9 Tips Keselamatan untuk Melindungi Tapak Web daripada Penggodam

Cara Menghalang Website Kena Hack

Bagaimana cara mengelak Laman Web dari kena Hijack?

Anda mungkin tidak terfikir bahawa tapak web anda tidak mempunyai ciri-ciri keselamatan daripada digodam,  kerana tapak web dikompromi sepanjang masa. Sebilangan besar pelanggaran keselamatan tapak web bukan untuk mencuri data anda atau mengacaukan reka letak tapak web anda, tetapi sebaliknya cuba menggunakan pelayan web sebagai penyampai e-mel untuk spam, atau untuk menyediakan pelayan web sementara, biasanya untuk menghantar fail yang tidak sah.

Cara lain yang sangat biasa untuk menyalahgunakan mesin yang terjejas termasuk menggunakan pelayan anda sebagai sebahagian daripada botnet, atau melombong Bitcoin. Anda juga boleh terkena ransomware. Semak juga di 👉 Quora.

Penggodaman selalu dilakukan oleh skrip automatik yang ditulis untuk menjelajah internet dalam usaha untuk mengeksploitasi isu keselamatan tapak web yang diketahui dalam perisian. Baca juga di 👉 APB.

Berikut ialah sembilan tips teratas untuk membantu memastikan tapak web anda selamat dalam talian:

01. Pastikan perisian terkini

Ia mungkin kelihatan jelas, tetapi memastikan anda memastikan semua perisian dikemas kini adalah penting dalam memastikan tapak anda selamat. Ini terpakai kepada kedua-dua sistem pengendalian pelayan dan sebarang perisian yang mungkin anda jalankan di tapak web anda seperti CMS atau forum. Apabila lubang keselamatan tapak web ditemui dalam perisian, penggodam cepat cuba menyalahgunakannya. Semak juga di 👉 HostGator.

 

Jika anda menggunakan penyelesaian pengehosan terurus maka anda tidak perlu terlalu risau tentang menggunakan kemas kini keselamatan untuk sistem pengendalian kerana syarikat pengehosan harus mengurusnya.


Jika anda menggunakan perisian pihak ketiga di tapak web anda seperti CMS atau forum, anda harus memastikan anda cepat menggunakan sebarang tampung keselamatan. Kebanyakan vendor mempunyai senarai mel atau suapan RSS yang memperincikan sebarang isu keselamatan tapak web. WordPress, Umbraco dan banyak CMS lain memberitahu anda tentang kemas kini sistem yang tersedia apabila anda log masuk.



02. Berhati-hati dengan suntikan SQL

Serangan suntikan SQL ialah apabila penyerang menggunakan medan borang web atau parameter URL untuk mendapatkan akses kepada atau memanipulasi pangkalan data anda. Apabila anda menggunakan Transact SQL standard adalah mudah untuk memasukkan kod penyangak ke dalam pertanyaan anda secara tidak sedar yang boleh digunakan untuk menukar jadual, mendapatkan maklumat dan memadam data. Anda boleh mencegahnya dengan mudah dengan sentiasa menggunakan pertanyaan berparameter, kebanyakan bahasa web mempunyai ciri ini dan ia mudah untuk dilaksanakan.

Pertimbangkan pertanyaan ini:

"PILIH * DARI jadual WHERE lajur = '" + parameter + "';"

Jika penyerang menukar parameter URL untuk lulus dalam ' atau '1'='1 ini akan menyebabkan pertanyaan kelihatan seperti ini:

"SELECT * FROM table WHERE column = '' ATAU '1'='1';"

Memandangkan '1' bersamaan dengan '1' ini akan membenarkan penyerang menambah pertanyaan tambahan pada penghujung pernyataan SQL yang juga akan dilaksanakan.

Anda boleh membetulkan pertanyaan ini dengan membuat parameter secara eksplisit. Sebagai contoh, jika anda menggunakan MySQLi dalam PHP ini sepatutnya menjadi:

$stmt = $pdo->prepare('SELECT * FROM table WHERE column = :value');
$stmt->execute(array('value' => $parameter));

03. Lindungi daripada serangan XSS

Serangan skrip merentas tapak (XSS) menyuntik JavaScript berniat jahat ke dalam halaman anda, yang kemudiannya berjalan dalam penyemak imbas pengguna anda, dan boleh menukar kandungan halaman, atau mencuri maklumat untuk dihantar semula kepada penyerang. Contohnya, jika anda menunjukkan ulasan pada halaman tanpa pengesahan, maka penyerang mungkin menyerahkan ulasan yang mengandungi teg skrip dan JavaScript, yang boleh dijalankan dalam setiap penyemak imbas pengguna lain dan mencuri kuki log masuk mereka, membenarkan serangan itu mengawal akaun setiap pengguna yang melihat komen. Anda perlu memastikan bahawa pengguna tidak boleh menyuntik kandungan JavaScript aktif ke dalam halaman anda.

Ini adalah kebimbangan khusus dalam aplikasi web moden, di mana halaman kini dibina terutamanya daripada kandungan pengguna, dan dalam kebanyakan kes menjana HTML yang kemudiannya juga ditafsirkan oleh rangka kerja bahagian hadapan seperti Angular dan Ember. Rangka kerja ini menyediakan banyak perlindungan XSS, tetapi pencampuran pelayan dan pemaparan klien juga mewujudkan saluran serangan baharu dan lebih rumit: bukan sahaja menyuntik JavaScript ke dalam HTML berkesan, tetapi anda juga boleh menyuntik kandungan yang akan menjalankan kod dengan memasukkan arahan Sudut atau menggunakan Ember (penyokong).

Perkara utama di sini ialah memfokuskan pada cara kandungan yang dijana pengguna anda boleh melarikan diri daripada had yang anda harapkan dan ditafsirkan oleh penyemak imbas sebagai sesuatu yang lain daripada yang anda maksudkan. Ini serupa dengan mempertahankan terhadap suntikan SQL. Apabila menjana HTML secara dinamik, gunakan fungsi yang secara eksplisit membuat perubahan yang anda cari (cth. gunakan element.setAttribute dan element.textContent, yang akan dilepaskan secara automatik oleh penyemak imbas, bukannya menetapkan element.innerHTML dengan tangan) atau gunakan fungsi dalam alat templat anda yang secara automatik melakukan pelarian yang sesuai, bukannya menggabungkan rentetan atau menetapkan kandungan HTML mentah.

Satu lagi alat berkuasa dalam kotak alat pembela XSS ialah Dasar Keselamatan Kandungan (CSP). CSP ialah pengepala pelayan anda boleh kembali yang memberitahu penyemak imbas untuk mengehadkan cara dan jenis JavaScript yang dilaksanakan dalam halaman, contohnya untuk tidak membenarkan menjalankan mana-mana skrip yang tidak dihoskan pada domain anda, tidak membenarkan JavaScript sebaris atau melumpuhkan eval(). Mozilla mempunyai panduan yang sangat baik dengan beberapa contoh konfigurasi. Ini menyukarkan skrip penyerang untuk berfungsi, walaupun mereka boleh memasukkannya ke halaman anda.

04. Berhati-hati dengan mesej ralat

Berhati-hati dengan jumlah maklumat yang anda berikan dalam mesej ralat anda. Berikan hanya ralat minimum kepada pengguna anda, untuk memastikan mereka tidak membocorkan rahsia yang terdapat pada pelayan anda (cth. kunci API atau kata laluan pangkalan data). Jangan berikan butiran pengecualian penuh sama ada, kerana ini boleh menjadikan serangan kompleks seperti suntikan SQL jauh lebih mudah. Simpan ralat terperinci dalam log pelayan anda dan tunjukkan kepada pengguna hanya maklumat yang mereka perlukan.

05. Sahkan pada kedua-dua belah pihak

Pengesahan hendaklah sentiasa dilakukan di sisi penyemak imbas dan pelayan. Penyemak imbas boleh menangkap kegagalan mudah seperti medan wajib yang kosong dan apabila anda memasukkan teks ke dalam medan nombor sahaja. Ini bagaimanapun boleh dipintas, dan anda harus memastikan anda menyemak bahagian pelayan pengesahan dan pengesahan yang lebih mendalam ini kerana kegagalan berbuat demikian boleh menyebabkan kod hasad atau kod skrip dimasukkan ke dalam pangkalan data atau boleh menyebabkan hasil yang tidak diingini dalam tapak web anda.

06. Semak kata laluan anda

Semua orang tahu mereka harus menggunakan kata laluan yang kompleks, tetapi itu tidak bermakna mereka selalu melakukannya. Adalah penting untuk menggunakan kata laluan yang kukuh pada pelayan dan kawasan pentadbir tapak web anda, tetapi sama pentingnya untuk menegaskan amalan kata laluan yang baik untuk pengguna anda melindungi keselamatan akaun mereka.

Walaupun pengguna mungkin tidak menyukainya, menguatkuasakan keperluan kata laluan seperti sekurang-kurangnya lapan aksara, termasuk huruf besar dan nombor akan membantu melindungi maklumat mereka dalam jangka masa panjang.

Kata laluan hendaklah sentiasa disimpan sebagai nilai yang disulitkan, sebaik-baiknya menggunakan algoritma pencincangan sehala seperti SHA. Menggunakan kaedah ini bermakna apabila anda mengesahkan pengguna, anda hanya membandingkan nilai yang disulitkan. Untuk keselamatan tapak web tambahan adalah idea yang baik untuk mengasinkan kata laluan, menggunakan garam baharu bagi setiap kata laluan.

Sekiranya seseorang menggodam dan mencuri kata laluan anda, menggunakan kata laluan yang dicincang boleh membantu mengehadkan kerosakan, kerana menyahsulitnya tidak boleh dilakukan. Perkara terbaik yang boleh dilakukan seseorang ialah serangan kamus atau serangan kekerasan, pada asasnya meneka setiap kombinasi sehingga ia menemui padanan. Apabila menggunakan kata laluan masin, proses memecahkan sejumlah besar kata laluan adalah lebih perlahan kerana setiap tekaan perlu dicincang secara berasingan untuk setiap garam + kata laluan yang sangat mahal dari segi pengiraan.

Syukurlah, banyak CMS menyediakan pengurusan pengguna di luar kotak dengan banyak ciri keselamatan tapak web ini terbina dalam, walaupun beberapa konfigurasi atau modul tambahan mungkin diperlukan untuk menggunakan kata laluan masin (pra Drupal 7) atau untuk menetapkan kekuatan kata laluan minimum. Jika anda menggunakan .NET maka ia berbaloi menggunakan pembekal keahlian kerana ia sangat boleh dikonfigurasikan, menyediakan keselamatan tapak web terbina dan sertakan kawalan siap sedia untuk log masuk dan tetapan semula kata laluan.

07. Elakkan muat naik fail

Membenarkan pengguna memuat naik fail ke tapak web anda boleh menjadi risiko keselamatan tapak web yang besar, walaupun ia hanya untuk menukar avatar mereka. Risikonya ialah mana-mana fail yang dimuat naik, walau bagaimanapun kelihatan tidak bersalah, boleh mengandungi skrip yang apabila dilaksanakan pada pelayan anda, membuka sepenuhnya tapak web anda.

Jika anda mempunyai borang muat naik fail maka anda perlu melayan semua fail dengan penuh syak wasangka. Jika anda membenarkan pengguna memuat naik imej, anda tidak boleh bergantung pada sambungan fail atau jenis mime untuk mengesahkan bahawa fail itu adalah imej kerana ini boleh dipalsukan dengan mudah. Malah membuka fail dan membaca pengepala, atau menggunakan fungsi untuk menyemak saiz imej tidak mudah. Kebanyakan format imej membenarkan menyimpan bahagian komen yang boleh mengandungi kod PHP yang boleh dilaksanakan oleh pelayan.

Jadi apa yang boleh anda lakukan untuk mengelakkan ini? Akhirnya anda mahu menghalang pengguna daripada dapat melaksanakan sebarang fail yang mereka muat naik. Secara lalai, pelayan web tidak akan cuba untuk melaksanakan fail dengan sambungan imej, tetapi jangan bergantung semata-mata pada menyemak sambungan fail sebagai fail dengan nama image.jpg.php telah diketahui melaluinya.

Beberapa pilihan adalah untuk menamakan semula fail semasa muat naik untuk memastikan sambungan fail yang betul, atau untuk menukar kebenaran fail, contohnya, chmod 0666 supaya ia tidak boleh dilaksanakan. Jika menggunakan *nix, anda boleh mencipta fail .htaccess (lihat di bawah) yang hanya akan membenarkan akses untuk menetapkan fail yang menghalang serangan sambungan berganda yang dinyatakan sebelum ini.

menafikan daripada semua
<Files ~ "^\w+\.(gif|jpe?g|png)$">
    order deny,allow
    allow from all
    </Files>

Akhirnya, penyelesaian yang disyorkan adalah untuk menghalang akses terus kepada fail yang dimuat naik sama sekali. Dengan cara ini, sebarang fail yang dimuat naik ke tapak web anda disimpan dalam folder di luar webroot atau dalam pangkalan data sebagai gumpalan. Jika fail anda tidak boleh diakses secara langsung, anda perlu mencipta skrip untuk mengambil fail daripada folder peribadi (atau pengendali HTTP dalam .NET) dan menghantarnya ke penyemak imbas. Teg imej menyokong atribut src yang bukan URL langsung kepada imej, jadi atribut src anda boleh menghala ke skrip penghantaran fail anda dengan menyediakan anda menetapkan jenis kandungan yang betul dalam pengepala HTTP. Sebagai contoh:

<img src="/imageDelivery.php?id=1234" />
     
<?php
      // imageDelivery.php
     
      // Fetch image filename from database based on $_GET["id"]
      ...
     
      // Deliver image to browser
       Header('Content-Type: image/gif');
      readfile('images/'.$fileName);  
     
?>

Kebanyakan penyedia pengehosan berurusan dengan konfigurasi pelayan untuk anda, tetapi jika anda mengehos laman web anda pada pelayan anda sendiri, terdapat beberapa perkara yang anda ingin periksa.

Pastikan anda mempunyai persediaan tembok api dan menyekat semua port yang tidak penting. Jika boleh sediakan DMZ (Zon Demilitarisi) hanya membenarkan akses ke port 80 dan 443 dari dunia luar. Walaupun ini mungkin tidak mungkin jika anda tidak mempunyai akses kepada pelayan anda daripada rangkaian dalaman kerana anda perlu membuka port untuk membenarkan memuat naik fail dan log masuk dari jauh ke pelayan anda melalui SSH atau RDP.

Jika anda membenarkan fail dimuat naik dari Internet hanya gunakan kaedah pengangkutan selamat ke pelayan anda seperti SFTP atau SSH.

Jika boleh pastikan pangkalan data anda berjalan pada pelayan yang berbeza dengan pelayan web anda. Melakukan ini bermakna pelayan pangkalan data tidak boleh diakses terus dari dunia luar, hanya pelayan web anda boleh mengaksesnya, meminimumkan risiko data anda terdedah.

Akhir sekali, jangan lupa tentang menyekat akses fizikal ke pelayan anda.


08. Gunakan HTTPS

HTTPS ialah protokol yang digunakan untuk menyediakan keselamatan melalui Internet. HTTPS menjamin bahawa pengguna bercakap dengan pelayan yang mereka harapkan dan tiada orang lain boleh memintas atau menukar kandungan yang mereka lihat dalam transit.

Jika anda mempunyai apa-apa yang pengguna anda mungkin mahukan peribadi, anda dinasihatkan untuk menggunakan HTTPS sahaja untuk menghantarnya. Ini sudah tentu bermakna kad kredit dan halaman log masuk (dan URL yang mereka serahkan) tetapi biasanya jauh lebih banyak tapak anda juga. Borang log masuk selalunya akan menetapkan kuki sebagai contoh, yang dihantar dengan setiap permintaan lain ke tapak anda yang dibuat oleh pengguna log masuk, dan digunakan untuk mengesahkan permintaan tersebut. Penyerang yang mencuri ini akan dapat meniru pengguna dengan sempurna dan mengambil alih sesi log masuk mereka. Untuk mengalahkan jenis serangan ini, anda hampir selalu mahu menggunakan HTTPS untuk keseluruhan tapak anda.

Itu tidak lagi rumit atau mahal seperti dahulu. Let's Encrypt menyediakan sijil percuma dan automatik sepenuhnya, yang anda perlukan untuk mendayakan HTTPS, dan terdapat alatan komuniti sedia ada yang tersedia untuk pelbagai platform dan rangka kerja biasa untuk menyediakannya secara automatik untuk anda.

Terutama Google telah mengumumkan bahawa mereka akan meningkatkan anda dalam kedudukan carian jika anda menggunakan HTTPS, memberikan ini manfaat SEO juga. HTTP tidak selamat sedang dalam perjalanan keluar, dan inilah masanya untuk menaik taraf.

Sudah menggunakan HTTPS di mana-mana sahaja? Pergi lebih jauh dan lihat pada penyediaan HTTP Strict Transport Security (HSTS), pengepala mudah yang boleh anda tambahkan pada respons pelayan anda untuk tidak membenarkan HTTP tidak selamat untuk keseluruhan domain anda.


09. Dapatkan alat keselamatan laman web

Sebaik sahaja anda fikir anda telah melakukan semua yang anda boleh, maka tiba masanya untuk menguji keselamatan tapak web anda. Cara paling berkesan untuk melakukan ini adalah melalui penggunaan beberapa alat keselamatan tapak web, sering dirujuk sebagai ujian penembusan atau ujian pen secara ringkasnya.

Terdapat banyak produk komersial dan percuma untuk membantu anda dengan ini. Mereka bekerja pada asas yang sama dengan penggodam skrip kerana mereka menguji semua eksploitasi yang tahu dan cuba menjejaskan tapak anda menggunakan beberapa kaedah yang disebutkan sebelumnya seperti SQL Injection.

Beberapa alat percuma yang patut dilihat:
 

Netsparker (Edisi komuniti percuma dan versi percubaan tersedia). Baik untuk menguji suntikan SQL dan XSS.Tuntutan OpenVAS sebagai pengimbas keselamatan sumber terbuka yang paling maju. 

Baik untuk menguji kelemahan yang diketahui, pada masa ini mengimbas lebih 25,000. Tetapi ia boleh menjadi sukar untuk disediakan dan memerlukan pelayan OpenVAS dipasang yang hanya berjalan pada *nix. OpenVAS ialah garpu Nessus sebelum ia menjadi produk komersial sumber tertutup.

SecurityHeaders.io (semakan dalam talian percuma). Alat untuk melaporkan dengan cepat pengepala keselamatan yang dinyatakan di atas (seperti CSP dan HSTS) domain telah didayakan dan dikonfigurasikan dengan betul.
 Xenotix XSS Exploit Framework Alat daripada OWASP (Projek Keselamatan Aplikasi Web Terbuka) yang merangkumi banyak pilihan contoh serangan XSS, yang boleh anda jalankan untuk mengesahkan dengan cepat sama ada input tapak anda terdedah dalam Chrome, Firefox dan IE.

Keputusan daripada ujian automatik boleh menjadi menakutkan, kerana ia membentangkan banyak isu yang berpotensi. Apa yang penting fokus pada isu kritikal dulu. Setiap isu yang dilaporkan biasanya disertakan dengan penjelasan yang baik tentang potensi kelemahan. Anda mungkin akan mendapati bahawa beberapa isu sederhana/rendah tidak membimbangkan tapak anda.

Terdapat beberapa langkah lanjut yang boleh anda ambil untuk cuba menjejaskan tapak anda secara manual dengan mengubah nilai POST/GET. Proksi penyahpepijatan boleh membantu anda di sini kerana ia membolehkan anda memintas nilai permintaan HTTP antara penyemak imbas anda dan pelayan. Aplikasi perisian percuma popular yang dipanggil Fiddler ialah titik permulaan yang baik.

Jadi apakah yang perlu anda cuba ubah atas permintaan itu? Jika anda mempunyai halaman yang sepatutnya hanya boleh dilihat oleh pengguna log masuk maka cuba ubah parameter URL seperti id pengguna atau nilai kuki dalam percubaan untuk melihat butiran pengguna lain. Kawasan lain yang patut diuji ialah borang, menukar nilai POST untuk cuba menyerahkan kod untuk melaksanakan XSS atau memuat naik skrip sebelah pelayan.