വെബ് ആപ്ലിക്കേഷൻ ഹാക്കിംഗ് രീതികൾ

വെബ് സെർവറുകളുമായി സംവദിക്കാൻ ഉപയോക്താക്കളെ അനുവദിക്കുന്ന പ്രോഗ്രാമുകളാണ് വെബ് ആപ്ലിക്കേഷനുകൾ. ക്ലയന്റ്, സെർവർ സൈഡ് സ്ക്രിപ്റ്റുകളുടെ സഹായത്തോടെ വെബ് ബ്ര rowsers സറുകളിൽ അവ പ്രവർത്തിക്കുന്നു.

വെബ് ആപ്ലിക്കേഷൻ ആർക്കിടെക്ചർ ഇനിപ്പറയുന്നവ ഉൾക്കൊള്ളുന്നു:

  • ക്ലയൻറ് / അവതരണ പാളി
  • ബിസിനസ്സ് ലോജിക് ലെയർ
  • ഡാറ്റാബേസ് ലെയർ

അപ്ലിക്കേഷൻ പ്രവർത്തിക്കുന്ന ഉപകരണങ്ങൾ ക്ലയന്റ് / അവതരണ ലെയറിൽ അടങ്ങിയിരിക്കുന്നു. അത്തരം ഉപകരണങ്ങളിൽ ലാപ്ടോപ്പുകൾ, ടാബ്‌ലെറ്റുകൾ, സ്മാർട്ട്‌ഫോണുകൾ തുടങ്ങിയവ ഉൾപ്പെടുന്നു.


ബിസിനസ്സ് ലോജിക് ലെയറിന് രണ്ട് ലെയറുകളുണ്ട്:


  • അഭ്യർത്ഥനകളും പ്രതികരണങ്ങളും കൈകാര്യം ചെയ്യുന്ന ഘടകങ്ങളും ബ്രൗസറിലേക്ക് ഡാറ്റ വായിക്കുകയും തിരികെ നൽകുകയും ചെയ്യുന്ന കോഡിംഗും അടങ്ങുന്ന വെബ്-സെർവർ ലോജിക് ലെയർ



  • അപ്ലിക്കേഷൻ ഡാറ്റ അടങ്ങിയിരിക്കുന്ന ബിസിനസ്സ് ലോജിക് ലെയർ

ഡാറ്റാബേസ് ലെയറിൽ ഒരു ബി 2 ബി ലെയറും ഓർഗനൈസേഷന്റെ ഡാറ്റ സംഭരിച്ചിരിക്കുന്ന ഒരു ഡാറ്റാബേസ് സെർവറും അടങ്ങിയിരിക്കുന്നു.



വെബ് ആപ്ലിക്കേഷൻ ഭീഷണികളും ആക്രമണങ്ങളും

വിശ്വസനീയമായ ആപ്ലിക്കേഷനുകൾ സങ്കൽപ്പിക്കാനും വികസിപ്പിക്കാനും നേടാനും പ്രവർത്തിക്കാനും പരിപാലിക്കാനും ഓർഗനൈസേഷനുകളെ പ്രാപ്തരാക്കുന്നതിനായി സമർപ്പിച്ചിരിക്കുന്ന ഒരു തുറന്ന കമ്മ്യൂണിറ്റിയാണ് ഓ‌വാസ്‌പി.

മികച്ച 10 ആപ്ലിക്കേഷൻ സുരക്ഷാ ഭീഷണികളെ വിവരിക്കുന്ന ഒരു പ്രമാണം OWASP ടോപ്പ് 10 പ്രോജക്റ്റ് നിർമ്മിക്കുന്നു.


ഏറ്റവും പുതിയ പ്രമാണം ഇനിപ്പറയുന്ന മികച്ച 10 സുരക്ഷാ ഭീഷണികളെ പട്ടികപ്പെടുത്തുന്നു:

കുത്തിവയ്പ്പ്

ഇൻ‌ജെക്ഷൻ ആക്രമണം ഒരു ആക്രമണമാണ്, അതിൽ‌ ആക്രമണകാരി ക്ഷുദ്ര ഡാറ്റ കമാൻ‌ഡുകളിലേക്കും അന്വേഷണങ്ങളിലേക്കും കുത്തിവയ്ക്കുകയും അവ അപ്ലിക്കേഷനിൽ‌ നടപ്പിലാക്കുകയും ചെയ്യുന്നു.

ഈ ആക്രമണം ഇൻപുട്ട് ഫീൽഡുകളെയോ ആപ്ലിക്കേഷന്റെ എൻട്രി പോയിന്റുകളെയോ ടാർഗെറ്റുചെയ്യുകയും തന്ത്രപ്രധാനമായ വിവരങ്ങൾ എക്‌സ്‌ട്രാക്റ്റുചെയ്യാൻ ആക്രമണകാരികളെ അനുവദിക്കുകയും ചെയ്യുന്നു.

സാധാരണയായി ഉപയോഗിക്കുന്ന ഇഞ്ചക്ഷൻ ആക്രമണങ്ങൾ ഇവയാണ്:


  • SQL ഇഞ്ചക്ഷൻ ആക്രമണകാരി ക്ഷുദ്രകരമായ SQL ചോദ്യങ്ങൾ അപ്ലിക്കേഷനിലേക്ക് കടത്തിവിടുന്ന ഒരു ആക്രമണമാണ്
  • കമാൻഡ് ഇഞ്ചക്ഷൻ ആക്രമണകാരിയാണ് ക്ഷുദ്ര കമാൻഡുകൾ അപ്ലിക്കേഷനിലേക്ക് കടത്തിവിടുന്നത്
  • LDAP ഇഞ്ചക്ഷൻ ആക്രമണകാരിയാണ് ക്ഷുദ്രകരമായ LDAP സ്റ്റേറ്റ്‌മെന്റുകൾ അപ്ലിക്കേഷനിലേക്ക് കടത്തിവിടുന്നത്

തകർന്ന പ്രാമാണീകരണം

തകർന്ന പ്രാമാണീകരണം പ്രാമാണീകരണത്തിലും സെഷൻ മാനേജുമെന്റിലുമുള്ള ഭീഷണികളെയും അപകടസാധ്യതകളെയും സൂചിപ്പിക്കുന്നു.

ആക്രമണകാരികൾ അവരുടെ ലക്ഷ്യങ്ങൾ ആൾമാറാട്ടം നടത്താൻ ഈ കേടുപാടുകൾ ഉപയോഗപ്പെടുത്തുന്നു.

നിലവിലുള്ള ചില കേടുപാടുകളിൽ ഇവ ഉൾപ്പെടുന്നു:

  • URL കളിലെ സെഷൻ ഐഡികൾ
  • എൻ‌ക്രിപ്റ്റ് ചെയ്യാത്ത പാസ്‌വേഡുകൾ
  • അനുചിതമായി സമയപരിധി സജ്ജമാക്കുക

സെൻസിറ്റീവ് ഡാറ്റ എക്‌സ്‌പോഷർ

ഡാറ്റ എൻ‌ക്രിപ്ഷനും സംഭരണത്തിനുമായി ദുർബലമായ എൻ‌ക്രിപ്ഷൻ കോഡ് ഉപയോഗിക്കുന്ന അപ്ലിക്കേഷനുകളിൽ സെൻസിറ്റീവ് ഡാറ്റ എക്‌സ്‌പോഷർ ഭീഷണികൾ സംഭവിക്കുന്നു.


എൻ‌ക്രിപ്ഷൻ എളുപ്പത്തിൽ തകർക്കുന്നതിനും ഡാറ്റ മോഷ്ടിക്കുന്നതിനും ആക്രമണകാരികളെ ഈ ദുർബലത പ്രാപ്തമാക്കുന്നു.

എക്സ്എം‌എൽ ബാഹ്യ എന്റിറ്റി

മോശമായി ക്രമീകരിച്ച എക്സ്എം‌എൽ പാഴ്‌സറിനെ ആക്രമണകാരി പ്രയോജനപ്പെടുത്തുന്ന ഒരു ആക്രമണമാണ് എക്സ്എം‌എൽ എക്സ്റ്റേണൽ എന്റിറ്റി ആക്രമണം, ഇത് വിശ്വസനീയമല്ലാത്ത ഉറവിടത്തിൽ നിന്ന് വരുന്ന എക്സ്എം‌എൽ ഇൻ‌പുട്ട് പാഴ്‌സുചെയ്യാൻ അപ്ലിക്കേഷന് കാരണമാകുന്നു.

തകർന്ന പ്രവേശന നിയന്ത്രണം

തകർന്ന ആക്‌സസ്സ് നിയന്ത്രണം ആക്‌സസ്സ് നിയന്ത്രണത്തിലെ ഭീഷണികളെയും അപകടസാധ്യതകളെയും സൂചിപ്പിക്കുന്നു. പ്രാമാണീകരണം ഒഴിവാക്കുന്നതിനും അഡ്‌മിൻ പ്രത്യേകാവകാശങ്ങൾ നേടുന്നതിനും ആക്രമണകാരികൾ ഈ കേടുപാടുകൾ ഉപയോഗപ്പെടുത്തുന്നു.

സുരക്ഷാ തെറ്റായ കോൺഫിഗറേഷൻ

സുരക്ഷ കോൺഫിഗറേഷൻ എന്നത് മോശമായി ക്രമീകരിച്ച ആപ്ലിക്കേഷൻ സ്റ്റാക്ക് ഉള്ള അപ്ലിക്കേഷനുകളിൽ നിലനിൽക്കുന്ന കേടുപാടുകളെ സൂചിപ്പിക്കുന്നു.


സുരക്ഷാ തെറ്റായ കോൺഫിഗറേഷൻ കേടുപാടുകൾക്ക് കാരണമാകുന്ന ചില പ്രശ്‌നങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:

  • അസാധുവായ ഇൻപുട്ട് ഫീൽഡുകൾ
  • ഫോമും പാരാമീറ്റർ കൃത്രിമത്വവും
  • മോശം പിശക് കൈകാര്യം ചെയ്യൽ

ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (എക്സ്എസ്എസ്)

ടാർഗെറ്റിന്റെ സിസ്റ്റത്തിൽ നടപ്പിലാക്കുന്ന വെബ് പേജുകളിലേക്ക് ആക്രമണകാരി സ്ക്രിപ്റ്റുകൾ കടത്തിവിടുന്ന ഒരു ആക്രമണമാണ് ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് ആക്രമണം.

സുരക്ഷിതമല്ലാത്ത ഡിസീരിയലൈസേഷൻ

സുരക്ഷിതമല്ലാത്ത ഡെസീരിയലൈസേഷൻ എന്നത് ആക്രമണകാരികൾ ക്ഷുദ്ര കോഡ് സീരിയലൈസ് ചെയ്ത ഡാറ്റയിലേക്ക് കുത്തിവച്ചുകൊണ്ട് ടാർഗെറ്റിലേക്ക് അയയ്‌ക്കുന്ന ഒരു ദുർബലതയെ സൂചിപ്പിക്കുന്നു.

സുരക്ഷിതമല്ലാത്ത ഡെസീരിയലൈസേഷൻ ദുർബലത കാരണം, ക്ഷുദ്ര കോഡ് കണ്ടെത്താതെ തന്നെ ക്ഷുദ്രകരമായ സീരിയലൈസ് ചെയ്ത ഡാറ്റ അഭികാമ്യമാണ്, ഇത് ആക്രമണകാരിയെ സിസ്റ്റത്തിലേക്ക് അനധികൃതമായി പ്രവേശിക്കാൻ അനുവദിക്കുന്നു.

അറിയപ്പെടുന്ന കേടുപാടുകൾ ഉള്ള ഘടകങ്ങൾ ഉപയോഗിക്കുന്നു

അറിയപ്പെടുന്ന കേടുപാടുകൾ ഉള്ള ഘടകങ്ങൾ ഉപയോഗിക്കുന്നത് ആക്രമണകാരികളെ ചൂഷണം ചെയ്യാനും ആക്രമണങ്ങൾ നടത്താനും അനുവദിക്കുന്നു.

അപര്യാപ്തമായ ലോഗിംഗും നിരീക്ഷണവും

ക്ഷുദ്രകരമായ സംഭവങ്ങളും പ്രവർത്തനങ്ങളും ലോഗ് ചെയ്യുന്നതിൽ അപ്ലിക്കേഷൻ പരാജയപ്പെടുമ്പോൾ അപര്യാപ്തമായ ലോഗിംഗും നിരീക്ഷണവും സംഭവിക്കുന്നു. ഇത് സിസ്റ്റത്തിലെ ആക്രമണങ്ങൾ കണ്ടെത്തുന്നതിൽ ബുദ്ധിമുട്ടുകൾ സൃഷ്ടിക്കുന്നു.



ഹാക്കിംഗ് രീതി

വെബ് ആപ്ലിക്കേഷൻ ഹാക്കിംഗ് രീതി ആക്രമണകാരികൾക്ക് വിജയകരമായ ആക്രമണം നടത്താൻ പിന്തുടരേണ്ട ഘട്ടങ്ങൾ നൽകുന്നു.

ഈ ഘട്ടങ്ങൾ ഇവയാണ്:

വെബ് ഇൻഫ്രാസ്ട്രക്ചർ കാൽപ്പാടുകൾ

ടാർഗെറ്റ് വെബ് ഇൻഫ്രാസ്ട്രക്ചറിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ ശേഖരിക്കുന്നതിനും ചൂഷണം ചെയ്യാവുന്ന കേടുപാടുകൾ തിരിച്ചറിയുന്നതിനും ആക്രമണകാരിയെ വെബ് ഇൻഫ്രാസ്ട്രക്ചർ സഹായിക്കുന്നു.

ഈ പ്രക്രിയയിൽ, ആക്രമണകാരി ഇത് ചെയ്യുന്നു:

  • അപ്ലിക്കേഷൻ ഹോസ്റ്റുചെയ്യുന്ന സെർവറുകളെക്കുറിച്ച് അറിയാനുള്ള സെർവർ കണ്ടെത്തൽ
  • ഏത് സേവനത്തെ ആക്രമിക്കാമെന്ന് നിർണ്ണയിക്കുന്നതിനുള്ള സേവന കണ്ടെത്തൽ
  • പതിപ്പ്, നിർമ്മാണം പോലുള്ള സെർവറിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ അറിയാനുള്ള സെർവർ ഐഡന്റിഫിക്കേഷൻ
  • മറഞ്ഞിരിക്കുന്ന ഉള്ളടക്കങ്ങൾ കണ്ടെത്തുന്നതിന് മറച്ച ഉള്ളടക്ക കണ്ടെത്തൽ

വെബ് സെർവർ ആക്രമണം

കാൽ‌നടയാക്കൽ‌ ഘട്ടത്തിൽ‌ ശേഖരിക്കുന്ന വിവരങ്ങൾ‌ ഹാക്കർ‌മാർ‌ക്ക് ഇത് വിശകലനം ചെയ്യാനും ചൂഷണം ചെയ്യാനുള്ള കേടുപാടുകൾ‌ കണ്ടെത്താനും സെർ‌വറിൽ‌ ആക്രമണങ്ങൾ‌ നടത്തുന്നതിന് വിവിധ സാങ്കേതിക വിദ്യകൾ‌ ഉപയോഗിക്കാനും അനുവദിക്കുന്നു.

വെബ് അപ്ലിക്കേഷൻ വിശകലനം

ടാർഗെറ്റ് വെബ് ആപ്ലിക്കേഷന്റെ കേടുപാടുകൾ തിരിച്ചറിയുന്നതിനും അവ ഉപയോഗപ്പെടുത്തുന്നതിനും ആക്രമണകാരികൾ വിശകലനം ചെയ്യുന്നു.

അപ്ലിക്കേഷൻ ഹാക്ക് ചെയ്യുന്നതിന്, ആക്രമണകാരികൾ ഇനിപ്പറയുന്നവ ചെയ്യേണ്ടതുണ്ട്:

  • ഉപയോക്തൃ ഇൻപുട്ടിനായി എൻട്രി പോയിന്റുകൾ തിരിച്ചറിയുക
  • ചലനാത്മക വെബ് പേജുകൾ സൃഷ്ടിക്കുന്നതിന് ഉപയോഗിക്കുന്ന സെർവർ സൈഡ് സാങ്കേതികവിദ്യകൾ തിരിച്ചറിയുക
  • സെർവർ സൈഡ് പ്രവർത്തനം തിരിച്ചറിയുക
  • ആക്രമണ പ്രദേശങ്ങളും അനുബന്ധ കേടുപാടുകളും തിരിച്ചറിയുക

ക്ലയന്റ്-സൈഡ് ഒഴിവാക്കൽ നിയന്ത്രിക്കുന്നു

ഉപയോക്തൃ ഇൻ‌പുട്ടുകളുടെയും ആശയവിനിമയത്തിൻറെയും ക്ലയൻറ് സൈഡ് നിയന്ത്രണം മറികടക്കാൻ ആക്രമണകാരികൾ ശ്രമിക്കുന്നു.

ക്ലയന്റ്-സൈഡ് നിയന്ത്രണങ്ങൾ മറികടക്കാൻ, ആക്രമണകാരികൾ ഇനിപ്പറയുന്നവ ചെയ്യാൻ ശ്രമിക്കുന്നു:

  • മറഞ്ഞിരിക്കുന്ന ഫോം ഫീൽഡുകൾ ആക്രമിക്കുക
  • ബ്ര browser സർ വിപുലീകരണങ്ങളെ ആക്രമിക്കുക
  • ഉറവിട കോഡ് അവലോകനം ചെയ്യുക

പ്രാമാണീകരണ ആക്രമണങ്ങൾ

പ്രാമാണീകരണ സംവിധാനങ്ങളിൽ നിലനിൽക്കുന്ന കേടുപാടുകൾ തീർക്കാൻ ആക്രമണകാരികൾ ശ്രമിക്കുന്നു.

അത്തരം കേടുപാടുകൾ പ്രയോജനപ്പെടുത്തുന്നതിലൂടെ, ആക്രമണകാരികൾക്ക് ഇത് ചെയ്യാൻ കഴിയും:

  • ഉപയോക്തൃനാമം കണക്കാക്കൽ
  • പാസ്‌വേഡ് ആക്രമണങ്ങൾ
  • സെഷൻ ആക്രമണങ്ങൾ
  • ഓപ്പറേറ്റിംഗ് കുക്കി

അംഗീകാര ആക്രമണങ്ങൾ

പരിമിതമായ പ്രത്യേകാവകാശങ്ങളുള്ള ഒരു നിയമാനുസൃത അക്ക through ണ്ട് വഴി ആക്രമണകാരി ആപ്ലിക്കേഷനിലേക്ക് പ്രവേശിക്കുകയും തുടർന്ന് പ്രത്യേകാവകാശങ്ങൾ വർദ്ധിപ്പിക്കുന്നതിന് ആ അക്കൗണ്ട് ഉപയോഗിക്കുകയും ചെയ്യുന്ന ഒരു ആക്രമണമാണ് അംഗീകാര ആക്രമണം.

ഒരു അംഗീകാര ആക്രമണം നടത്താൻ, ആക്രമണകാരി ഇനിപ്പറയുന്ന ഉറവിടങ്ങൾ ഉപയോഗിക്കുന്നു:

  • വെറുക്കുക
  • പാരാമീറ്റർ ടാമ്പറിംഗ്
  • POST ഡാറ്റ
  • HTTP തലക്കെട്ടുകൾ
  • കുക്കികൾ
  • മറച്ച ടാഗുകൾ

നിയന്ത്രണ ആക്രമണങ്ങൾ ആക്സസ് ചെയ്യുക

നടപ്പിലാക്കിയ ആക്സസ് നിയന്ത്രണത്തെക്കുറിച്ചുള്ള വിശദാംശങ്ങൾ അറിയാനുള്ള ശ്രമത്തിൽ ആക്രമണകാരികൾ ടാർഗെറ്റ് വെബ്‌സൈറ്റ് വിശകലനം ചെയ്യുന്നു.

ഈ പ്രോസസ്സ് സമയത്ത്, ആർക്കാണ് ഏത് സെറ്റ് ഡാറ്റയിലേക്ക് ആക്സസ് ഉള്ളത്, ആർക്കാണ് ആക്സസ് ലെവൽ ഉള്ളത്, പ്രത്യേകാവകാശങ്ങൾ എങ്ങനെ വർദ്ധിപ്പിക്കാം എന്നതിനെക്കുറിച്ച് ആക്രമണകാരികൾ അറിയാൻ ശ്രമിക്കുന്നു.

സെഷൻ മാനേജുമെന്റ് ആക്രമണങ്ങൾ

ആക്രമണകാരികൾ അവരുടെ ടാർഗെറ്റുകൾ ആൾമാറാട്ടം നടത്തുന്നതിന് പ്രാമാണീകരണത്തിലും സെഷൻ മാനേജുമെന്റിലുമുള്ള കേടുപാടുകൾ ഉപയോഗപ്പെടുത്തുന്നു.

സാധുവായ സെഷൻ ടോക്കൺ സൃഷ്ടിക്കുന്ന പ്രക്രിയയിൽ രണ്ട് ഘട്ടങ്ങളുണ്ട്:

  • സെഷൻ ടോക്കൺ പ്രവചനം
  • സെഷൻ ടോക്കൺ ടാമ്പറിംഗ്

സാധുവായ ഒരു ടോക്കൺ ഉപയോഗിച്ച്, ആക്രമണകാരികൾക്ക് MITM, സെഷൻ ഹൈജാക്കിംഗ്, സെഷൻ റീപ്ലേ എന്നിവ പോലുള്ള ആക്രമണങ്ങൾ നടത്താൻ കഴിയും.

ഇഞ്ചക്ഷൻ ആക്രമണങ്ങൾ

ക്ഷുദ്ര ചോദ്യങ്ങളും കമാൻഡുകളും കുത്തിവയ്ക്കാൻ ആക്രമണകാരികൾ അസാധുവായ ഫോം ഇൻപുട്ടുകൾ പ്രയോജനപ്പെടുത്തുന്നു.

ആപ്ലിക്കേഷൻ ലോജിക് ദുർബലത ചൂഷണം

മോശം കോഡിംഗ് കഴിവുകൾ അതിന്റെ യുക്തിപരമായ കുറവുകൾ കാരണം അപ്ലിക്കേഷനെ ദുർബലമാക്കുന്നു. അത്തരം കുറവുകൾ തിരിച്ചറിയുന്നതിൽ ആക്രമണകാരി വിജയിക്കുകയാണെങ്കിൽ, അവരെ ചൂഷണം ചെയ്യാനും ആക്രമണം നടത്താനും അവർക്ക് കഴിയും.

ഡാറ്റാബേസ് കണക്ഷൻ ആക്രമണങ്ങൾ

ഡാറ്റാബേസിന്റെ നിയന്ത്രണം നേടുന്നതിനും തന്ത്രപ്രധാനമായ വിവരങ്ങളിലേക്ക് പ്രവേശനം നേടുന്നതിനും ആക്രമണകാരികൾ ഡാറ്റാബേസ് കണക്ഷനിൽ ആക്രമണം നടത്തുന്നു.

വെബ് സേവന ആക്രമണങ്ങൾ

ആപ്ലിക്കേഷന്റെ ബിസിനസ്സ് ലോജിക് കേടുപാടുകൾ കണ്ടെത്തുന്നതിനും ചൂഷണം ചെയ്യുന്നതിനും വെബ് ആപ്ലിക്കേഷനിൽ സംയോജിപ്പിച്ചിരിക്കുന്ന വെബ് സേവനങ്ങളെ ആക്രമണകാരികൾ ടാർഗെറ്റുചെയ്യുന്നു.

ആപ്ലിക്കേഷനിൽ ആക്രമണം നടത്താൻ അവർ വിവിധ സാങ്കേതിക വിദ്യകൾ ഉപയോഗിക്കുന്നു.

രസകരമായ ലേഖനങ്ങൾ