Amankan Aplikasi Web Anda Seperti Rumah Anda Sendiri

Cara mudah untuk melihat keamanan aplikasi web adalah dengan membayangkan rumah Anda sendiri. Memiliki pintu depan, pintu belakang, jendela, sejumlah kamar, atap, pagar batas dan rute akses yang berbeda. Hanya terminologi yang berbeda.
The Front Door.

• Pintu depan aplikasi web adalah halaman login dan, tidak mengherankan, itu adalah titik utama serangan. Sebuah halaman login akan terdiri dari kotak edit untuk mengetik nama pengguna dan password dan tombol untuk mengirim ini untuk server untuk otentikasi akses Anda ke seluruh aplikasi web. Beberapa halaman login dapat memberikan captcha untuk memastikan Anda adalah manusia dan bukan mock-up dari bentuk yang sama pada server yang berbeda. Mock-up bentuk akan siklus melalui variasi nama pengguna dan password sampai mendapatkan akses ke aplikasi. Hal ini dikenal sebagai cross-site pemalsuan dan mirip dengan pencuri menempa kunci rumah Anda.

• CAPTCHA adalah gambar campur aduk huruf acak dan angka yang membuat tidak mungkin untuk script otomatis untuk membaca. Sayangnya, karena script menjadi pintar dalam membaca gambar ini, gambar captcha perlu menjadi lebih kompleks dan sulit bagi manusia untuk membaca. Hal ini menyebabkan frustrasi bagi pengguna akhir karena mereka telah berulang kali mencoba gagal di mendapatkan akses ke akun mereka karena captcha yang terbaca. Solusi untuk ini adalah untuk mengganti captcha dengan tanda aman. Token aman dihasilkan saya bergabung dengan nama pengguna, kata sandi dan informasi pengguna lain yang tersedia dengan kunci yang dihasilkan unik. Rangkaian ini kemudian dienkripsi dan disimpan sebagai field tersembunyi dalam bentuk, sehingga tidak mungkin bagi setiap bentuk mock-up untuk membuat usaha login yang sukses.

• Windows dan Pintu Kembali.Apa jendela aplikasi web? Saya tidak bermaksud sistem operasi pada server. Aku sedang berbicara tentang potensi daerah masing-masing halaman yang dapat rusak untuk membuat masuk dengan paksa. Daerah ini adalah mengedit kotak dan area teks yang memungkinkan pengguna untuk mengetik informasi. Seorang penyerang akan menggunakan kotak edit dan area teks untuk memasukkan perintah yang database mengerti. Jika perangkat lunak tidak ditulis dengan aman maka sangat mudah untuk mengganggu database ketika menyimpan data, sehingga akan menjalankan perintah yang diberikan oleh penyerang. Serangan yang khas dapat mengakibatkan database dihancurkan, data yang dicuri atau informasi pengguna yang dikompromikan. Jenis serangan ini dikenal sebagai SQL injection.

• Pagar pembatas. Pagar batas halaman web link, daerah dapat diedit dan alamat URL utama. URL dari halaman itu sendiri dan link tertanam di halaman bisa disalin dan dimodifikasi dari situs lain sehingga perintah dapat dieksekusi oleh server. Kode Javascript dapat dimasukkan ke dalam wilayah yang dapat diedit untuk memaksa data yang akan diserahkan ke situs jahat atau untuk mendapatkan kontrol dari web browser pengguna. Perintah database juga dapat dimasukkan ke dalam alamat URL utama. Serangan ini dikenal sebagai cross-site scripting (XSS) serangan karena mereka skrip yang mengarahkan pengguna ke situs web penyerang sendiri. Serangan XSS dapat digunakan untuk mencuri pengenal sesi dikonfirmasi pengguna dan menggunakannya untuk meningkatkan tingkat akses account lain mereka telah dibuat.

• Untuk mencegah cross-site scripting, perangkat lunak harus memindai semua bidang yang dapat diedit untuk kode dan juga termasuk tanda aman di setiap URL dan tautan. Sama seperti lubang dan kesenjangan dalam pagar harus ditutup. Semua halaman aman harus memeriksa keberadaan pengguna dikonfirmasi.

• Peniruan.Kami memiliki semua penelepon rumah palsu berpengalaman yang mengaku sebagai orang gas atau perusahaan air mengatakan mereka perlu untuk mendapatkan akses ke rumah Anda untuk mematikan pasokan Anda. Penyerang situs web dapat menghubungi Anda atau pengguna lain situs Anda melalui email, jaringan sosial atau telepon dan menipu Anda agar mengungkapkan rincian login Anda. Alasan mereka mungkin bisa memberikan bahwa situs web Anda telah di-hack dan mereka dapat memperbaikinya jika Anda memberikan mereka akses. Satu-satunya pencegahan adalah terus-menerus mengingatkan pengguna bahwa mereka tidak harus mengungkapkan username dan password mereka kepada siapa pun dan bahwa Anda sebagai pemilik situs tidak akan pernah meminta mereka untuk mengungkapkan password mereka. Anda harus menyediakan link untuk memungkinkan pengguna untuk me-reset lupa password dengan mengirimkan link email dengan tanda terenkripsi untuk menjamin sumbernya.

• Entri kekerasan.Yang paling sederhana dan tercepat metode entri untuk setiap pencuri masuk ke rumah adalah dengan menggunakan linggis untuk hadiah membuka pintu, atau menghancurkan jendela dengan batu bata.Versi hi-tech dari metode ini adalah Denial of serangan Service (DoS). Sebuah serangan DoS melibatkan berulang kali menargetkan halaman web sampai web server kehabisan memori dan menutup diri ke bawah.

Sebagai jumlah pencuri berkurang, jumlah hacker meningkat. Seorang pencuri hanya mungkin setelah keuntungan finansial, di mana sebagai motivasi hacker bisa politik, keuangan atau hanya kerusakan berbahaya. Sebuah rumah tanpa perlindungan mungkin tidak pernah mendapatkan dirampok, tetapi merupakan kepastian bahwa situs web tidak aman akhirnya akan diserang.

Pasal Sumber: http://EzineArticles.com/?expert=Jake_Bourne

Pasal Sumber: http://EzineArticles.com/8592282