැමීමට පෙර, අඩවි ගොනු වෙත ප්රවේශය වසා දමන්න (නඩත්තු මාදිලිය සක්රිය කරන්න). මකා දැමූ විට ඒවා ප්රතිසාධනය කරන කේත ගැන මතක තබා ගන්න.
eval ශ්රිතය භාවිතයෙන් අනිෂ්ට කේත සොයන්නPHP වල එවැනි ශ්රිතයක් තියෙනවා eval කියලා. එහි රේඛාවේ ඕනෑම කේතයක් ක්රියාත්මක කිරීමට එය ඔබට ඉඩ සලසයි. එපමණක් නොව, කේතය සංකේතනය කළ හැකිය. අනිෂ්ට කේතය අකුරු සහ සංකේත කට්ටලයක් ලෙස පෙනෙන්නේ කේතනය කිරීම නිසාය. ජනප්රිය කේතීකරණ දෙකක් නම්:
ඒ අනුව, මෙම කේතීකරණ වලදී eval ශ්රිතය මෙලෙස දිස්වේ:
- eval(base64_decode(...))
- eval (str_rot13 (...)) //අභ්යන්තර උද්ධෘත වල, දිගු, නොපැහැදිලි අකුරු සහ සංකේත කට්ටල..
eval ශ්රිතය භාවිතයෙන් අනිෂ්ට කේතය සෙවීම සඳහා ඇල්ගොරිතම පහත පරිදි වේ (අපි පරිපාලන මණ්ඩලයෙන් වැඩ කරමු):
- අඩවි සංස්කාරකය වෙත යන්න (පෙනුම → සංස්කාරක).
- functions.php ගොනුව පිටපත් කරන්න.
- එය පෙළ සංස්කාරකයක විවෘත කරන්න (උදාහරණයක් ලෙස, Notepad++) සහ eval යන වචනය සොයන්න.
- ඔබ එය සොයා ගන්නේ නම්, කිසිවක් මකා දැමීමට ඉක්මන් නොවන්න. මෙම කාර්යය ඉටු කිරීමට "ඉල්ලන" දේ ඔබ තේරුම් ගත යුතුය. මෙය තේරුම් ගැනීමට, කේතය විකේතනය කළ යුතුය. විකේතනය කිරීම සඳහා විකේතක ලෙස හඳුන්වන මාර්ගගත මෙවලම් තිබේ.
විකේතක සරලව ක්රියා කරයි. ඔබට විකේතනය කිරීමට අවශ්ය කේතය පිටපත් කර එය විකේතක ක්ෂේත්රයට අලවා විකේතනය කරන්න.
ලියන අවස්ථාව වන විට, මම WordPress හි එකම සංකේතාත්මක කේතයක් සොයා ගත්තේ නැත. මම කේතය සොයා ගත්තේ ජූම්ලා වෙබ් අඩවියෙන්. මූලධර්මය අනුව, විකේතනය තේරුම් ගැනීමේ වෙනසක් නොමැත. අපි ඡායාරූපය දෙස බලමු.
ඡායාරූපයෙහි ඔබට දැකිය හැකි පරිදි, විකේතනය කිරීමෙන් පසුව, eval ශ්රිතය, වෙබ් අඩවියේ ආරක්ෂාවට තර්ජනයක් වන භයානක කේතයක් ප්රදර්ශනය නොකළ නමුත්, සැකිල්ලේ කතුවරයාගෙන් සංකේතාත්මක ප්රකාශන හිමිකම් සබැඳියක්. එය ද ඉවත් කළ හැක, නමුත් ඔබ භාවිතා නොකරන්නේ නම් අච්චුව යාවත්කාලීන කිරීමෙන් පසුව එය නැවත පැමිණේ.
අවසාන වශයෙන්, වෙබ් අඩවියේ වෛරසයක් ලබා නොගන්නා ලෙස මම සටහන් කිරීමට කැමතියි:
- WordPress හි අනිෂ්ට කේතය බොහෝ විට තේමාවන් සහ ප්ලගීන සමඟ පැමිණේ. එබැවින්, "වමේ", සත්යාපනය නොකළ සම්පත් වලින් සැකිලි සහ ප්ලගීන ස්ථාපනය නොකරන්න, ඔබ එසේ කරන්නේ නම්, PHP හි සබැඳි සහ විධායක කාර්යයන් සඳහා ඒවා ප්රවේශමෙන් පරීක්ෂා කරන්න. "නීති විරෝධී" සම්පත් වලින් ප්ලගීන සහ තේමා ස්ථාපනය කිරීමෙන් පසුව, ප්රතිවයිරස මෘදුකාංග සමඟ වෙබ් අඩවිය පරීක්ෂා කරන්න.
- වරින් වර උපස්ථ කිරීමට සහ අනෙකුත් ඒවා ඉටු කිරීමට වග බලා ගන්න.
බ්රවුසර මෙවලම් භාවිතයෙන් එන්නත් කරන ලද අනිෂ්ට බ්රවුසර ස්ක්රිප්ට් (ගබඩා කරන ලද XSS ප්රහාර) වලින් ආරක්ෂා වීම පහසු සහ වඩාත් ඵලදායී බව මගේ මතය, කලින් ප්රකාශ කරන ලදී: . වෙබ් අඩවියේ html පිටුවලට පෙරීමේ කේතය එක් කිරීමෙන් සමන්විත JavaScript වලට එරෙහිව බ්රවුසර ආරක්ෂාව අනුමාන වශයෙන් විශ්වාස කළ හැකි ය; කෙසේ වෙතත්, එවැනි ආරක්ෂාවක් තිබීම සේවාදායක පෙරහනක් භාවිතා කිරීමේ අවශ්යතාවය ඉවත් නොකරයි. එකම XSS ප්රහාර සඳහා, ඔබට සේවාදායකයේ අමතර ආරක්ෂක මාර්ගයක් සංවිධානය කළ හැකිය. ප්රහාරකයෙකු විසින් වෙබ් අඩවියකින් එවන ලද HTML පණිවිඩයකට බ්රවුසරය මත පදනම් නොව සේවාදායක පැත්තේ ස්ක්රිප්ට් (php) හඳුන්වා දීමේ හැකියාව ගැනද අප මතක තබා ගත යුතුය.
ප්රහාරක ස්ක්රිප්ට් එකක්, බ්රවුසරය මත පදනම් වූ හෝ සේවාදායකය පදනම් වූවත්, වැඩසටහනකි; වැඩසටහනට සෑම විටම “පිරිසිදු” html වෙතින් යම් සංකේතාත්මක වෙනස්කම් ඇති බව සිතිය යුතුය. එවැනි වෙනස්කම් සොයාගෙන ඒවා සේවාදායකයේ HTML පෙරහනක් සෑදීමට උත්සාහ කරමු. පහත දැක්වෙන්නේ අනිෂ්ට JavaScript සඳහා උදාහරණ වේ.
XSS:සමහර පෙළ
සමහර පෙළ
සංකේතාත්මක XSS:සමහර පෙළ
බ්රව්සර් විසින් අක්ෂර ප්රාථමික වලින් පෙළ ප්රතිසාධනය කරන්නේ html බහාලුම් තුළ (ආරම්භක සහ වැසීමේ ටැග් අතර) පමණක් නොව, ටැග් තුළම (අතර)< и >) http ලිපින වල URL කේතනය කිරීමට අවසර ඇත. එකම අක්ෂර අනුක්රමය විවිධ ආකාරවලින් නිරූපණය කළ හැකි බැවින්, සේවාදායකයේ පැත්තේ ඇති අනිෂ්ට කේතය හඳුනා ගැනීම මෙය දුෂ්කර කරයි.
XSS පණුවන්:"+innerHTML.slice(action= (method="post")+".php",155)))">
ඇලර්ට්("xss");(නව XMLHttpRequest)විවෘත("POST","post.php"),send("content="+_.outerHTML)
ඉහත XSS පණුවන් යනු කෙටිම අනිෂ්ට JavaScript worm (තරඟ ප්රතිඵල) සඳහා 2008 ජනවාරි මාසයේ Robert Hansen ගේ (එනම් RSnake) තරඟයට ඉදිරිපත් කරන ලද ඒවායින් කිහිපයක් පමණි.
XSS ප්රහාර වල සංඥාXSS ස්ක්රිප්ට් යනු DOM (Document Object Model) වස්තු සහ ඒවායේ ක්රම වෙත ප්රවේශ වන වැඩසටහනකි. එසේ නොමැති නම් එය කිසිදු ආකාරයකින් හානිකර විය නොහැක. උදාහරණයක් ලෙස, JavaScript string
onckick="var a = "xss""
ලේඛන වස්තු ආකෘතියට බලපාන්නේ නැත, එබැවින් html ටැගයක කාවැද්දුවද, එවැනි තන්තුවක් හානිකර නොවේ. HTML ලේඛන වස්තූන් සහ ඒවායේ ක්රම හැසිරවීමෙන් පමණක් හැකර් කෙනෙකුට වෙබ් අඩවියකට සැලකිය යුතු හානියක් කළ හැකිය. උදාහරණයක් ලෙස, රේඛාව
onmousemove="document.getElementsByTagName("body").innerHTML="XSS""
දැනටමත් පිටුවේ අන්තර්ගතය ප්රතිස්ථාපනය කරයි.
DOM ක්රම වෙත ප්රවේශ වීමේ ලකුණක් වරහන් මෙන්ම සමාන ලකුණේ වම්පස තිත් වේ. rgb() ආකෘතියෙන් වර්ණයක් සැකසීමට html තුළ වරහන් භාවිතා කළ හැක, කෙසේ වෙතත්, html හි අකුරු සහ පසුබිම් වර්ණ අවම වශයෙන් තවත් ආකාර තුනකින් සකසා ඇත. එබැවින් html පාඨයේ ප්රකාශනාත්මකභාවයට හානියක් නොවන පරිදි වරහන් කැප කළ හැක. වරහන් ටැගය තුළ ඇති බව රීතියක් ලෙස පිළිගැනීම අවශ්ය වේ (එනම්, අතර< и >) - මෙය ඉතා භයානකයි, අපට සේවාදායකයේ පරිශීලකයෙකුගෙන් පණිවිඩයක් ලැබෙන්නේ නම්, මෙම පණිවිඩයේ ටැග් ඇතුළත වරහන් අඩංගු වේ, එවිට අප කළ යුතු වඩාත්ම සුදුසු දෙය එවැනි පණිවිඩයක් අවහිර කිරීමයි.
තිත html ටැග් වල අඩංගු විය හැක: සබැඳි ලිපිනය සඳහන් කිරීමේදී (ටැගය ); html මූලද්රව්යවල ප්රමාණය සැකසීමේදී (style="height:1.5in; width:2.5in;" ). නමුත් ආකෘතියේ චරිත අනුපිළිවෙල
අකුරු ලක්ෂ්යය සමාන වේ
html ටැග් වල සිටිය නොහැක. නිශ්චිත අනුපිළිවෙල html ටැගයක් තුළ තිබේ නම්, පරිශීලකයාගේ පණිවිඩයේ බොහෝ විට ස්ක්රිප්ට් එකක් අඩංගු වන අතර එය අවහිර කළ යුතුය.
තවත් පැහැදිලි භයානක ලකුණක් වන්නේ ටැගය තුළ ඇති "+" සංකේතයයි. scriptless html වල එහෙම දෙයක් නෑ. අපි ටැග් තුළ ප්ලස් සොයා ගන්නේ නම්, අපි අනුකම්පා විරහිතව පණිවිඩය අවහිර කරන්නෙමු.
html ටැග් තුළ අක්ෂර ප්රාථමික සමඟ සංකේතනය කිරීමට, හොඳ චේතනාවක් ඇති අඩවි පරිශීලකයෙකු භාවිතා කරමින් අදහස් දැක්වීමක් එක් කරයි දෘශ්ය සංස්කාරකය, කවදාවත් දුවන්නේ නැහැ. ටැග් වල සංකේතාත්මක ප්රාථමික භාවිතය අතිරේක ප්රකාශන මාධ්යයන් ආකාරයෙන් කිසිදු ප්රතිලාභයක් ලබා නොදේ; එයට අමතර ලිවීමේ කාලයක් පමණක් අවශ්ය වේ. බොහෝ අවස්ථාවන්හීදී, HTML හි යම් යම් අක්ෂර ප්රාථමිකයන් ඇති බව හොඳින් අදහස් කරන පරිශීලකයෙකු නොදැන සිටින බව කෙනෙකුට සිතිය හැකිය. එබැවින් රීතිය: ටැගයක් තුළ ඇති ඇම්පර්සන්ඩ් අඩවියට පහර දීමක් පිළිබඳ සාක්ෂියකි. ඒ අනුව, අපි මෙය දුටුවහොත් අපි පණිවිඩය අවහිර කරමු.
url කේතනය කිරීමේදී භාවිතා කළ හැකි "%" සංකේතය සම්බන්ධයෙන් සමාන රීතියක් අනුගමනය කළ යුතුය. කෙසේ වෙතත්, මූලද්රව්යවල සාපේක්ෂ ප්රමාණයන් සැකසීමට "පිරිසිදු" html හි ප්රතිශත ද භාවිතා වේ. අන්තරායකර සංයෝජන යනු "%" ලකුණට පසුව අකුරක් හෝ අංකයක් එසැනින් එන ඒවා වේ.
සේවාදායක ස්ක්රිප්ට් උදාසීන කිරීමබ්රවුසරවල ජාවාස්ක්රිප්ට් පරිවර්තකයන් මෙන් නොව, සර්වරයේ ඇති PHP පරිවර්තකය වැඩසටහන් පෙළ ලිවීමේදී නිදහසට ඉඩ නොදේ. එබැවින්, හැකි සේවාදායක ස්ක්රිප්ට් උදාසීන කිරීම සඳහා, පරිශීලකයාගේ HTML පණිවිඩයේ PHP වැඩසටහනක් ලිවීමේදී අත්යවශ්ය සියලුම අක්ෂර ඔවුන්ගේ HTML ප්රාථමිකයන් සමඟ සම්පුර්ණයෙන්ම ප්රතිස්ථාපනය කිරීම ප්රමාණවත් වේ. ප්රතිස්ථාපනය කළ යුතු පළමු සලකුණු වන්නේ ඩොලර් සහ යටි ඉරි, තිත්, රවුම්, හතරැස් සහ curly වරහන්, plus සහ minus signs, backslash ලකුණ.
HTML පණිවිඩ සඳහා PHP පෙරහන$message යනු දෘශ්ය සංස්කාරකයේ සිට සේවාදායකය වෙත ලැබෙන html පණිවිඩයයි.
// පණිවිඩයේ දිග මතක තබා ගන්න $lenmessage = strlen($message); // අදහස් ටැගය කපා දමන්න $message = preg_replace("//", "", $message); // "src" ගුණාංගය බාහිර සම්පතක් වෙත යොමු කරන සෑම ටැගයක්ම කපා දමන්න $message = preg_replace("/]+?src[\w\W]+\/\/[^>]+?>/i" , "", $message); // හැර ඕනෑම අක්ෂරයක් අඩංගු සෑම ටැගයක්ම කපා දමන්න: - a-z 0-9 / . : ; " = % # ඉඩ $message = preg_replace("/]+[^->a-z0-9\/\.\:\;\"\=\%\#\s]+[^>]+?> /i", "", $message); // ". a-z =" $message = preg_replace("/]+?\.+?\=[^>]+?>/i", "", $message) අනුපිළිවෙල අඩංගු සෑම ටැගයක්ම කපා දමන්න; // "% a-z" හෝ "% 0-9" අනුපිළිවෙල අඩංගු සෑම ටැගයක්ම කපා දමන්න $message = preg_replace("/]+?\%+?[^>]+?>/i", "", $ පණිවුඩය); // "script" හෝ "js:" $message = preg_replace("/]*?script[^>]*?>/i", "", $message) අනුපිළිවෙල අඩංගු සෑම ටැගයක්ම කපා දමන්න; $message = preg_replace("/]*?js:[^>]*?>/i", "", $message); // "a-z" හෝ "/" $message = preg_replace("/]*?>/i", "", $message) හැර වෙනත් අක්ෂරයකින් ආරම්භ වන සෑම ටැගයක්ම කපා දමන්න; // පරීක්ෂා කරන්න: පණිවිඩය කෙටි කර ඇත්නම්, වැඩසටහන අවසන් කරන්න $lenmessage2 = strlen($message); නම් ($lenmessage != $lenmessage2) ("පණිවිඩය එක් කළ නොහැක" මුද්රණය කරන්න; පිටවීම;) , $පණිවිඩය); $message = str_replace("_", "_", $message); $message = str_replace(".", ".", $message); $message = str_replace(chr(92), "\", $message); // \ $message = str_replace("(", "(", $message); $message = str_replace()", ")", $message); $message = str_replace("[", "[", $message); $message = str_replace("]", "]", $message); $message = str_replace("(", "(", $message); $message = str_replace()", ")", $message); $message = str_replace("?", "?", $message); // දැන් පණිවිඩය සත්යාපනය කර ඇත, එහි ඇති ස්ක්රිප්ට් උදාසීන කර ඇත
පෙරහන යුගල ටැග් ඉවත් නොකරන බව සැලකිල්ලට ගත යුතුය. ලැබුණා කියමු
මෙහි ක්ලික් කරන්න!
පෙරහන පමණක් කපා හරිනු ඇත, නමුත් යුගල කළ (වසා දැමීමේ) ටැගය පවතිනු ඇත. ඔබ බ්රවුසරයට අනුරූප යුගල නොමැතිව ටැග් අඩංගු පණිවිඩ එවන්නේ නම්, ඔබට වෙබ් අඩවියේ "ස්කූ" ආකාරයෙන් ගැටළු ඇති විය හැක. බ්රවුසරය ඉතිරිව ඇති යුගල නොකළ වසා දැමීමේ ටැගයට ගැලපෙන්නේ කුමන විවෘත ටැගයටදැයි නොදනී. එබැවින්, ආරක්ෂක හේතූන් මත, පෙරහන මගින් යමක් කපා ඇති පණිවිඩ කිසිසේත් බ්රවුසරයට නොයැවිය යුතුය. "පණිවිඩය එක් කිරීමට නොහැකි විය" වැනි දෙයක් මුද්රණය කර වැඩසටහනෙන් පිටවීම වඩා හොඳය.
පණිවිඩය ගොනුවකට ලිවීමට බලාපොරොත්තු වේ (දත්ත ගබඩාවකට නොවේ).
සාකච්ඡාවිවේචන සඳහා මම කෘතඥ වනු ඇත. කොටසෙහි, උපකාරක සංසදයට ලියන්න
