വെബ് സെർവറുകളുമായി സംവദിക്കാൻ ഉപയോക്താക്കളെ അനുവദിക്കുന്ന പ്രോഗ്രാമുകളാണ് വെബ് ആപ്ലിക്കേഷനുകൾ. ക്ലയന്റ്, സെർവർ സൈഡ് സ്ക്രിപ്റ്റുകളുടെ സഹായത്തോടെ വെബ് ബ്ര rowsers സറുകളിൽ അവ പ്രവർത്തിക്കുന്നു.
വെബ് ആപ്ലിക്കേഷൻ ആർക്കിടെക്ചർ ഇനിപ്പറയുന്നവ ഉൾക്കൊള്ളുന്നു:
അപ്ലിക്കേഷൻ പ്രവർത്തിക്കുന്ന ഉപകരണങ്ങൾ ക്ലയന്റ് / അവതരണ ലെയറിൽ അടങ്ങിയിരിക്കുന്നു. അത്തരം ഉപകരണങ്ങളിൽ ലാപ്ടോപ്പുകൾ, ടാബ്ലെറ്റുകൾ, സ്മാർട്ട്ഫോണുകൾ തുടങ്ങിയവ ഉൾപ്പെടുന്നു.
ബിസിനസ്സ് ലോജിക് ലെയറിന് രണ്ട് ലെയറുകളുണ്ട്:
അഭ്യർത്ഥനകളും പ്രതികരണങ്ങളും കൈകാര്യം ചെയ്യുന്ന ഘടകങ്ങളും ബ്രൗസറിലേക്ക് ഡാറ്റ വായിക്കുകയും തിരികെ നൽകുകയും ചെയ്യുന്ന കോഡിംഗും അടങ്ങുന്ന വെബ്-സെർവർ ലോജിക് ലെയർ
അപ്ലിക്കേഷൻ ഡാറ്റ അടങ്ങിയിരിക്കുന്ന ബിസിനസ്സ് ലോജിക് ലെയർ
ഡാറ്റാബേസ് ലെയറിൽ ഒരു ബി 2 ബി ലെയറും ഓർഗനൈസേഷന്റെ ഡാറ്റ സംഭരിച്ചിരിക്കുന്ന ഒരു ഡാറ്റാബേസ് സെർവറും അടങ്ങിയിരിക്കുന്നു.
വിശ്വസനീയമായ ആപ്ലിക്കേഷനുകൾ സങ്കൽപ്പിക്കാനും വികസിപ്പിക്കാനും നേടാനും പ്രവർത്തിക്കാനും പരിപാലിക്കാനും ഓർഗനൈസേഷനുകളെ പ്രാപ്തരാക്കുന്നതിനായി സമർപ്പിച്ചിരിക്കുന്ന ഒരു തുറന്ന കമ്മ്യൂണിറ്റിയാണ് ഓവാസ്പി.
മികച്ച 10 ആപ്ലിക്കേഷൻ സുരക്ഷാ ഭീഷണികളെ വിവരിക്കുന്ന ഒരു പ്രമാണം OWASP ടോപ്പ് 10 പ്രോജക്റ്റ് നിർമ്മിക്കുന്നു.
ഏറ്റവും പുതിയ പ്രമാണം ഇനിപ്പറയുന്ന മികച്ച 10 സുരക്ഷാ ഭീഷണികളെ പട്ടികപ്പെടുത്തുന്നു:
ഇൻജെക്ഷൻ ആക്രമണം ഒരു ആക്രമണമാണ്, അതിൽ ആക്രമണകാരി ക്ഷുദ്ര ഡാറ്റ കമാൻഡുകളിലേക്കും അന്വേഷണങ്ങളിലേക്കും കുത്തിവയ്ക്കുകയും അവ അപ്ലിക്കേഷനിൽ നടപ്പിലാക്കുകയും ചെയ്യുന്നു.
ഈ ആക്രമണം ഇൻപുട്ട് ഫീൽഡുകളെയോ ആപ്ലിക്കേഷന്റെ എൻട്രി പോയിന്റുകളെയോ ടാർഗെറ്റുചെയ്യുകയും തന്ത്രപ്രധാനമായ വിവരങ്ങൾ എക്സ്ട്രാക്റ്റുചെയ്യാൻ ആക്രമണകാരികളെ അനുവദിക്കുകയും ചെയ്യുന്നു.
സാധാരണയായി ഉപയോഗിക്കുന്ന ഇഞ്ചക്ഷൻ ആക്രമണങ്ങൾ ഇവയാണ്:
തകർന്ന പ്രാമാണീകരണം പ്രാമാണീകരണത്തിലും സെഷൻ മാനേജുമെന്റിലുമുള്ള ഭീഷണികളെയും അപകടസാധ്യതകളെയും സൂചിപ്പിക്കുന്നു.
ആക്രമണകാരികൾ അവരുടെ ലക്ഷ്യങ്ങൾ ആൾമാറാട്ടം നടത്താൻ ഈ കേടുപാടുകൾ ഉപയോഗപ്പെടുത്തുന്നു.
നിലവിലുള്ള ചില കേടുപാടുകളിൽ ഇവ ഉൾപ്പെടുന്നു:
ഡാറ്റ എൻക്രിപ്ഷനും സംഭരണത്തിനുമായി ദുർബലമായ എൻക്രിപ്ഷൻ കോഡ് ഉപയോഗിക്കുന്ന അപ്ലിക്കേഷനുകളിൽ സെൻസിറ്റീവ് ഡാറ്റ എക്സ്പോഷർ ഭീഷണികൾ സംഭവിക്കുന്നു.
എൻക്രിപ്ഷൻ എളുപ്പത്തിൽ തകർക്കുന്നതിനും ഡാറ്റ മോഷ്ടിക്കുന്നതിനും ആക്രമണകാരികളെ ഈ ദുർബലത പ്രാപ്തമാക്കുന്നു.
മോശമായി ക്രമീകരിച്ച എക്സ്എംഎൽ പാഴ്സറിനെ ആക്രമണകാരി പ്രയോജനപ്പെടുത്തുന്ന ഒരു ആക്രമണമാണ് എക്സ്എംഎൽ എക്സ്റ്റേണൽ എന്റിറ്റി ആക്രമണം, ഇത് വിശ്വസനീയമല്ലാത്ത ഉറവിടത്തിൽ നിന്ന് വരുന്ന എക്സ്എംഎൽ ഇൻപുട്ട് പാഴ്സുചെയ്യാൻ അപ്ലിക്കേഷന് കാരണമാകുന്നു.
തകർന്ന ആക്സസ്സ് നിയന്ത്രണം ആക്സസ്സ് നിയന്ത്രണത്തിലെ ഭീഷണികളെയും അപകടസാധ്യതകളെയും സൂചിപ്പിക്കുന്നു. പ്രാമാണീകരണം ഒഴിവാക്കുന്നതിനും അഡ്മിൻ പ്രത്യേകാവകാശങ്ങൾ നേടുന്നതിനും ആക്രമണകാരികൾ ഈ കേടുപാടുകൾ ഉപയോഗപ്പെടുത്തുന്നു.
സുരക്ഷ കോൺഫിഗറേഷൻ എന്നത് മോശമായി ക്രമീകരിച്ച ആപ്ലിക്കേഷൻ സ്റ്റാക്ക് ഉള്ള അപ്ലിക്കേഷനുകളിൽ നിലനിൽക്കുന്ന കേടുപാടുകളെ സൂചിപ്പിക്കുന്നു.
സുരക്ഷാ തെറ്റായ കോൺഫിഗറേഷൻ കേടുപാടുകൾക്ക് കാരണമാകുന്ന ചില പ്രശ്നങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:
ടാർഗെറ്റിന്റെ സിസ്റ്റത്തിൽ നടപ്പിലാക്കുന്ന വെബ് പേജുകളിലേക്ക് ആക്രമണകാരി സ്ക്രിപ്റ്റുകൾ കടത്തിവിടുന്ന ഒരു ആക്രമണമാണ് ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് ആക്രമണം.
സുരക്ഷിതമല്ലാത്ത ഡെസീരിയലൈസേഷൻ എന്നത് ആക്രമണകാരികൾ ക്ഷുദ്ര കോഡ് സീരിയലൈസ് ചെയ്ത ഡാറ്റയിലേക്ക് കുത്തിവച്ചുകൊണ്ട് ടാർഗെറ്റിലേക്ക് അയയ്ക്കുന്ന ഒരു ദുർബലതയെ സൂചിപ്പിക്കുന്നു.
സുരക്ഷിതമല്ലാത്ത ഡെസീരിയലൈസേഷൻ ദുർബലത കാരണം, ക്ഷുദ്ര കോഡ് കണ്ടെത്താതെ തന്നെ ക്ഷുദ്രകരമായ സീരിയലൈസ് ചെയ്ത ഡാറ്റ അഭികാമ്യമാണ്, ഇത് ആക്രമണകാരിയെ സിസ്റ്റത്തിലേക്ക് അനധികൃതമായി പ്രവേശിക്കാൻ അനുവദിക്കുന്നു.
അറിയപ്പെടുന്ന കേടുപാടുകൾ ഉള്ള ഘടകങ്ങൾ ഉപയോഗിക്കുന്നത് ആക്രമണകാരികളെ ചൂഷണം ചെയ്യാനും ആക്രമണങ്ങൾ നടത്താനും അനുവദിക്കുന്നു.
ക്ഷുദ്രകരമായ സംഭവങ്ങളും പ്രവർത്തനങ്ങളും ലോഗ് ചെയ്യുന്നതിൽ അപ്ലിക്കേഷൻ പരാജയപ്പെടുമ്പോൾ അപര്യാപ്തമായ ലോഗിംഗും നിരീക്ഷണവും സംഭവിക്കുന്നു. ഇത് സിസ്റ്റത്തിലെ ആക്രമണങ്ങൾ കണ്ടെത്തുന്നതിൽ ബുദ്ധിമുട്ടുകൾ സൃഷ്ടിക്കുന്നു.
വെബ് ആപ്ലിക്കേഷൻ ഹാക്കിംഗ് രീതി ആക്രമണകാരികൾക്ക് വിജയകരമായ ആക്രമണം നടത്താൻ പിന്തുടരേണ്ട ഘട്ടങ്ങൾ നൽകുന്നു.
ഈ ഘട്ടങ്ങൾ ഇവയാണ്:
ടാർഗെറ്റ് വെബ് ഇൻഫ്രാസ്ട്രക്ചറിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ ശേഖരിക്കുന്നതിനും ചൂഷണം ചെയ്യാവുന്ന കേടുപാടുകൾ തിരിച്ചറിയുന്നതിനും ആക്രമണകാരിയെ വെബ് ഇൻഫ്രാസ്ട്രക്ചർ സഹായിക്കുന്നു.
ഈ പ്രക്രിയയിൽ, ആക്രമണകാരി ഇത് ചെയ്യുന്നു:
കാൽനടയാക്കൽ ഘട്ടത്തിൽ ശേഖരിക്കുന്ന വിവരങ്ങൾ ഹാക്കർമാർക്ക് ഇത് വിശകലനം ചെയ്യാനും ചൂഷണം ചെയ്യാനുള്ള കേടുപാടുകൾ കണ്ടെത്താനും സെർവറിൽ ആക്രമണങ്ങൾ നടത്തുന്നതിന് വിവിധ സാങ്കേതിക വിദ്യകൾ ഉപയോഗിക്കാനും അനുവദിക്കുന്നു.
ടാർഗെറ്റ് വെബ് ആപ്ലിക്കേഷന്റെ കേടുപാടുകൾ തിരിച്ചറിയുന്നതിനും അവ ഉപയോഗപ്പെടുത്തുന്നതിനും ആക്രമണകാരികൾ വിശകലനം ചെയ്യുന്നു.
അപ്ലിക്കേഷൻ ഹാക്ക് ചെയ്യുന്നതിന്, ആക്രമണകാരികൾ ഇനിപ്പറയുന്നവ ചെയ്യേണ്ടതുണ്ട്:
ഉപയോക്തൃ ഇൻപുട്ടുകളുടെയും ആശയവിനിമയത്തിൻറെയും ക്ലയൻറ് സൈഡ് നിയന്ത്രണം മറികടക്കാൻ ആക്രമണകാരികൾ ശ്രമിക്കുന്നു.
ക്ലയന്റ്-സൈഡ് നിയന്ത്രണങ്ങൾ മറികടക്കാൻ, ആക്രമണകാരികൾ ഇനിപ്പറയുന്നവ ചെയ്യാൻ ശ്രമിക്കുന്നു:
പ്രാമാണീകരണ സംവിധാനങ്ങളിൽ നിലനിൽക്കുന്ന കേടുപാടുകൾ തീർക്കാൻ ആക്രമണകാരികൾ ശ്രമിക്കുന്നു.
അത്തരം കേടുപാടുകൾ പ്രയോജനപ്പെടുത്തുന്നതിലൂടെ, ആക്രമണകാരികൾക്ക് ഇത് ചെയ്യാൻ കഴിയും:
പരിമിതമായ പ്രത്യേകാവകാശങ്ങളുള്ള ഒരു നിയമാനുസൃത അക്ക through ണ്ട് വഴി ആക്രമണകാരി ആപ്ലിക്കേഷനിലേക്ക് പ്രവേശിക്കുകയും തുടർന്ന് പ്രത്യേകാവകാശങ്ങൾ വർദ്ധിപ്പിക്കുന്നതിന് ആ അക്കൗണ്ട് ഉപയോഗിക്കുകയും ചെയ്യുന്ന ഒരു ആക്രമണമാണ് അംഗീകാര ആക്രമണം.
ഒരു അംഗീകാര ആക്രമണം നടത്താൻ, ആക്രമണകാരി ഇനിപ്പറയുന്ന ഉറവിടങ്ങൾ ഉപയോഗിക്കുന്നു:
നടപ്പിലാക്കിയ ആക്സസ് നിയന്ത്രണത്തെക്കുറിച്ചുള്ള വിശദാംശങ്ങൾ അറിയാനുള്ള ശ്രമത്തിൽ ആക്രമണകാരികൾ ടാർഗെറ്റ് വെബ്സൈറ്റ് വിശകലനം ചെയ്യുന്നു.
ഈ പ്രോസസ്സ് സമയത്ത്, ആർക്കാണ് ഏത് സെറ്റ് ഡാറ്റയിലേക്ക് ആക്സസ് ഉള്ളത്, ആർക്കാണ് ആക്സസ് ലെവൽ ഉള്ളത്, പ്രത്യേകാവകാശങ്ങൾ എങ്ങനെ വർദ്ധിപ്പിക്കാം എന്നതിനെക്കുറിച്ച് ആക്രമണകാരികൾ അറിയാൻ ശ്രമിക്കുന്നു.
ആക്രമണകാരികൾ അവരുടെ ടാർഗെറ്റുകൾ ആൾമാറാട്ടം നടത്തുന്നതിന് പ്രാമാണീകരണത്തിലും സെഷൻ മാനേജുമെന്റിലുമുള്ള കേടുപാടുകൾ ഉപയോഗപ്പെടുത്തുന്നു.
സാധുവായ സെഷൻ ടോക്കൺ സൃഷ്ടിക്കുന്ന പ്രക്രിയയിൽ രണ്ട് ഘട്ടങ്ങളുണ്ട്:
സാധുവായ ഒരു ടോക്കൺ ഉപയോഗിച്ച്, ആക്രമണകാരികൾക്ക് MITM, സെഷൻ ഹൈജാക്കിംഗ്, സെഷൻ റീപ്ലേ എന്നിവ പോലുള്ള ആക്രമണങ്ങൾ നടത്താൻ കഴിയും.
ക്ഷുദ്ര ചോദ്യങ്ങളും കമാൻഡുകളും കുത്തിവയ്ക്കാൻ ആക്രമണകാരികൾ അസാധുവായ ഫോം ഇൻപുട്ടുകൾ പ്രയോജനപ്പെടുത്തുന്നു.
മോശം കോഡിംഗ് കഴിവുകൾ അതിന്റെ യുക്തിപരമായ കുറവുകൾ കാരണം അപ്ലിക്കേഷനെ ദുർബലമാക്കുന്നു. അത്തരം കുറവുകൾ തിരിച്ചറിയുന്നതിൽ ആക്രമണകാരി വിജയിക്കുകയാണെങ്കിൽ, അവരെ ചൂഷണം ചെയ്യാനും ആക്രമണം നടത്താനും അവർക്ക് കഴിയും.
ഡാറ്റാബേസിന്റെ നിയന്ത്രണം നേടുന്നതിനും തന്ത്രപ്രധാനമായ വിവരങ്ങളിലേക്ക് പ്രവേശനം നേടുന്നതിനും ആക്രമണകാരികൾ ഡാറ്റാബേസ് കണക്ഷനിൽ ആക്രമണം നടത്തുന്നു.
ആപ്ലിക്കേഷന്റെ ബിസിനസ്സ് ലോജിക് കേടുപാടുകൾ കണ്ടെത്തുന്നതിനും ചൂഷണം ചെയ്യുന്നതിനും വെബ് ആപ്ലിക്കേഷനിൽ സംയോജിപ്പിച്ചിരിക്കുന്ന വെബ് സേവനങ്ങളെ ആക്രമണകാരികൾ ടാർഗെറ്റുചെയ്യുന്നു.
ആപ്ലിക്കേഷനിൽ ആക്രമണം നടത്താൻ അവർ വിവിധ സാങ്കേതിക വിദ്യകൾ ഉപയോഗിക്കുന്നു.