ป้องกันแอปพลิเคชันเว็บไซต์ของคุณให้เสมือนบ้านของคุณเอง

แนวทางง่ายๆสำหรับการดูความปลอดภัยของเว็บแอปพลิเคชันคือการนึกภาพบ้านของคุณ มันมีประตูหน้าประตูข้างหลังหน้าต่างจำนวนห้องหลังคารั้วอาณาเขตรวมทั้งทางการเข้าถึงที่ไม่เหมือนกัน คำศัพท์เฉพาะนั้นแตกต่าง

ประตูหน้า.
ประตูหน้าของเว็บแอปพลิเคชันอะไรก็ตามคือหน้าเข้าระบบและไม่น่าประหลาดใจที่มันเป็นจุดหลักของการจู่โจม หน้าเข้าระบบจะมีกล่องแก้ไขเพื่อพิมพ์ชื่อผู้ใช้แล้วก็รหัสผ่านและก็ปุ่มเพื่อส่งสิ่งกลุ่มนี้สำหรับเซิร์ฟเวอร์เพื่อสำรวจสิทธิ์การเข้าถึงที่เหลือของเว็บไซต์แอปพลิเคชันของคุณหน้าเข้าสู่ระบบบางหน้าอาจจัดให้มี captcha เพื่อให้แน่ใจว่าคุณเป็นมนุษย์และไม่เยาะเย้ยของแบบเดียวกันบนเซิร์ฟเวอร์ที่แตกต่างฟอร์มจำลองจะวนไปตามชื่อผู้ใช้รวมทั้งรหัสผ่านที่มากมายจนกว่าจะสามารถเข้าถึงแอปพลิเคชันได้ สิ่งนี้เรียกว่าการปลอมผ่านไซต์และก็คล้ายกับการขโมยกุญแจบ้านของคุณ

Captchas 
เป็นภาพที่มีตัวอักษรวมทั้งจำนวนที่มีสัญญาณรบกวนซึ่งทำให้ไม่อาจจะอ่านสคริปต์อัตโนมัติได้น่าเสียดายที่เมื่อสคริปต์อ่านเฉลี่ยวฉลาดขึ้นภาพเหล่านี้ภาพแคปช่าจึงควรซับซ้อนและยากขึ้นสำหรับมนุษย์ที่จะอ่าน สิ่งนี้นำมาซึ่งการก่อให้เกิดความอารมณ์เสียสำหรับผู้ใช้ที่หมายเนื่องจากผู้ใช้ล้มเหลวซ้ำซากจำเจสำหรับการพากเพียรเข้าถึงบัญชีของพวกเขาเพราะเหตุว่า captcha ไม่อาจจะอ่านได้ ทางแก้ปัญหานี้คือการสับเปลี่ยนแคปต์ชาด้วยโทเค็นที่ปลอดภัย โทเค็นที่ไม่มีอันตรายถูกทำขึ้นของฉันร่วมชื่อผู้ใช้รหัสผ่านและก็ข้อมูลผู้ใช้อื่นๆที่มีอยู่กับคีย์ที่ผลิตขึ้นโดยไม่ซ้ำกัน การจัดต่อกันนี้จะถูกเข้ารหัสแล้วก็เก็บไว้เป็นเขตข้อมูลที่หลบซ่อนอยู่ในแบบฟอร์มจึงทำให้ไม่มีทางเป็นไปได้สำหรับแบบเลียนแบบอะไรก็แล้วแต่ที่จะเพียรพยายามเข้าสู่ระบบที่ไปถึงเป้าหมาย

หน้าต่างและก็ประตูหลัง
หน้าต่างแอปพลิเคชันเว็บคืออะไร ฉันมิได้คือระบบปฏิบัติการบนเซิร์ฟเวอร์ ฉันกำลังกล่าวถึงพื้นที่ที่อาจเกิดขึ้นของแต่ละหน้าซึ่งบางทีอาจใช้การไม่ได้ พื้นที่กลุ่มนี้เป็นกล่องปรับแก้และก็พื้นที่เนื้อความที่อนุญาตให้ผู้ใช้พิมพ์ข้อมูล ผู้จู่โจมจะใช้กล่องปรับปรุงแก้ไขรวมทั้งพื้นที่เนื้อความเพื่อป้อนคำสั่งที่ฐานข้อมูลเข้าใจ หากโปรแกรมคอมพิวเตอร์ไม่ได้ถูกเขียนโดยสวัสดิภาพมันจะไม่ยุ่งยากต่อการสอดแทรกฐานข้อมูลเมื่อมีการบันทึกข้อมูลเพื่อที่จะปฏิบัติงานตามคำสั่งของผู้โจมตี การโจมตีทั่วๆไปอาจทำให้ฐานข้อมูลถูกทำลายข้อมูลถูกขโมยหรือข้อมูลผู้ใช้ถูกบุกรุกการจู่โจมประเภทนี้เรียกว่าการฉีด SQL

รั้วเขตแดน
รั้วขอบเขตของหน้าเว็บไซต์เป็นลิงค์ใดๆพื้นที่ซึ่งสามารถปรับปรุงได้รวมทั้งที่อยู่ URL หลัก URL ของหน้าและลิงค์ที่ฝังอยู่ในหน้าสามารถก๊อปปี้แล้วก็ปรับแก้จากเว็บอื่นเพื่อให้เซิร์ฟเวอร์สามารถจัดการคำสั่งได้รหัสจาวาสคริปต์สามารถแทรกลงในพื้นที่ที่สามารถปรับปรุงได้เพื่อบังคับให้ข้อมูลถูกส่งไปยังไซต์โกงหรือเพื่อควบคุมโปรแกรมสำหรับท่องอินเตอร์เน็ตของผู้ใช้ คำสั่งฐานข้อมูลสามารถแทรกลงในที่อยู่ URL หลักการจู่โจมเหล่านี้เรียกว่าการโจมตีข้ามไซต์สคริปต์(XSS) เพราะเป็นสคริปต์ที่นำผู้ใช้ไปยังเว็บไซต์ของผู้โจมตี การโจมตี XSS สามารถใช้เพื่อขโมยตัวระบุเซชันที่ได้รับการยืนยันความถูกต้องของผู้ใช้และใช้เพื่อเพิ่มระดับการเข้าถึงบัญชีอื่นที่พวกเขาทำขึ้นแล้ว

เพื่อคุ้มครองปกป้องการเขียนสคริปต์ผ่านไซต์ซอฟต์แวร์จำเป็นที่จะต้องสแกนพื้นที่ซึ่งสามารถแก้ไขได้ทั้งหมดสำหรับรหัสและก็รวมโทเค็นที่ไม่เป็นอันตรายในแต่ละ URL และลิงก์ ควรปิดรูรวมทั้งช่องว่างในรั้ว เพจที่ปลอดภัยทั้งผองควรตรวจสอบว่ามีผู้ใช้ที่ผ่านการตรวจสอบแล้วหรือไม่

การแสดงหน้าที่
พวกเรามีผู้โทรเข้าบ้านเลียนแบบที่มีประสบการณ์ซึ่งอ้างว่าเป็นคนก๊าซหรือ บริษัท น้ำพูดว่าพวกเขาจำเป็นที่จะต้องเข้าถึงบ้านของคุณเพื่อปิดการจัดหาของคุณ ผู้โจมตีเว็บไซต์บางทีอาจติดต่อคุณหรือผู้ใช้อื่นๆของเว็บของคุณทางอีเมลโซเชียลมีเดียหรือโทรศัพท์แล้วก็หลอกให้ท่านเปิดเผยรายละเอียดการเข้าสู่ระบบของคุณ เหตุผลที่พวกเขาบางทีอาจให้ได้อาจเกิดจากเว็บไซต์ของคุณถูกแฮ็กแล้วแล้วก็พวกเขาสามารถปรับปรุงแก้ไขได้ถ้าคุณให้สิทธิ์การเข้าถึงแก่พวกเขา การคุ้มครองเพียงอย่างเดียวเป็นการตักเตือนผู้ใช้ของคุณโดยตลอดว่าพวกเขาไม่ควรเผยชื่อผู้ใช้แล้วก็รหัสผ่านแก่คนใดแล้วก็คุณในฐานะเจ้าของเว็บจะไม่ขอให้พวกเขาเผยรหัสผ่านของตนเอง คุณควรให้ลิงค์เพื่ออนุญาตให้ผู้ใช้ของคุณรีเซ็ตรหัสผ่านที่ลืมโดยส่งลิงก์อีเมลพร้อมโทเค็นที่เข้ารหัสเพื่อค้ำประกันแหล่งที่มา