Datoru drošības pamati manekeniem. Informācijas drošība manekeniem informācijas speciālists
Internets ir daudzpusīgs un nedrošs. Jo vairāk iespēju tas mums sniedz, jo vairāk briesmu un risku tas slēpj. Zādzība, izmantojot internetu, jau sen ir bijusi realitāte.
Zādzības notiek no kartes vai elektroniskā maka. Un, ja tas vēl nav noticis ar jums, tas nozīmē, ka esat vai nu dūzis savas informācijas aizsardzībā, vai paveicies, vai arī neesat pietiekami ilgi izmantojis globālo tīmekli.
Pirmie var tikt galā paši, bet otrajam un trešajam noderēs mūsu noderīgo padomu kopsavilkums. Galu galā metāla durvis neglābj jūs internetā. Šeit jūsu drošība ir atkarīga no citiem faktoriem un, pats galvenais, no jūsu rīcības noteiktās situācijās.
Jums vajadzētu būt ne tikai antivīrusam ar katru dienu atjauninātu datu bāzi, bet arī aizsardzībai pret spiegprogrammatūru. Daudzi cilvēki domā, ka, instalējot vienu antivīrusu, viņi var aizsargāt informāciju, un tas galu galā kļūst par liktenīgu kļūdu.
Neklikšķiniet uz visām saitēm pēc kārtas. It īpaši, ja tie tika nosūtīti jums pa pastu vai caur ICQ. Pat ja to sūtījis uzticams adresāts. Sērfošana internetā ir vispopulārākais veids, kā noķert vīrusu, kas nozīmē, ka uzbrucējam tiek dota iespēja iegūt vērtīgu informāciju. Nelejupielādējiet dīvainas, nezināmas programmas, vēl mazāk tās instalējiet.
Ja rodas dīvaina situācija, kad tomēr noklikšķināt uz nepazīstamas saites, atvienojieties no interneta. Šajā gadījumā drošības programmas var parādīt brīdinājumu vai arī dators var pārstāt reaģēt. Zvaniet speciālistam, kurš ir atbildīgs par datu drošību – viņš izdomās, kas par problēmu.
Ja jums ir uzstādīts elektroniskais maks vai kādas citas programmas, ar kurām veicat maksājumus tiešsaistē, vēl jo vairāk nepieciešams nodrošināt datora drošību. Nekompetences gadījumā pieaiciniet speciālistu, kurš instalēs un konfigurēs visas nepieciešamās programmas un to parametrus. Galu galā mēs arvien biežāk nepametam krēslu, lai samaksātu par pakalpojumiem un veiktu pirkumus.
Veicot reģistrācijas procedūru, nekad nesaglabājiet savu paroli. Katru reizi, kad reģistrējaties, izmantojiet dažādas paroles. Izmantotajām parolēm jābūt garām, vēlams ar cipariem. Labāk ir mainīt paroles pēc iespējas biežāk, vismaz reizi mēnesī. Pat ja izvēlaties vienu vārdu un ierakstāt to, izmantojot lielos un mazos burtus, šī jau būs lieliska paroles iespēja.
Esiet piesardzīgs, kur ievadāt paroli un pieteikšanos. Bieži vien krāpnieki izveido vietņu dublikātus, kas ir tieši tādas pašas kā oriģināls — vienīgā atšķirība var būt domēnā. Taču ātrā mirklī to ir grūti pamanīt, it īpaši iesācējam. Krāpnieki izmanto dublikātus, lai nozagtu lietotāju pieteikumvārdus un paroles. Pēc datu ievadīšanas krāpnieki tos automātiski atpazīs un varēs izmantot saviem mērķiem, taču reālā vietnē.
Šīs vienkāršās patiesības noteikti palīdzēs kādam aizsargāt sevi tiešsaistē. Izņemot varbūt pieredzējušus lietotājus un datoru drošības ekspertus, jo viņi jau visu ļoti labi zina.
Komentāri un atsauksmes
Ja sekojat spēļu perifērijas ierīču tirgum, jūs zināt, ka HyperX jau labu laiku ir bijis ļoti spēcīgs uzņēmums...
Dell jaunie daudzfunkcionālie datori saņems īpašu tīmekļa kameru, kas ieslīd korpusa iekšpusē un kļūst par...
Daudzi mūsdienu lietotāji sūdzas, ka klēpjdatori ir kļuvuši pārāk kompakti un dažreiz viņi vēlas...
Lielie ražotāji jau labu laiku ir izlaiduši tirgū gatavus personālos datorus, kopš...
No 16. līdz 18. augustam netālu no Ņižņijnovgorodas norisinājās galvenais elektroniskās mūzikas festivāls Alfa Future People 2...
Informācijas drošība manekeniem
Pat pirms 10 gadiem daudzi uzņēmumi, kas zaudēja piekļuvi savām datubāzēm, vienkārši pārtrauca savu darbību, kā ziņots Minesotas universitātes ziņojumā, kas veica pētījumus šajā jomā. Tagad, protams, ir daudz veidu, kā atjaunot informāciju, lai turpinātu darbu, tomēr konfidenciālas informācijas noplūde var radīt nopietnus zaudējumus. Tajā pašā laikā mēs runājam ne tikai par uzņēmumiem, bet arī par parastajiem interneta lietotājiem.
Informācijas tehnoloģiju attīstība ir novedusi sabiedrību jaunā attīstības līmenī, kad daudzus jautājumus var atrisināt, izmantojot personālo datoru un internetu: veikt pirkumus, rezervēt viesnīcas un vienkārši sazināties, nemaz nerunājot par jaunajām profesionālās darbības iespējām. Taču informācijas apstrādes vienkāršība, ērtība un ātrums ir pilns ar briesmām - tās pieejamību trešajām personām.
Pavisam nesen sāka lietot terminu kibernoziegumi. Iepriekš šāds vārds bija sastopams tikai zinātniskās fantastikas rakstnieku vidū, bet tagad tas ir kļuvis par mūsdienu realitātes sastāvdaļu. Runa ir par hakeriem jeb kiberhuligāniem, kuri zog datus, lai piekļūtu bankas kartēm, kontiem speciālajos resursos utt., uzlauž personālos datorus, izmantojot dažādus vīrusus un Trojas zirgus.
Kā pasargāt sevi no noziedzniekiem? Vienkāršākais risinājums ir instalēt pretvīrusu programmu. Bet diemžēl pat tas ne vienmēr spēj aizsargāt pret uzlaušanu. Vēl viena iespēja ir mēģināt izpētīt milzīgo literatūras apjomu par informācijas drošību, kas šodien ir uzrakstīts. Tiesa, tajos izklāstītie standarti un programmas lielākoties ir pieejami un saprotami šīs jomas speciālistiem, savukārt draudi zaudēt naudu no bankas kartes karājas pār teju katru interneta lietotāju.
Tomēr ne viss ir tik slikti, kā šķiet no pirmā acu uzmetiena. Izmantojot veselo saprātu un ievērojot vienkāršus noteikumus darbam internetā, jūs varat ievērojami paaugstināt savu datu aizsardzības līmeni pret ārējiem draudiem. Tas ir kā pamata rūpes par īpašuma drošību, aizsargājot dzīvokli. Var vienkārši uzstādīt durvis un ķīniešu slēdzeni, bet var uzklausīt arī drošības aktivitātēs iesaistīto speciālistu ieteikumus. Un viņi noteikti ieteiks uzstādīt uzticamas durvju slēdzenes ar nestandarta atslēgām un modernizēt logus, lai tos būtu grūti atvērt no ārpuses; uzstādīt videonovērošanas un signalizācijas sistēmas; kā arī noslēgt līgumu ar organizāciju, kas sniedz ātrās reaģēšanas pakalpojumus uz neatļautu iekļūšanu mājā. Un, iespējams, tikpat svarīgs noteikums, kas noteikti tiks atgādināts, jo mēs bieži par to aizmirstam, ir neatvērt durvis svešiniekiem un, jo īpaši, nevienam neteikt, kur atrodas jūsu vērtslietas.
Visas šīs aktivitātes, protams, prasa ieguldījumus. Tomēr tie ir jāpiemēro visaptveroši. Nepaļaujieties uz sevi, ka labas slēdzenes pasargās jūsu māju no zagļiem. Jebkurš mehānisms agrāk vai vēlāk tiks atvērts. Un, ja, piemēram, nav signalizācijas, kas sūta trauksmes signālu uz apsardzes pulti, tad visa videonovērošanas sistēma būs absolūti bezjēdzīga.
No teorijas uz praksi
Jebkura drošības sistēma ir sistēma, kas sastāv no daudzām aizsardzības līnijām, kuras pastāvīgi atrodas procesā un darbībā. Jūs nevarat nomierināties uzreiz pēc tehnisko drošības pasākumu uzstādīšanas - regulāri jāievēro drošas uzvedības noteikumi tīklā un iekārtu darbība. Pretējā gadījumā drošības sistēma kļūs nelietojams, atstājot tikai kaitīgu drošības ilūziju.
Kā praktiski parūpēties par informācijas drošību? Apskatīsim pamatnoteikumus.
Nulles noteikums:Neuzticies nevienam.
Kā teica Intel direktoru padomes priekšsēdētājs Endrjū Grovs: "Izdzīvo tikai paranoiķi." Ievadot jebkādu konfidenciālu informāciju, jums ir jābūt 200% pārliecinātam, ka personai, kurai jūs uzticaties, patiešām ir tiesības rīkoties ar šiem datiem. Piemēram, bankas vietnē var tikt prasīta pases informācija, lai atvērtu kontu – tā ir standarta procedūra, taču interneta veikalam šī informācija ir absolūti nederīga. Jūs neparādītu savu pasi pārdevējam, no kura pērkat kartupeļus tirgū! Šoreiz. Otrkārt, nekad, nevienam un nekādos apstākļos nesūtiet paroli. Visas drošības sistēmas ir izstrādātas tā, lai paroli būtu jāzina tikai vienai personai. Ja jums ir jānosūta parole pa e-pastu vai jāpastāsta pa tālruni ar jebkādu, pat šķietami ticamāko ieganstu, tad jums jāzina, ka tā ir 100% maldināšana.
Pirmais noteikums: Noteikti iestatiet datoru tā, lai pirms darba sākšanas vienmēr norādītu lietotājvārdu un paroli.
Vissvarīgākā programma jebkuram datora lietotājam ir operētājsistēma. Tas, ko tas saglabās, ir jāzina tikai jums, tāpēc iestatiet paroli, kas jāievada, ieslēdzot datoru. Procedūra ir vienkārša, taču tai ir daudz priekšrocību. Katru reizi, kad rindā ievadāt rakstzīmju kombināciju, jūs apstiprināsit savas tiesības rīkoties ar visu datorā saglabāto informāciju. Novērsiet situāciju, kad nepilnvarota persona var iegūt bezmaksas piekļuvi jūsu darbvirsmai un visiem failiem. “Noslēdziet” informāciju, lai tas neizskatītos pēc dzīvokļa bez durvīm ar uzrakstu “Ienāc, ja vēlies”.
Otrais noteikums: Nekad nestrādājiet ar kontu ar administratora tiesībām.
Datoram visi lietotāji ir sadalīti divos veidos: administratori un parastie lietotāji. Administratori- tie ir tie lietotāji, kuri var konfigurēt visu datorpakalpojumu darbību, instalēt un noņemt programmas, kā arī mainīt sistēmas darbību. Regulāri lietotāji viņiem nav tiesību neko mainīt vai instalēt, taču viņi var brīvi palaist programmas, izmantot internetu un strādāt. Tagad iedomāsimies situāciju, kad lietotājs, izmantojot administratora kontu, piekļūst uzbrucēja vietnei. Ļaunprātīgas programmas var viegli izdzēst datus vai šifrēt tos, lai noziedznieki pēc tam varētu izkrāpt naudu datu atkopšanai. Tajā pašā laikā ne operētājsistēma, ne antivīrusi neglābs lietotāju no šādas nelaimes, jo viss, ko “administrators” dara datora labā - un viņš domās, ka tās ir jūsu komandas, daži cilvēki tā domā ir neērti strādāt ar parastā lietotāja kontu, jo laiku pa laikam ir jāinstalē jaunas programmas. Bet, ja tā padomā, programmatūra nav jāinstalē katru dienu. Priekšrocības ir acīmredzamas. Kad piekļūstat uzbrucēju vietnei ar vienkārša lietotāja tiesībām, jūs tādējādi pakļaujat ļaunprātīgo programmu aizsargbarjerai, kuru tai ir grūtāk pārvarēt. Tas vairs nevar ātri maskēties un kļūst neaizsargāts pret antivīrusiem. Tāpēc katram gadījumam ir jēga atņemt administratora tiesības. Ja rodas vajadzība izmantot tā funkcionalitāti, jūs vienmēr varat īslaicīgi mainīt savu kontu.
Trešais noteikums:Jūsu parolēm jābūt garām, sarežģītām un vēlams daudzveidīgām. Visas paroles regulāri jāmaina.
Paroles– Tās ir milzīgas galvassāpes visiem informācijas drošības speciālistiem. Tas ir tāpēc, ka lietotājiem nepatīk garas paroles, jo viņi tās aizmirst vai vienkārši ir pārāk slinki, lai tās ierakstītu. Un tas ir labi, ja tie pastāv. Šeit viss ir kā ar dzīvokli: vienkāršākais veids, kā tajā iekļūt, ir paņemt slēdzenes atslēgu. Līdzīga metode darbojas arī datoru jomā. Vienkāršākais veids, kā piekļūt datiem, ir izvēlēties paroli. Tikai pirmajās datoru izstrādes desmitgadēs pietika ar paroles garumu 8 rakstzīmes. Taču, attīstoties tehnoloģijām, visu kombināciju uzskaitīšanas metode ir kļuvusi par vienkāršu šādu kodu aprēķināšanu. Ir tāda lieta kā paroles stiprums- laika indikators, kurā uzbrucējs izvēlas paroli, izmantojot brutālā spēka metodes. Izrādās, ka kombinācijas, kas sastāv tikai no astoņiem cipariem vai burtiem, var uzminēt mazāk nekā sekundē. Tāpēc, izmantojot līdz 8 rakstzīmēm garas paroles, jūs riskējat īsā laikā nodrošināt piekļuvi uzbrucējam. Lai gan, ja īsā parolē un dažādos reģistros izmantojat gan ciparus, gan burtus, jums būs jāpavada pāris dienas, mēģinot to atrast, izmantojot brutālu spēku. Tas vairs nav slikti, bet, protams, nepietiek. Jūs varat sasniegt apmierinošu paroles stiprumu, vienkārši palielinot tās garumu, izmantojot ne tikai burtu un ciparu, bet arī zīmju ('$','%',&'','#' kombināciju). Bet kā izveidot garu un sarežģītu paroli, to uzreiz neaizmirstot? Ļoti vienkārši. Izmantojiet ieejas frāzes. Piemēram: "$ Green_Cactus01". Šādas paroles vārdnīcā nav (lai gan ir atsevišķi vārdi “zaļš” un “kaktuss”), tāpēc to nevar uzlauzt, meklējot vārdnīcā. Parole izrādījās garāka par 12 rakstzīmēm, un tās uzminēšana prasīs vairāk nekā 10-20 mēģinājumus. Pat ja vienā sekundē tiek veikts miljards meklējumu, šādas paroles uzlauzšanai būs nepieciešamas ~10 11 sekundes, kas ir vairāk nekā tūkstoš gadi.
Ceturtais noteikums:Izmantojiet modernus maksas antivīrusus ar iespējotu atjaunināšanas režīmu vismaz divas reizes dienā.
Instalēts antivīruss pats par sevi ir bezjēdzīgs bez iespējas atjaunināt pretvīrusu datu bāzes. Viņš izskatīsies pēc guļoša sargsuņa. Šķiet, ka tā ir, bet nav jēgas. Tāpēc pārliecinieties, ka jūsu pretvīrusu programmu datu bāzes tiek regulāri atjauninātas.
Piektais noteikums:Ieslēdziet automātiskos programmatūras atjauninājumus.
Vienmēr atjauniniet programmatūru. Tas jo īpaši attiecas uz operētājsistēmu un interneta pārlūkprogrammu. Piemēram, Microsoft savās sistēmās pēc noklusējuma iespējo automātiskās atjaunināšanas režīmu. Ir jākonfigurē citi programmatūras produkti. Priekš kam tas viss? Ļoti vienkārši. Mūsdienu programmas ir ļoti sarežģītas un tajās ir milzīgs kļūdu skaits, kas var ietekmēt jūsu datu drošību. Ražotāji, izlaižot atjauninājumus, pakāpeniski novērš kļūdas, caur kurām uzbrucēji varētu iekļūt jūsu sistēmā.
Sestais noteikums:Neglabājiet paroles savā datorā un neaizmirstiet paroles savā interneta pārlūkprogrammā.
Tiklīdz hakeris iegūs piekļuvi jebkurai jūsu datora daļai, kad viņš atrod paroles failu, viņam pat nebūs jāmēģina uzlauzt drošības sistēmu. Kāpēc zaglim būtu jālauž durvis, ja zem kājslauķa ir atslēgas? Tāpēc glabājiet paroles zibatmiņas diskā kabatā un vienmēr šifrētā veidā.
Septītais noteikums:Izmantojiet šifrēšanas sistēmas kritiskiem datiem.
Jums vienmēr jābūt gatavam tam, ka uzbrucējs var fiziski piekļūt jūsu datoram (piemēram, banāla klēpjdatora zādzība). Lai neļautu viņam izmantot tajā saglabāto informāciju, pirmkārt, iestatiet lietotāja paroli ievadīšanai (skatiet pirmo noteikumu), otrkārt, izmantojiet datu šifrēšanas sistēmu. Šajā gadījumā hakeram būs jāmācās ar jūsu mašīnu daudzus, daudzus gadus.
Astotais noteikums:Nekad neizmantojiet internetu vai e-pastu, lai pārsūtītu konfidenciālu informāciju.
Visa informācija tiek pārsūtīta skaidrā formātā, izmantojot internetu. Sadarbojoties ar telekomunikāciju operatora tehnisko personālu, nav grūti piekļūt saviem ziņojumiem. Tāpēc pasargājiet sevi, izmantojot drošus savienojumus (https), vai datu šifrēšanas sistēmas un elektroniskā digitālā paraksta sistēmas.
Devītais noteikums:Instalējiet programmas, kuru mērķi vai izcelsmes avotu jūs noteikti zināt.
Ikviens zina stāstu par Trojas krišanu. Vismānīgākais šī kara izgudrojums bija Trojas zirgs. Un, lai gan šim izgudrojumam ir vairāki tūkstoši gadu, šī iekarošanas metode nav zaudējusi savu aktualitāti. Bet aizsardzība pret to jau sen ir pieejama: neinstalējiet nepazīstamas programmas ne pats, ne pēc trešo pušu ieteikuma. Galvenās riska jomas ir: vietnes, kas izraisa neuzticību un nav absolūtas pārliecības par resursa likumību, ICQ krāpnieki, surogātpasta izplatītāji. Katrs no šiem aktieriem cenšas iekļūt “unikālā” skatītājā, darbvirsmas fonā un citās lietojumprogrammās, kā arī kopā ar tiem kodu, kas padarīs jūsu datoru par paklausīgu zombiju.
Desmitais noteikums:Noteikti ievērojiet īpašus drošības norādījumus. Vienmēr izmantojiet veselo saprātu.
Tulkošana: Olga Alifanova
Kā tas viss sākās
Ne tik sen drošības pārbaude (un tās tikpat biedējošais brālis, iespiešanās pārbaude) bija milzīga, biedējoša kļūda, kuru pieradināja tie, kas to saprata. Viņiem par to ļoti, ļoti labi samaksāja. Tad dzīve mainījās, un es pēkšņi atklāju, ka paklupu uz lietām, kas manam darba devējam būtu maksājušas dārgi, ja es tās nebūtu pieķēris.
Pēkšņi es uzzināju vairāk par drošības testēšanas sākumu — zināšanām, kuras nekad nedomāju, ka man vajadzēs —, un tās bija nogurdinošas, pārsteidzošas un biedējošas (apmēram vienādās daļās).
Lūk, kā es jutos:
Kad es sāku uzzināt vairāk par drošības testēšanu, es uzzināju, ka tā nav tik biedējoša un bezgalīga, kā es domāju. Es sāku saprast, par ko cilvēki runā, kad viņi pieminēja privilēģiju eskalāciju, apdraudētus serverus vai...
Būs daudz ko mācīties. Taču sākt darbu nav tik grūti, un, nedaudz lasot un apdomājot, jūs varat atklāt ievainojamību (koda fragmentu, ko kāds ar sliktiem nodomiem varētu izmantot, lai programmatūra darbotos tā, kā tai nevajadzētu), pirms programmatūra ir sākusi darboties. pietiekami nobriedis, lai nonāktu dārgu drošības profesionāļu rokās (tas nozīmē, ka to ir lētāk salabot – patīkams bonuss, vai tiešām?) un ilgi pirms tas nokļūst mežonīgo mežonīgo rietumu plašumos... ak, globālais tīmeklis.
Man tas ir jāzina, nopietni?
Daudzi teiktu, ka visiem testētājiem ir jāzina par tīmekļa drošības testēšanu. Uzzināt vairāk par to ir laba ideja ikvienam, kurš pavada laiku tiešsaistē, taču es domāju, ka ir situācijas, kurās jūs neiegūsit, mācoties par tīmekļa drošības testēšanu.
Jums var nebūt jāzina par testēšanuWeb- drošība, ja...
- Jūs esat daļa no lielas komandas, kurā ir drošības eksperti. Šī ir viņu kompetences joma, un, ja viņi labi veic savu darbu, viņi sadarbojas ar jums un jūsu izstrādātājiem, lai pārliecinātos, ka viņu reģionā viss ir pareizajā drošības līmenī. Tie arī palīdz pārbaudīt programmatūras drošības problēmas.
- Jūs pārbaudāt programmatūru, kas tiek izlaista lietotājiem, un tad nevienam tā nerūp: tā nepiekļūst jūsu serveriem un neapstrādā konfidenciālu informāciju. Bezsaistes Sudoku lietotne būtu labs piemērs — un, ja uzņēmumam ir vienalga, vai tas godīgi sasniedz augstus rezultātus un/vai labi aizsargā savus serverus, tiešsaistes gadījuma spēle varētu būt arī piemērs.
- Šī ir displeja vietne, un jūs nepārvaldāt mitināšanu.
- Jūs vispār nestrādājat tīmeklī.
Jums jāzina par testēšanu Web-Drošība, ja...
- Jūsu uzņēmuma programmatūrā tiek glabāta jebkāda veida personu identificējoša informācija (to nosaka tiesību akti, bet parasti to var izmantot, lai atrastu jūs vai jūsu ģimeni)
Piemēri: adreses, pasts (parasti kopā ar citu informāciju), valsts izdots identifikācijas numurs (sociālās apdrošināšanas numurs, autovadītāja apliecības numurs, pase)
- Jūsu uzņēmuma programmatūra izmanto vai saglabā jebkāda veida maksājumu informāciju. Ja glabājat kredītkartes informāciju, lielākajā daļā valstu ir ļoti stingri noteikumi par šādu datu glabāšanu un piekļuvi tiem, kā arī ļoti lieli sodi par šo datu neaizsargāšanu. Ja glabājat bankas konta informāciju, standarti nav tik stingri, taču jums joprojām ir jātur acis vaļā.
- Jūsu uzņēmumam ir jāievēro tiesību akti vai procedūras attiecībā uz datu drošību. Daži man zināmi piemēri:
Veselības aprūpes uzņēmumiem ASV ir jāievēro vairāki federālie likumi.
Jebkuram publiski tirgotam uzņēmumam Amerikas Savienotajās Valstīs ir jāievēro federālie likumi par standartiem. Ja uzņēmums tos neievēro, tas nevar pieņemt kredītkaršu maksājumus un tiek piemērots naudas sods un citi sodi.
- Jūsu uzņēmumam ir privātuma prasības attiecībā uz datiem, ko tas glabā.
Ja domājat, ka jums ir nepieciešams uzzināt vairāk par tīmekļa drošības testēšanu, iespējams, jums tas tiešām ir nepieciešams.
Kur sākt
Tīmekļa drošības testēšanas sākšana ir diezgan vienkārša — ir pieejamas lieliskas saites un rīki, un tas maksās tikai jūsu laiku. Jūs varat paveikt daudz, izmantojot tikai pārlūkprogrammu!
Uzmanīgi! Briesmas priekšā!
Pirms sākat darīt kaut ko postošu, pārliecinieties, ka esat pilnīgi pārliecināts, ka jums ir atļauja to darīt. Jā, pat testa serverī - citi cilvēki to var izmantot citiem mērķiem, jūsu uzņēmums var uzraudzīt tīklu, lai konstatētu aizdomīgu uzvedību - un vispār šeit ir nozīme virknē faktoru, par kuriem jums var nebūt ne mazākās nojausmas. Vienmēr, Vienmēr pārliecinieties, vai jums ir atļauja spēlēt hakeru.
Bezmaksas rīki
Visi manis izmantotie rīki ir paredzēti Windows, jo es strādāju Windows vidē. Daži no tiem ir starpplatformu, daži nav. Tie visi ir diezgan viegli lietojami iesācējam, kurš pārbauda drošības ūdeņus, meklējot kļūdas.
- Pārlūka izstrādātāja rīki. Ja vien jūsu uzņēmums tos nav bloķējis, lielākā daļa mūsdienu pārlūkprogrammu ļauj pārbaudīt lapas kodu, pārbaudīt JavaScript un skatīt tīkla trafiku starp pārlūkprogrammu un serveri. Varat arī rediģēt un palaist tajos izlases JavaScript, mēģināt mainīt kodu un atkārtot tīkla pieprasījumus.
- Pastnieks. Lai gan tas ir Chrome paplašinājums, Postman darbojas arī kā atsevišķa lietojumprogramma. Varat to izmantot, lai nosūtītu dažādus pieprasījumus un pārbaudītu atbildes (šeit ir stimuls: gandrīz visu drošības testēšanā var izdarīt daudzos dažādos veidos. Eksperimentējiet, lai atrastu savus iecienītākos).
- Vijolnieks. Telerik Fiddler pašlaik ir mans iecienītākais tīmekļa pieprasījumu izpētes un manipulācijas rīks. Tā ir starppārlūkprogramma, darbojas vairākās operētājsistēmās, un to ir viegli sākt ar drošības testēšanu.
- IronWASP. Viens no mazākajiem bezmaksas drošības skeneriem, kas izstrādāti operētājsistēmai Windows. Ar to ir diezgan viegli strādāt, un tas parasti dod labus rezultātus.
- Un vēl viena lieta… Ir pieejami daudzi rīki. Es tikko sāku mācīties par drošību un tikai sāku šņaukāties.
Turpmāk es koncentrēšos uz Fiddler, jo uzskatu, ka tas ir visvienkāršākais no bezmaksas rīkiem un visātrāk pāriet no interfeisa izpētīšanas līdz patiešām noderīgiem rezultātiem.
Izmantojot Fiddler
Kad saskāros ar šo milzīgo un, iespējams, ļoti dārgo ievainojamību, ko aprakstīju iepriekš, es tikai spēlēju ar Fiddler. Labi, ka toreiz atradu: ja tas būtu nonācis tirgū, varēja notikt lielas nepatikšanas.
Iestatījumi
Es instalēju Fiddler ar noklusējuma iestatījumiem. Operētājsistēmā Windows tiek iegūts arī Internet Explorer spraudnis, kas ļauj palaist tieši caur IE (un tā iestatīšana, lai pārraudzītu tikai IE trafiku, ir daudz vienkāršāka nekā citām pārlūkprogrammām). Atkarībā no tā, ko jūs darāt, daži no šiem spraudņiem var būt ļoti noderīgi: šeit ir mani iecienītākie
- SintakseSkatīt/Izcelt. Nodrošina sintakses izcelšanu pielāgotu skriptu sagatavošanai un HTML, Javascript, CSS un XML skatīšanai. Izceļot visus tagus un atslēgvārdus, likšana ar tīmekļa kodu ir daudz mazāk sāpīga. Esmu liels to lietu cienītājs, kas ļauj vieglāk koncentrēties uz svarīgo, un šī ir viena no tām.
- PDF — skatīšanās.Ļoti svarīgi, ja jūsu lietojumprogramma veido PDF failus lidojumā. Varat noklikšķināt uz cilnes un redzēt PDF renderēšanu. Piemēram, ja pārbaudāt bankas izraksta PDF failu, lai pārliecinātos, vai nav iespējams atvērt cita lietotāja izrakstu, šis rīks ir jūsu draugs.
Saistītie raksti
Labākie amuleti pret ļauno aci un bojājumiem Amulets pret ļauno aci ar rokām bērniem
Kā pareizi lasīt Psalteri
Gardi ēdieni ar desiņām
Neliels ieskats Bellā. Romantiskā hronika. Neliels ieskats ģenialitātē. Messerers par Akhmadulinu Boriss Meserers ieskats Bella romantiskajā hronikā
Es sapņoju, ka braucu ar laivu pa upi
Kā pannā pagatavot liellopu gaļas entrekotu
Par uzņēmumu Svešvalodu kursi Maskavas Valsts universitātē
Kura pilsēta un kāpēc kļuva par galveno Senajā Mezopotāmijā?
Kāpēc Bukhsoft Online ir labāka par parastu grāmatvedības programmu!
Kurš gads ir garais gads un kā to aprēķināt