פרסומת
ככל שהאינטרנט מתפתח והמערכות שהוא פועל הופכות להיות קשות יותר לפריצה, אפשר היה לחשוב שפחות אתרים ייפרצו! למעשה, ההפך הוא הנכון, כאשר הבעיה מספר אחת טמונה לא בתוכנה אלא בשאננות אנושית.
ברגע שמתגלה גרזן אפשרי, הוא יכול להתפשט כמו אש בשדה קוצים דרך קהילות ההאקרים, ולכן שמירה על האתר מעודכן וטיפול בחורי אבטחה סמויים היא ההגנה הטובה ביותר.
עם זאת, איך אתה יכול לדעת אם האתר שלך פגיע? זה המקום בו השירות החינמי HackerTarget.com מגיע ב.
מגבלות ובלבול רישום:
החשבונות החינמיים מאפשרים לך להפעיל עד 4 סריקות ביום, כאשר הסעיף היחיד הנוסף הוא שאתה לא יכול להשתמש בסריקות מסוימות עם כתובת דוא"ל חינמית כמו Hotmail, Yahoo או Gmail. למרות זאת, סריקת הוורדפרס זמינה לכולם.
שנית, אינך צריך להירשם בפועל - פשוט התחל סריקת אבטחה (שתואר בהמשך) ותקבל דוא"ל אוטומטי. בפעם הראשונה שתשתמש בשירות, דוא"ל זה יכיל קישור לאישור כתובת הדוא"ל שלך. לאחר שלחצת על קישור זה תצטרך להתחיל שוב סריקה. זה קצת מבלבל אבל כולנו מבוגרים, אז אני בטוח שנתגבר על זה.
איזה סוג סריקות אתה יכול לעשות:
השירות המדהים הזה מציע חבילה די מקיפה של סריקות אבטחה למעשה:
- וורדפרס / דרופל / ג'ומלה
- פרופיל דומיין
- סריקת WhatWeb
- טביעות אצבע BlindElephant
- סריקת שרת של Nikto
- מבחן הזרקת SQL
- סריקת פגיעות של OpenVAS
- סורק יציאת Nmap
אין לנו מקום להתייחס לכל הסריקה, ולכן היום אבדוק את סריקת האבטחה של WordPress, OpenVas ובדיקת הזרקת SQL.
סריקת אבטחה של וורדפרס:
לאחר השלמת סריקת הוורדפרס האוטומטית שלך תקבל דוח שהוצג יפה. בואו נראה מה זה אומר לך:
מידע על האתר
פעולה זו מציגה את גרסאות השרת הבסיסיות כמו גם את גרסת הוורדפרס שלך אם היא יכולה למצוא אותה. זה גם יגיד לך אם הוורדפרס שלך לא מעודכן. זה חשוב, מאחר ופגיעות אבטחה נמצאות בגירסאות ישנות יותר והפעלת סריקות אוטומטיות כמו אלה כל כך קלות, אתה יכול למצוא את עצמך במהירות היעד של פריצה.
קישורים לאתר ותסריטים
זה מראה על דו"ח של קישורים חיצוניים שנמצאים באתר שלך, כמו גם כל תוכנה זדונית שעלולה הוזרקה לאתר שלך בדף (או מובנה בעיצוב שלך!) - הקפד לבדוק את הרשימה ולבדוק אם אינך מבצע מיד לזהות.
מידע על אירוח
החלק האחרון מפרט מידע בסיסי אודות המארח שלך כמו גם אתרים אחרים החולקים את אותה ה- IP משלך.
מבחן הזרקת SQL:
פחות או יותר כל פריצות אחרונות תמונות של סוני מקוונות באמצעות פגיעות "פרימיטיבית ושכיחה", נתונים לא מוצפנים [חדשות]ביום חמישי בערב הודיעה קבוצת ההאקרים "LulzSec" באמצעות טוויטר כי הם קיבלו גישה ל- SonyPictures.com וגנבו למעלה ממיליון חשבונות, סיסמאות ומידע משתמש רגיש. זמן קצר לאחר שפורסמו החדשות, העתקים של ... קרא עוד על כך שמעתם בחדשות על ידי קבוצת האבטחה הידועה לשמצה Lulzsec בוצעו באמצעות מתקפת הזרקת SQL. בעיקרון פירוש הדבר שאפשר להפעיל פקודות SQL בשרת ישירות על ידי התאמת פרמטרי ה- URL או הזנתם לתיבת חיפוש. זה עובד מכיוון שמערכות רבות לא בודקות מה ניתן להן, הן פשוט יקראו אותו ישר פנימה. XKCD מסביר זאת טוב יותר!
עם כל מזל, דוח הדוא"ל שתקבל מבדיקת הזרקת SQL יהיה קצר ומתוק, ואומר שהוא לא מצא שום פגיעויות. וורדפרס נמצא לאורך השנים פגיעים, אך לרוב מדובר בתיקון ברגע שנמצא - כך שהשיעור הוא, כמו תמיד - תמיד להיות מעודכן.
סורק IP של OpenVAS:
זו עשויה להיות מעניינת יותר להפעלת כתובת ה- IP הביתית שלך (שתוכל למצוא בה whatismyipaddress.com), מכיוון שהוא בעצם סורק יציאה. זה יפרט את כל היציאות הפתוחות לעולם, המהוות רק עוד מסלול גישה שהאקר יגיע למחשב האישי שלך. ברגע שהאקר יודע לאילו פורטים פתוחים ולמה הם משתמשים, הם יכולים להתחיל לבדוק כל אחד מהם בתורו כדי למצוא נקודות תורפה. הפעל ב- IP הביתי שלך, אולי אפילו תמצא כמה תהליכים סוררים ששולחים בסתר דוא"ל ספאם.
אני מקווה שתנסו כמה מסריקות החינם המדהימות הללו, במיוחד אם אתם מנהלים בלוג ואתם חסרי מושג ביחס לכל עניין האבטחה. הייתי אומר לפרסם בחזרה לכאן אם תקבלו תוצאות מדאיגות, אך הדבר עשוי להפוך אתכם למטרה - עדיף שתפרסמו בעילום שם והשאירו את כתובת האינטרנט שלכם! האם ידוע לך על כלים דומים ידידותיים למשתמש, מקוונים בחינם (ואמינים) לביצוע סריקות אלה? שתף את הידע הזה!
אשראי תמונה: תריס סטוק
ג'יימס הוא בעל תואר ראשון בבינה מלאכותית, והוא מוסמך CompTIA A + ו- Network +. הוא המפתח הראשי של MakeUseOf, ומבלה את זמנו הפנוי במשחקי פיינטבול VR ומשחקי לוח. הוא בנה מחשבים אישיים מאז שהיה ילד.
