מלאו שם וכתובת מייל ואנו נשלח לכם את הספר "הסודות של חברות האיחסון" במתנה

התחבר עם פייסבוק

היום, יום רביעי, 15.6.11, נכתב באתר YNET שמארגני המשט התורכי שוקלים לבטלו. למרות הודעה "דרמטית" זו, החלטנו להעלות את הפוסט הזה, כי ידוע שכל המציל אתר אחד, כאילו הציל את האינטרנט כולו :).

הפעם אנחנו רוצים לדבר על נושא אבטחת אתרים, סוגים שונים של פריצות לאתרים, וכיצד ניתן למנוע פריצות אלה (רמז: חפשו את מספר הטלפון או כתובת המייל של בונה האתר שלכם).

אחת לתקופה אנו חווים "מכת פריצות" לאתרי אינטרנט. אותן פריצות יכולות לבוא לידי ביטוי בהשחתת פני האתר, פריצה למסדי הנתונים של האתר ועד הפלת שרתי האיחסון עצמם.

השחתת פני האתר
פריצה מסוג זה אינה מוחקת את האתר או מפילה אותו מהרשת, אלא משנה את תכניו. לרוב, שינויים אלה כוללים את החלפת העמוד הראשי של האתר בעמוד שמכיל טקסט, בדרך כלל בסגנון "This Site Was Hacked By...." עם תמונה של דגל הלאום של הפורץ, או תמונה מאיזה עימות מדמם.
הנזק של פריצות מסוג זה הוא נזק תדמיתי לבעל האתר שנפרץ, אך למרבה הפלא לא דרושה מומחיות רבה כדי לבצע אותה, ורשת האינטרנט מלאה באתרים המסבירים כיצד לבצע אותה. בנוסף, הגורמים המבצעים פריצות מסוג זה, משתמשים לרוב בקודים מוכנים מראש, בלי להבין אפילו מה הקודים עושים בפועל.

הזרקת SQL
פריצות מסוג זה משתמשות בנקודות התורפה בקוד האתר כדי לחדור למסדי הנתונים שלו, לשנות בו נתונים, לגנוב ממנו נתונים, ולעיתים אף למחוק את תוכנו לחלוטין.
סוג פריצה זה חמור יותר מהסוג הקודם, כיוון שלעיתים לא ניתן לשחזר את התוכן שהיה במסד הנתונים לפני הפריצה, דבר שעלול לגרום נזק רב לבעלי האתר. עם זאת, חשוב לציין שאתרים שאינם משתמשים במסדי נתונים, יהיו לרוב חסינים מפני סוג זה של פריצה.

גניבת פרטים
בסוג זה של פריצה, הפורץ גונב מבעלי הגישה המורשים את פרטי הגישה לממשקי הניהול של האתר או חשבון האיחסון, בדרך כלל ע"י גניבת קבצי COOKIES או תוכנות רוגלה שהושתלו במחשבו.

אז איך ניתן להתגונן מפני פריצה לאתר?
נתחיל בחדשות הרעות: רוב הסיכויים שלא ניתן למנוע בצורה מוחלטת את האפשרות לפרוץ לאתר האינטרנט. מה שכן ניתן לעשות זה להקטין את הסיכוי, לרוב כמעט לחלוטין, לפריצה והשחתת האתר.

כדי למנוע פריצה מסוג של גניבת פרטים, מומלץ בהחלט לשמור את פרטי הגישה לממשקי הניהול של האתר במקום בטוח ולא לחלוק אותם עם אנשים אחרים. בנוסף, מומלץ מאוד להתקין תוכנת ANTISPYWARE במחשב, שתזהה ניסיונות פריצה.

פריצות משני הסוגים הראשונים הן לטיפול בונה האתר.
בונה האתר (או מתכנת האתר) צריך לדאוג שלא ניתן יהיה לשתול קודים בשדות הקלט המפוזרים ברחבי האתר. שדות הקלט מופיעים בטפסי יצירת הקשר ובטפסים אחרים שמופיעים באתר ומבקשים מהגולש להזין פרטים כאלה ואחרים.
בעזרת מספר שורות קוד, בונה האתר יכול למנוע את האפשרות להרצת סוגים שונים של תווים באותם שדות קלט. דוגמא לתווים שמומלץ מאוד למנוע היא התווים <>. תווים אלה מופיעים בתגי HTML, ורוב הסיכויים שאין צורך ממשי (למעט הרצון להרע) להזין אותם בטפסי האתר.

אנו ממליצים לכם לגשת לבונה האתר שלכם ולבקש ממנו לבדוק שהקוד שלו מאובטח מספיק כדי למנוע פריצות והשחתת האתר שלכם.

אם קיבלתם את הקישור הזה מחבר, ואתם מעוניינים לקבל מאיתנו עדכונים על פוסטים נוספים, ונושאים אחרים הקשורים לאינטרנט ולשיווק באינטרנט, הינכם מוזמנים לבקר בכתובת http://secrets.siteam.co.il למלא את שמכם וכתובת המייל שלכם, ואפילו לקבל מאיתנו מתנה :)