Mengamankan Aplikasi Web Seperti Rumah Anda Sendiri

Mengamankan Aplikasi Web Seperti Rumah Anda Sendiri. Cara mudah untuk melihat keamanan aplikasi web adalah dengan membayangkan rumah Anda sendiri. Hotel ini memiliki pintu depan, pintu belakang, jendela sejumlah kamar, atap, pagar perbatasan dan rute akses yang berbeda. Hanya terminologi berbeda.

Pintu depan.
Pintu depan aplikasi web adalah halaman login dan, tidak mengherankan, itu adalah titik utama serangan. Sebuah halaman login akan terdiri dari kotak edit untuk mengetik nama pengguna dan password dan tombol untuk mengirim ini untuk server untuk mengotentikasi Anda akses ke seluruh aplikasi web. Beberapa halaman login dapat memberikan captcha untuk memastikan bahwa Anda adalah manusia dan bukan sebuah mock-up bentuk yang sama pada server yang berbeda. Bentuk mock-up akan menggilir variasi nama pengguna dan password sampai ia memperoleh akses ke aplikasi. Ini dikenal sebagai lintas-situs pemalsuan dan mirip dengan seorang pencuri penempaan tombol untuk rumah Anda.

Mengamankan Aplikasi Web Seperti Rumah Anda Sendiri

Captcha yang campur aduk gambar orak huruf dan angka yang membuat mustahil bagi script otomatis untuk membaca. Sayangnya, seperti script menjadi pandai membaca gambar-gambar, gambar captcha harus menjadi lebih kompleks dan sulit bagi manusia untuk membaca. Hal ini menyebabkan frustrasi bagi pengguna akhir karena mereka telah mengulangi upaya gagal memperoleh akses ke account mereka karena captcha tidak terbaca. Solusi untuk ini telah menggantikan captcha tanda aman. Aman token yang dihasilkan saya bergabung dengan nama pengguna, sandi, dan informasi pengguna lainnya yang tersedia dengan kunci unik dihasilkan. Rangkaian ini kemudian dienkripsi dan disimpan sebagai bidang tersembunyi dalam bentuk, sehingga membuat tidak mungkin untuk setiap bentuk mock-up untuk membuat berhasil login upaya.

Jendela dan pintu belakang.
Apakah jendela aplikasi web? Saya tidak bermaksud sistem operasi pada server. Aku sedang berbicara tentang daerah-daerah yang potensial dari setiap halaman yang bisa rusak untuk membuat sebuah catatan paksa. Daerah ini adalah kotak edit dan teks area yang memungkinkan pengguna untuk mengetik informasi. Penyerang akan gunakan kotak edit dan area teks untuk memasukkan perintah yang memahami database. Jika perangkat lunak tidak tertulis aman maka itu sangat mudah untuk mengganggu database saat itu adalah menyimpan data, sehingga hal ini akan melaksanakan perintah yang diberikan oleh penyerang. Serangan-serangan yang khas dapat menyebabkan database dihancurkan, data dicuri atau informasi pengguna yang sedang dikompromikan. Jenis serangan ini dikenal sebagai injeksi SQL.

Pagar perbatasan.
Pagar perbatasan dari suatu halaman web adalah link apapun, area yang dapat diedit dan alamat URL utama. URL halaman itu sendiri dan link tertanam di halaman dapat disalin dan dimodifikasi dari situs lain sehingga perintah dapat dieksekusi oleh server. Kode JavaScript dapat dimasukkan ke daerah-daerah yang dapat diedit untuk memaksa data harus diserahkan ke situs nakal atau untuk mendapatkan kendali atas browser web pengguna. Database perintah juga dimasukkan ke dalam alamat URL utama. Serangan ini dikenal sebagai cross-site scripting (XSS) serangan karena mereka adalah script yang mengarahkan pengguna ke situs web sendiri penyerang. Serangan XSS dapat digunakan untuk mencuri pengidentifikasi sesi dikonfirmasi pengguna dan menggunakannya untuk meningkatkan tingkat akses akun lain yang telah mereka ciptakan.

Untuk mencegah cross-site scripting, perangkat lunak harus memindai semua bidang yang dapat diedit untuk kode dan juga termasuk tanda aman dalam setiap URL dan link. Sama seperti lubang dan kesenjangan dalam pagar harus ditutup. Semua laman aman harus memeriksa keberadaan pengguna keasliannya.

Peniruan.
Kami memiliki semua pemanggil berpengalaman rumah palsu yang mengaku menjadi orang gas atau perusahaan air mengatakan mereka membutuhkan untuk mendapatkan akses ke rumah Anda untuk mematikan suplai Anda. Situs web penyerang dapat menghubungi Anda atau pengguna lain situs Anda melalui email, jaringan sosial, atau telepon dan menipu Anda untuk mengungkapkan rincian login Anda. Alasan mereka mungkin memberikan bisa bahwa situs web telah hacked dan mereka bisa memperbaikinya jika Anda memberi mereka akses. Pencegahan hanya akan terus-menerus mengingatkan pengguna bahwa mereka tidak harus mengungkapkan username dan password mereka kepada siapa pun dan bahwa Anda sebagai pemilik situs tidak akan pernah meminta mereka untuk mengungkapkan password mereka. Anda harus memberikan link untuk memungkinkan pengguna untuk membuat ulang sandi yang terlupa dengan mengirimkan mereka link email dengan token dienkripsi untuk menjamin sumbernya.

Leave a Reply

Your email address will not be published. Required fields are marked *