ስለ ጄ ቤር ዝቅተኛ
የ WebHostingSeccretRevealed.net (WHSR) መሥራች - የ 100,000 ተጠቃሚዎች ተጠቃሚዎች የሚታመኑ እና በስራ ላይ የዋሉ የማስተናገጃ ግምገማ ናቸው. በድር ማስተናገጃ, ተባባሪ ግብይትና ሾው ውስጥ ከ 90 ቀናት በላይ ልምድ ያለው. ለ ProBlogger.net, Business.com, SocialMediaToday.com አስተዋጽኦ አበርካች እና ተጨማሪ.
በድር ጣቢያዎች ላይ የጠለፋ ሙከራዎች እርስዎ ከሚያስቡት በላይ በጣም የተለመዱ ናቸው ፡፡
ብዙዎቻችን ባናያቸውም ፣ ዝም የማይል ጥቃቶች በመረቡ ላይ ሁል ጊዜም በየቦታው እየተካሄዱ ናቸው ፡፡ የጥቃቶች ጥሩ ክፍል በድር አስተናጋጅ መለያዎች ላይ ያነጣጠረ ነው።
የድር አስተናጋጅ ተጋላጭነቶች ሁለት ሰፋፊ ምድቦች አሉ። የመጀመሪያው አጠቃላይ ነው ፣ ሁለተኛው ደግሞ የበለጠ እቅድ-ነክ ነው ፡፡ ለምሳሌ ፣ ከድር ማስተናገጃ ዕቅዶች አይነቶች መካከል የተጋራ ማስተናገጃ አብዛኛውን ጊዜ በጣም ተጋላጭ ነው ተብሎ ይታሰባል ፡፡
ለመገንባት በሚያደርጉት ሙከራ ተንኮል አዘል ተዋንያን መላ የድር አገልጋዮችን ዒላማ እንደሚያደርጉ ታውቋል botnets. በእነዚህ ሙከራዎች ውስጥ የተለመዱ ዒላማዎች የድር አገልጋይ ማዕቀፎችን ያካተቱ እና በአጠቃላይ በይፋ የሚገኙ ብዝበዛዎችን ያካትታሉ ፡፡
እነዚህ የተራቀቁ እና የተጠናከሩ ጥረቶች ብዙውን ጊዜ እምብዛም የማይቋቋሙ የድር አስተናጋጅ አቅራቢዎችን ማሸነፍ ይችላሉ ፡፡ ደግነቱ ፣ አንዴ ከተገኘ ተጋላጭነቶች በተለምዶ በአብዛኛዎቹ የድር አስተናጋጆች በፍጥነት በፍጥነት ይጠበቃሉ።
የተሰራጨ የአገልግሎት መከልከል (DDoS) ተጋላጭነት አይደለም ፣ ግን ስሙ እንደሚያመለክተው የጥቃት ዓይነት ነው ፡፡ ተንኮል አዘል ተዋንያን አገልጋይን (ወይም የተለየ አገልግሎት) እጅግ በጣም ብዙ በሆነ የውሀ መጠን ለመጥለቅ ይሞክራሉ ፡፡
ለዚህ ያልተዘጋጁ የድር ማስተናገጃ አገልግሎቶች በእነዚህ ጥቃቶች ሽባ ሊሆኑ ይችላሉ ፡፡ ብዙ ሀብቶች ሲበሉ ፣ በአገልጋዩ ላይ ያሉ ድርጣቢያዎች ለጎብ visitorsዎች ለእውነተኛ ጥያቄዎች መልስ መስጠት አይችሉም ፡፡
መሰረታዊ የድር ጣቢያ ባለቤቶች በተለይም በጋራ ማስተናገጃ ላይ ያሉ አገልጋዮቻቸው በትክክል መዋቀራቸውን ወይም አለመዋቀሩን ብዙውን ጊዜ ግንዛቤ የላቸውም ፡፡ በደንብ ካልተዋቀሩ አገልጋዮች ውስጥ ቁጥራቸው ቀላል የማይባል ጉዳዮች ሊነሱ ይችላሉ ፡፡
ለምሳሌ ፣ ያልተዛመዱ ወይም ጊዜ ያለፈባቸው መተግበሪያዎች አሂድ። በአፈፃፀም ወቅት ለሚነሱ ቴክኒካዊ ጉዳዮች የስህተት አያያዝ ዘዴዎች ቢኖሩም ጉድለቶች እስከሚበዙ ድረስ ሳይታዩ ሊቆዩ ይችላሉ ፡፡
በአገልጋዩ ውስጥ ትክክለኛ ያልሆነ ውቅር ፣ አገልጋዩ የመዳረሻ መብቶችን በትክክል እንዳያረጋግጥ ሊያደርገው ይችላል። የተከለከሉ ተግባሮችን ወይም ወደ ዩአርኤሉ አገናኞችን መደበቅ ብቻ በቂ አይደለም ፣ ጠላፊዎች ሊሆኑ የሚችሉትን መለኪያዎች ፣ ዓይነተኛ አካባቢዎችን መገመት እና ከዚያ የጭካኔ ኃይል መድረሻ ማድረግ ይችላሉ ፡፡
ለዚህ እንደ ምሳሌ አንድ አጥቂ የአስተዳዳሪውን አገልጋይ መዳረሻ ለማግኘት እንደ ያልተጠበቀ JPEG ትንሽ እና ቀላል የሆነን ነገር ሊጠቀም ይችላል ፡፡ በሲስተሙ ውስጥ ወደ አንድ ነገር የሚጠቁም ቀለል ያለ ግቤት ያሻሽላሉ እና ከዚያ ውስጥ ገብተዋል።
እንዲሁም ያንብቡ -
በጋራ ማስተናገጃ አካባቢ ሁሉም በአንድ ጀልባ ውስጥ ተቀምጧል ማለት ይቻላል ፡፡ እያንዳንዱ አገልጋይ በመቶዎች የሚቆጠሩ ተጠቃሚዎች ቢኖሩትም አንድ ነጠላ ጥቃት ለመናገር መላ መርከቡን ሊያሰምጥ ይችላል ፡፡
"አምስቱ (የድር አስተናጋጅ አገልግሎት ሰጭዎች) ቢያንስ አንድ የተጠቃሚ መለያ ጠለፋ የሚፈቅድ አንድ ከባድ ተጋላጭነት ነበራቸው" ፓውሎስ ይቤሎ፣ የታወቀ እና የተከበረ የሳንካ አዳኝ ነገረው TechCrunch, ይፋ ከመሆኑ በፊት ግኝቶቹን ያጋራበት.
ይቤሎ እንዳሳየው - ጥቃቱ በማንም በተዘበራረቀ ጥቃት ወይም በተንጣለለ ኬላዎች አይደለም ፡፡ ለአማካይ ጠላፊ አነስተኛ ጥረት የሚጠይቅ በጣቢያው አስተናጋጅ የፊት በር በኩል ብቻ ነው ፡፡
የተጋሩ ማስተናገጃ መለያዎች እንደ ሰፋ ያሉ የውሀ ገንዳዎች ናቸው። ምንም እንኳን እያንዳንዱ ሂሳብ የተወሰነ ሀብት ቢመደብም በአጠቃላይ ግን ሁሉም በአንድ አከባቢ ውስጥ ይኖራሉ ፡፡ ሁሉም ፋይሎች ፣ ይዘቶች እና መረጃዎች በእውነቱ በአንድ ቦታ ላይ ይቀመጣሉ ፣ በቃ በፋይል መዋቅር ተከፍለዋል።
በዚህ ምክንያት በጋራ ማስተናገጃ ዕቅዶች ላይ ያሉ ጣቢያዎች በመሰረታዊነት የተሳሰሩ ናቸው ፡፡ ጠላፊ ወደ ዋናው ማውጫ መድረሻ ማግኘት ከቻለ ሁሉም ጣቢያዎች ለአደጋ የተጋለጡ ሊሆኑ ይችላሉ ፡፡ ምንም እንኳን አንድ መለያ ቢጣስም ፣ ሀብቱን የሚያፈሱ ጥቃቶች ከፍተኛ ተጽዕኖ ያሳድራሉ ፡፡
ምንም እንኳን ለሁሉም ዓይነቶች የአስተናጋጅ መለያዎች የሶፍትዌር ተጋላጭነቶች ቢኖሩም ፣ የተጋሩ አገልጋዮች በተለምዶ እጅግ የከፋ አደጋ ላይ ናቸው ፡፡ በአንድ አገልጋይ ብዛት ያላቸው መለያዎች በመኖራቸው ፣ በቦታው ውስጥ ከፍተኛ ቁጥር ያላቸው የተለያዩ መተግበሪያዎች ሊኖሩ ይችላሉ - ሁሉም መደበኛ ዝመናዎችን ይፈልጋሉ።
ከሶፍትዌር ተጋላጭነቶች ጋር በሚመሳሰል መልኩ ማልዌር በተጋራ አስተናጋጅ አገልጋይ ላይ ከፍተኛ ተጽዕኖ ሊኖረው ይችላል ፡፡ እነዚህ ተንኮል አዘል ፕሮግራሞች በብዙ መንገዶች ወደ የጋራ ማስተናገጃ መለያዎች መንገዳቸውን ሊያገኙ ይችላሉ ፡፡
ብዙ ዓይነቶች ቫይረሶች ፣ ትሮጃኖች ፣ ትሎች እና ስፓይዌሮች ስላሉ ሁሉም ነገር ይቻላል ፡፡ በጋራ ማስተናገጃ ባህሪ ምክንያት ፣ ጎረቤትዎ ካለዎት - እርስዎም ፣ በመጨረሻ ሊይዙት ይችላሉ ፡፡
የተጋሩ ማስተናገጃ መለያዎች እንዲሁ የአይፒ አድራሻዎችን ያጋራሉ። በጋራ አስተናጋጅ መለያዎች ላይ ብዙ ጣቢያዎች በአንድ የአይፒ አድራሻ ተለይተው የሚታወቁ ናቸው ፡፡ ይህ ሊከሰቱ የሚችሉ ችግሮችን በሙሉ ያስተናግዳል ፡፡
ለምሳሌ ፣ ከድር ጣቢያዎቹ ውስጥ አንዱ መጥፎ (ለምሳሌ አይፈለጌ መልእክት መላክን ፣ ወዘተ) ማሳየት ካለበት አይፒውን የሚያጋሩ ሁሉም ጣቢያዎች በጥቁር መዝገብ ውስጥ ሊገቡ ይችላሉ ፡፡ በጥቁር መዝገብ ውስጥ የተካተተውን IP cna ን ማስወገድ በጣም ፈታኝ ነው።
የ VPS ወይም የደመና ተፈጥሮ ማለት በአጠቃላይ የበለጠ ደህንነታቸው የተጠበቀ ነው ማለት ነው ርካሽ የተጋሩ አስተናጋጅ አገልጋዮች.
ሆኖም ፣ በጣም የተራቀቁ እርስ በርሳቸው የተገናኙ አገልጋዮችን የማግኘት ዕድል ማለት ለጠላፊዎች የሚከፈለው የደመወዝ ቀን እንዲሁ የበለጠ ትርፋማ ነው ማለት ነው ፡፡ እንደዚያ ፣ የበለጠ የላቁ የመጥለፍ ዘዴዎች ሊጠበቁ ይችላሉ ፡፡
ተብሎም ይታወቃል የድረገፅ ጥያቄ የሐሰት (CSRF)፣ ይህ ጉድለት በደንብ ባልተጠበቁ መሠረተ ልማቶች ላይ በመመርኮዝ ድርጣቢያዎችን በሚነካ መልኩ ይስተዋላል ፡፡ አንዳንድ ጊዜ ተጠቃሚዎች ምስክርነቶቻቸውን በተወሰኑ መድረኮች ላይ ይቆጥባሉ እናም ተጓዳኝ ድር ጣቢያ ጠንካራ መሠረተ ልማት ከሌለው ይህ አደገኛ ሊሆን ይችላል ፡፡
ይህ በመደበኛነት በሚደረሱባቸው የድር ማስተናገጃ መለያዎች ላይ ይህ የተለመደ ነው ፡፡ በእነዚህ ሁኔታዎች ውስጥ መድረሻው ተደጋጋሚ ስለሆነ ምስክርነቶች ብዙውን ጊዜ ይቀመጣሉ ፡፡ በሐሰተኛ መረጃ ተጠቃሚዎች በመጀመሪያ ያላሰቡትን ድርጊት እንዲፈጽሙ ይበረታታሉ ፡፡
እነዚህ ዘዴዎች ከቅርብ ጊዜያት ወዲህ ተዘርዝረዋል የሂሳብ አያያዝን ለመውሰድ እምቅ ድክመት Bluehost, Dreamhost, HostGator, FatCow እና iPage ን ጨምሮ በተለያዩ ታዋቂ ማስተናገጃ መድረኮች ውስጥ.
ይህንን ከግምት ያስገቡ ፡፡
የዚህ ዓይነቱ ምሳሌ እንደ መደበኛ የገንዘብ ማጭበርበር ሁኔታ ሊታይ ይችላል ፡፡
አጥቂዎች ትክክለኛ ዩአርኤልን የሚጎበኙ ለ CSRF ተጋላጭ የሆኑ ሰዎችን ዒላማ ማድረግ ይችላሉ ፡፡ በጣቢያው ላይ በራስ-ሰር የተከናወነ ጭምብል ያለው የቁረጥ ቅንጥብ ዒላማውን ባንክ በራስ-ሰር ገንዘብ እንዲያስተላልፍ ሊያዝ ይችላል።
የኮድ ቅንጥቡ የሚከተሉትን ያሉ ኮዶችን በመጠቀም ምናልባትም ከምስል በስተጀርባ ሊቀበር ይችላል-
*ማስታወሻ ይህ ምሳሌ ብቻ ስለሆነ ኮዱ አይሰራም ፡፡
ለማንኛውም ድር ጣቢያ ወይም የመስመር ላይ መድረክ በጣም አስፈላጊው ንጥረ ነገር መረጃ ነው። እሱ ለትንበያ ፣ ለመተንተን እና ለተለያዩ ዓላማዎች ይውላል ፡፡ በሁለተኛ ደረጃ ፣ እንደ የብድር ካርድ ፒን ያሉ ምስጢራዊ የፋይናንስ መረጃዎች ወደ የተሳሳተ እጅ ከገቡ ግዙፍ ችግሮች ሊፈጠሩ ይችላሉ ፡፡
ወደ የውሂብ ጎታ አገልጋይ የተላከው እና በአስተማማኝ መሠረተ ልማት በኩል ማለፍ አለበት ፡፡ ጠላፊዎች ለመሞከር ይሞክራሉ የ SQL ስክሪፕቶችን ይላኩ እንደ የደንበኛ መረጃ ያሉ መረጃዎችን ማውጣት እንዲችሉ ለአገልጋዮች ፡፡ ይህ ማለት ሁሉንም ጥያቄዎች ወደ አገልጋዩ ከመድረሳቸው በፊት መቃኘት ያስፈልግዎታል ማለት ነው ፡፡
ደህንነቱ የተጠበቀ የማጣሪያ ስርዓት በቦታው ከሌለ አስፈላጊ የደንበኛ መረጃዎች ሊጠፉ ይችላሉ። ምንም እንኳን እንዲህ ዓይነቱ አተገባበር መዝገቦችን ለማውጣት የሚወስደውን ጊዜ እንደሚጨምር መታወቅ አለበት ፡፡
ጠላፊዎች ብዙውን ጊዜ በከፍተኛ ደረጃ ብቃት ያላቸው ናቸው እና የፊት መጨረሻ ስክሪፕቶችን ማዘጋጀት ችግር አይደለም ፡፡ ጃቫስክሪፕትን ወይም ሌሎች የፕሮግራም ቋንቋዎችን ኮድ ለማስገባት ሊያገለግል ይችላል ፡፡ በዚህ መልኩ የሚካሄዱ ጥቃቶች በተለምዶ የተጠቃሚ ምስክርነቶችን ያጠቃሉ ፡፡
ጎጂ ኤክስኤስኤስ ላይ የተመሰረቱ ስክሪፕቶች ምስጢራዊ መረጃን ማግኘት ወይም ጠላፊው ወደ ዒላማቸው አገናኞች ጎብኝዎችን ማዞር ይችላል ፡፡ በአንዳንድ ሁኔታዎች ኩባንያዎች እንዲሁ የማጭበርበር የንግድ ሥራዎችን ለማከናወን እንደዚህ ያሉ ቴክኒኮችን ሊጠቀሙ ይችላሉ ፡፡
ክሪፕቶግራፊ ስልተ ቀመሮች ብዙውን ጊዜ የዘፈቀደ ቁጥር ማመንጫዎችን ይጠቀማሉ ግን አገልጋዮች በአብዛኛው የሚጠቀሙት ያለ ብዙ የተጠቃሚ ግንኙነት ነው ፡፡ ይህ ዝቅተኛ የዘፈቀደ የመፍጠር እድልን ያስከትላል ፡፡ ውጤቱ በቀላሉ የሚገመቱ ቁጥሮች ሊሆን ይችላል - ለማመስጠር የደካማነት ነጥብ።
ብዙ ቨርቹዋል ማሽኖች በአካላዊ አገልጋዮች ውስጥ በሃይፐርቫይዘሮች አናት ላይ ይሰራሉ ፡፡ አጥቂ ሊበዘብዝ ይችላል የሃይፐርቫይዘር ተጋላጭነት በርቀት ፡፡ ምንም እንኳን እምብዛም ባይሆንም በእነዚህ ሁኔታዎች አጥቂው እንዲሁ ሌሎች ምናባዊ ማሽኖችን ማግኘት ይችላል ፡፡
የሀብት ክፍፍል ዋና ጥቅም ቢሆንም የደመና ማስተናገጃ፣ እሱ ደግሞ የደካሞች ነጥብ ሊሆን ይችላል። “እርስዎ እንደ ደካማ አገናኝዎ ብቻ ጠንካራ ነዎት” የሚለውን ቃል ከሰሙ ያ በደመናው ላይ በትክክል ተፈጻሚ ይሆናል።
የተራቀቀ ጥቃት እና በዋነኝነት በደመና አገልግሎት አቅራቢዎች ላይ ያርፋል። ይህ ለደመናው የተወሰነ አይደለም እናም በማንኛውም ቦታ ሊገኝ ይችላል። ከቀጥታ ዝመና አገልጋዮች የሚወርዱ በተንኮል-አዘል ተግባራት ሊታከሉ ይችላሉ። ስለዚህ ፣ ይህንን ሶፍትዌር ያወረዱትን ብዙ ተጠቃሚዎች ያስቡ ፡፡ መሣሪያዎቻቸው በዚህ ተንኮል አዘል ፕሮግራም ይያዛሉ ፡፡
የመተግበሪያ የተጠቃሚ በይነገጾች (ኤ.ፒ.አይ.ዎች) የደመና ማስላት ሂደቶችን ለማቀላጠፍ ለማገዝ ያገለግላሉ። በትክክል ካልተጠበቁ የደመናዎችን ሀብቶች ለመበዝበዝ ጠላፊዎች ክፍት ሰርጥ መተው ይችላሉ ፡፡
በጣም ተወዳጅ በሆኑ እንደገና ጥቅም ላይ በሚውሉ አካላት ደህንነታቸው ያልተጠበቀ ኤ.ፒ.አይ.ዎችን ከመጠቀም በበቂ ሁኔታ ለመጠበቅ አስቸጋሪ ሊሆን ይችላል ፡፡ ጣልቃ ለመግባት ጠላፊ በቀላሉ መሰረታዊ የመድረሻ ሙከራዎችን ደጋግሞ መሞከር ይችላል - የሚያስፈልጋቸው አንድ የተከፈተ በር መፈለግ ብቻ ነው ፡፡
ብዙዎቻችን ስናስብ የድር ጣቢያ ደህንነት፣ ብዙውን ጊዜ የራሳችን ድርጣቢያዎችን ድክመቶች ከማሸነፍ አንፃር ነው። እንደ አለመታደል ሆኖ እርስዎ እንደሚመለከቱት እንዲሁ ከሌሎች ጥቃቶችም የመጠበቅ የድር አስተናጋጅ አቅራቢዎች እኩል ኃላፊነት ነው ፡፡
አንድ አገልግሎት ሰጭ እራሱን እንዲከላከል ለማሳመን ብዙ ማድረግ ባይቻልም ይህ ግንዛቤ የተሻሉ የድር አስተናጋጅ ምርጫዎችን እንዲያደርጉ ይረዳዎታል ፡፡ ለምሳሌ ፣ የድር አስተናጋጅ በደህንነት ላይ የሚሰጠውን ትኩረት በመመልከት የራሳቸውን አገልጋዮች ምን ያህል ደህንነታቸውን እንደሚጠብቁ የተሻለ ግንዛቤ ማግኘት ይችላሉ ፡፡
አንዳንድ የድር አስተናጋጆች በጣም አስቸጋሪ የሆኑ የጥበቃ ጥበቃዎችን ይተገብራሉ - ከተቻለ እነዚያን ለማስወገድ ይሞክሩ ፡፡ ሌሎች ከታዋቂ ሰዎች ጋር እስከ መሥራት ድረስ ሊሄዱ ይችላሉ cybersecurity በቤት ውስጥ የጥቃት መሳሪያዎች እና መፍትሄዎች ጠበቆች ወይም እንዲያውም ያዳብራሉ ፡፡
የድር ማስተናገጃ ዋጋ ለእርስዎ ከተመደቡት ሀብቶች ያልፋል - ስለሆነም አማራጮችዎን በጥበብ ያስተካክሉ ፡፡