செமால்ட் நிபுணர்: ஒரு தளத்தைத் தாக்க ஹேக்கர்கள் பயன்படுத்தும் பொதுவான வழிகள்
ஹேக்கிங் என்பது சிறு மற்றும் பெரிய வணிகங்களை ஒரே மாதிரியாக எதிர்கொள்ளும் அச்சுறுத்தலாகும். உண்மையில், மைக்ரோசாப்ட், என்.பி.சி, ட்விட்டர், பேஸ்புக், Drupal மற்றும் ZenDesk போன்ற பெரிய நிறுவனங்கள் சமீபத்தில் தங்கள் வலைத்தளங்களை ஹேக் செய்துள்ளன. இந்த சைபர் குற்றவாளிகள் தனிப்பட்ட தரவைத் திருட விரும்புகிறார்களா, உங்கள் கணினியை மூட வேண்டுமா அல்லது உங்கள் வலைத்தளத்தின் கட்டுப்பாட்டை எடுத்துக் கொள்ள விரும்புகிறார்களா, ஒன்று தெளிவாக உள்ளது; அவை வணிகங்களில் தலையிடுகின்றன.
உங்கள் வலைத்தளங்கள் / அமைப்பில் ஊடுருவுவதற்கு ஹேக்கர் பயன்படுத்தக்கூடிய பின்வரும் தந்திரங்களை பரிசீலிக்க செமால்ட் மூத்த வாடிக்கையாளர் வெற்றி மேலாளரான ஆர்டெம் அப்காரியன் வழங்குகிறது.
1. ஒரு ஊசி தாக்குதல்
உங்கள் SQL நூலகம், SQL தரவுத்தளம் அல்லது OS இல் கூட ஒரு குறைபாடு இருக்கும்போது இந்த தாக்குதல் நிகழ்கிறது. உங்கள் ஊழியர்களின் குழு நம்பகமான கோப்புகளாக கடந்து செல்வதைத் திறக்கிறது, ஆனால் அவர்களுக்குத் தெரியாது, கோப்புகளில் மறைக்கப்பட்ட கட்டளைகள் (ஊசி) உள்ளன. அவ்வாறு செய்வதன் மூலம், கிரெடிட் கார்டு விவரங்கள், வங்கி கணக்குகள், சமூக பாதுகாப்பு எண் போன்ற ரகசிய தரவுகளுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெற அவை ஹேக்கை அனுமதிக்கின்றன.
2. ஒரு குறுக்கு தள ஸ்கிரிப்டிங் தாக்குதல்
உலாவி சாளரத்திற்கு ஒரு கோப்பு பாக்கெட், பயன்பாடு அல்லது ஒரு URL 'கோரிக்கையைப் பெறு' அனுப்பும்போது XSS தாக்குதல்கள் நிகழ்கின்றன. தாக்குதலின் போது, ஆயுதம் (குறிப்பிடப்பட்ட மூன்றில் ஏதேனும் இருக்கலாம்) சரிபார்ப்பு செயல்முறையைத் தவிர்க்கிறது என்பதை நினைவில் கொள்க. இதன் விளைவாக, அவர்கள் முறையான வலைப்பக்கத்தில் வேலை செய்கிறார்கள் என்று நினைத்து பயனர் ஏமாற்றப்படுகிறார்.
3. உடைந்த அங்கீகாரம் மற்றும் அமர்வு மேலாண்மை தாக்குதல்
இந்த வழக்கில், ஹேக்கர் பலவீனமான பயனர் அங்கீகார அமைப்பைப் பயன்படுத்த முயற்சிக்கிறார். இந்த அமைப்பு பயனர் கடவுச்சொற்கள், அமர்வு ஐடிகள், முக்கிய மேலாண்மை மற்றும் உலாவி குக்கீகளை உள்ளடக்கியது. எங்காவது ஒரு ஓட்டை இருந்தால், ஹேக்கர்கள் உங்கள் பயனர் கணக்கை தொலைதூர இடத்திலிருந்து அணுகலாம், பின்னர் அவர்கள் உங்கள் நற்சான்றுகளைப் பயன்படுத்தி உள்நுழைகிறார்கள்.
4. கிளிக் ஜாக் தாக்குதல்
ஒரு விஷயத்தை சந்தேகிக்காமல் மேல் அடுக்கைக் கிளிக் செய்வதில் பயனரை ஏமாற்ற ஹேக்கர்கள் பல, ஒளிபுகா அடுக்குகளைப் பயன்படுத்தும் போது கிளிக் ஜாக்கிங் (அல்லது UI- நிவாரண தாக்குதல்) நிகழ்கிறது. இந்த வழக்கில், உங்கள் வலைப்பக்கத்திற்கான ஹேக்கர் 'ஹைஜாக்ஸ்' கிளிக்குகள். உதாரணமாக, ஐஃப்ரேம்கள், உரை பெட்டிகள் மற்றும் நடைதாள்களை கவனமாக இணைப்பதன் மூலம், ஒரு ஹேக்கர் பயனரை அவர்கள் கணக்கில் உள்நுழைகிறார்கள் என்று நினைப்பதற்கு வழிவகுக்கும், ஆனால் உண்மையான அர்த்தத்தில், இது ஒரு கண்ணுக்கு தெரியாத சட்டமாகும், இது ஒரு உள்நோக்கத்துடன் யாரோ ஒருவரால் கட்டுப்படுத்தப்படுகிறது.
5. டி.என்.எஸ் ஸ்பூஃபிங்
நீங்கள் மறந்துவிட்ட பழைய கேச் தரவு வந்து உங்களைத் தொந்தரவு செய்யக்கூடும் என்பது உங்களுக்குத் தெரியுமா? சரி, ஒரு ஹேக்கர் டொமைன் பெயர் அமைப்பில் ஒரு பாதிப்பை அடையாளம் காண முடியும், இது ஒரு முறையான சேவையகத்திலிருந்து போலி வலைத்தளம் அல்லது சேவையகத்திற்கு போக்குவரத்தை திசை திருப்ப அனுமதிக்கிறது. இந்த தாக்குதல்கள் தங்களை ஒரு டிஎன்எஸ் சேவையகத்திலிருந்து இன்னொருவருக்குப் பரப்பி, அதன் பாதையில் எதையும் ஏமாற்றுகின்றன.
6. சமூக பொறியியல் தாக்குதல்
தொழில்நுட்ப ரீதியாக, இது ஹேக்கிங் அல்ல. இந்த விஷயத்தில், ஒரு வலை அரட்டை, மின்னஞ்சல், சமூக ஊடகங்கள் அல்லது எந்தவொரு ஆன்லைன் தொடர்பு மூலமாகவும் நீங்கள் ரகசிய தகவல்களை நல்ல நம்பிக்கையுடன் கூறுகிறீர்கள். இருப்பினும், இங்குதான் ஒரு சிக்கல் வருகிறது; ஒரு முறையான சேவை வழங்குநர் என்று நீங்கள் நினைத்தது ஒரு சூழ்ச்சியாக மாறும். ஒரு சிறந்த உதாரணம் "மைக்ரோசாப்ட் தொழில்நுட்ப ஆதரவு" மோசடி.
7. SYMlinking (உள்ளே தாக்குதல்)
சிம்லிங்க்ஸ் என்பது சிறப்பு கோப்புகள், அவை ஒரு கடினமான இணைப்பை "சுட்டிக்காட்டும்" ஒரு ஏற்றப்பட்ட கோப்பு முறைமைக்கு அருகில் உள்ளன. இங்கே, ஹேக்கர் மூலோபாயமாக சிம்லிங்கை நிலைநிறுத்துகிறார், அதாவது பயன்பாடு அல்லது இறுதிப் புள்ளியை அணுகும் பயனர் அவர்கள் சரியான கோப்பை அணுகுவதாகக் கருதுகின்றனர். இந்த மாற்றங்கள் கோப்பு அனுமதிகளை சிதைக்கின்றன, மேலெழுதும், சேர்க்க அல்லது மாற்றும்.
8. குறுக்கு தள கோரிக்கை தாக்குதல்
பயனர் தங்கள் கணக்கில் உள்நுழைந்தால் இந்த தாக்குதல்கள் நிகழ்கின்றன. தொலைதூர இடத்திலிருந்து ஒரு ஹேக்கர் உங்களுக்கு போலி HTTP கோரிக்கையை அனுப்ப இந்த வாய்ப்பைப் பயன்படுத்தக்கூடும். இது உங்கள் குக்கீ தகவலை சேகரிக்கும். நீங்கள் உள்நுழைந்திருந்தால் இந்த குக்கீ தரவு செல்லுபடியாகும். பாதுகாப்பாக இருக்க, உங்கள் கணக்குகளுடன் முடிந்ததும் எப்போதும் வெளியேறவும்.
9. ரிமோட் கோட் மரணதண்டனை தாக்குதல்
இது உங்கள் சேவையகத்தில் உள்ள பலவீனங்களை பயன்படுத்துகிறது. தொலை அடைவுகள், கட்டமைப்புகள், நூலகங்கள் மற்றும் பயனர் அங்கீகார அடிப்படையில் இயங்கும் பிற மென்பொருள் தொகுதிகள் போன்ற குற்றவியல் கூறுகள் தீம்பொருள், ஸ்கிரிப்ட்கள் மற்றும் கட்டளை வரிகளால் குறிவைக்கப்படுகின்றன.
10. டி.டி.ஓ.எஸ் தாக்குதல்
விநியோகிக்கப்பட்ட சேவை தாக்குதல் மறுப்பு (DDOS என சுருக்கமாக), இயந்திரம் அல்லது சேவையக சேவைகள் உங்களுக்கு மறுக்கப்படும் போது ஏற்படுகிறது. இப்போது நீங்கள் ஆஃப்லைனில் இருக்கும்போது, வலைத்தளத்துடன் ஹேக்கர்கள் டிங்கர் அல்லது ஒரு குறிப்பிட்ட செயல்பாடு. இந்த தாக்குதலின் நோக்கம் இதுதான்: இயங்கும் அமைப்பை குறுக்கிடவும் அல்லது எடுத்துக் கொள்ளவும்.