Izicelo zeWebhu zokuSebenzisa iiWebhu

Ukusetyenziswa kwewebhu ziinkqubo ezivumela abasebenzisi ukuba basebenzisane neeseva zewebhu. Ziqhutywa kwiibhrawuza zewebhu ngoncedo lwabathengi- kunye nezikripti ezisecaleni kweseva.

Uyilo lwesicelo sewebhu siquka:

  • Umxhasi / umaleko wentetho
  • Uluhlu lwengcinga yeshishini
  • Uluhlu lwedatha

Umxhasi / umaleko wentetho uqukethe izixhobo apho isicelo sisebenza khona. Ezi zixhobo zibandakanya iilaptops, iipilisi, ii-smartphones, njl.


Uluhlu lwelogic lweshishini lineendlela ezimbini:


  • Uluhlu lwe-log-server logic equlathe izinto ezijongana nezicelo kunye neempendulo, kunye nekhowudi efundayo kwaye ibuyisele idatha kwisikhangeli



  • Uluhlu lwengcinga yeshishini enedatha yesicelo

Uluhlu lwedatha luqulathe umaleko we-B2B kunye neseva yedatha apho kugcinwa khona idatha yombutho.



Ukusongelwa kwesicelo sewebhu kunye nokuhlaselwa

I-OWASP yindawo evulekileyo yoluntu enikezelwe kwimibutho eyenza ukuba ikhulelwe, iphuhle, ifumane, isebenze kwaye igcine izicelo ezinokuthenjwa.

Iprojekthi ye-OWASP ephezulu ye-10 ivelisa uxwebhu oluchaza izisongelo zokhuselo zesicelo ezili-10.


Uxwebhu lwamva nje luluhlu lwezi zisongelo zokhuselo ziphezulu zilandelayo:

Inaliti

Uhlaselo lwenaliti luhlaselo apho umhlaseli ahlasele idatha enobungozi kwimiyalelo nakwimibuzo ethi yenziwe kwisicelo.

Olu hlaselo lujolise kwimihlaba yokufaka okanye iindawo zokungena zesicelo kwaye vumela abahlaseli ukuba bakhuphe ulwazi olubuthathaka.

Olona hlaselo luqhelekileyo lusetyenziswayo zezi:


  • Inaliti ye-SQL Luluhlaselo apho umhlaseli ahlasele imibuzo enobungozi ye-SQL kwisicelo
  • Myalelo wenaliti luhlaselo apho umhlaseli afake imiyalelo enobungozi kwisicelo
  • Inaliti ye-LDAP luhlaselo apho umhlaseli ahlasele ingxelo ye-LDAP enobungozi kwisicelo

Ungqinisiso olwaphulwe

Ukuqinisekiswa okwaphukileyo kubhekisa kwizisongelo kunye nokuba semngciphekweni kuqinisekiso kunye nolawulo lweseshoni.

Abahlaseli baxhaphaza obu bungozi ukuze bazenze iithagethi zabo.

Ezinye zezinto ezikhoyo ezisengozini zibandakanya:

  • Ii-ID zeseshoni kwii-URLs
  • Amagama agqithisiweyo angabhalwanga
  • Misela ixesha lokuphuma ngokungalunganga

Ukuvezwa kwedatha ebuthathaka

Isoyikiso sokuvezwa kwedatha ebonakalayo senzeka kwizicelo ezisebenzisa ikhowudi yokubethela ebuthathaka yokubethela idatha kunye nokugcina.


Obu bungozi benza ukuba abahlaseli bakwazi ukuqhekeka ngokufihlakeleyo ukubamba idatha.

Iqumrhu langaphandle leXML

Uhlaselo lwangaphandle lweXML luhlaselo apho umhlaseli asebenzise ithuba elingakhange lisetyenziswe kakuhle leXML ebangela ukuba isicelo sibonakalise igalelo leXML livela kumthombo ongathembekanga.

Ulawulo lokuFikelela olwaphulwe

Ulawulo lofikelelo olophukileyo lubhekisa kwizoyikiso kunye nokuba sesichengeni kulawulo lokufikelela. Abahlaseli baxhaphaza obu buthathaka ukuze baphephe ukuqinisekiswa kwaye bafumane amalungelo olawulo.

Ukulungiswa kokungalunganga

Ukucwangciswa kokungalunganga kokukhuseleka kubhekisa kukungakhuseleki okukhoyo kwizicelo ezinesitaki sesicelo esingalunganga


Ezinye zeengxaki ezibangela ukuba semngciphekweni wokungazinzi kokhuseleko kubandakanya:

  • Iindawo zokufaka ezingavunyelwanga
  • Ifom kunye nokusetyenziswa gwenxa kweparameter
  • Ukuphathwa kakubi kwempazamo

Isikripthi esinqamlezayo (XSS)

Ukuhlaselwa kwe-Cross-Site Scripting kukuhlaselwa apho umhlaseli afake izikripthi kumaphepha ewebhu aqhutywa kwinkqubo ekujoliswe kuyo.

Ukhuseleko lweLizwe

Ukungafuneki kokungafuneki kubhekisa kwimeko yokuba sesichengeni apho abahlaseli baxhaphaza ngokujova ikhowudi eyingozi kwidatha ebhaliweyo ethi ithunyelwe kugqaliso.

Ngenxa yokungakhuseleki kokubekwa emngciphekweni, idatha enobuchwephesha yenziwe yenziwa ngaphandle kwekhowudi enobungozi, evumela umhlaseli ukuba afumane ukufikelela okungagunyaziswanga kwinkqubo.

Sebenzisa iiComputer ezinobungozi obaziwayo

Sebenzisa izinto ezinobungozi obaziwayo kuvumela abahlaseli ukuba babaxhaphaze kwaye benze uhlaselo.

Ukungena nokuBeka esweni okungonelanga

Ukuloga okungonelanga kunye nokubeka iliso kwenzeka xa usetyenziso lusilele ukungena kwimicimbi enobungozi kunye nemisebenzi. Oku kubangela ubunzima ekufumaneni uhlaselo kwinkqubo.



Indlela yokuqhekeza

Isicelo seWebhu sokuSebenzisa iWebhu sibonelela abahlaseli ngamanyathelo ekufuneka elandelwe ukwenza uhlaselo oluyimpumelelo.

La manyathelo ngala:

IziBonelelo zeWebhu

Ukuboniswa kwewebhu kulwakhiwo lwezixhobo zoncedo kunceda umhlaseli aqokelele ulwazi malunga nesiseko sewebhu ekujolise kuso kwaye achonge ubungozi obunokuthi busetyenziswe.

Kule nkqubo, umhlaseli wenza:

  • Ukufunyanwa kweserver ukuze ufunde malunga neeseva ezibamba usetyenziso
  • Ukufunyanwa kwenkonzo ukumisela ukuba yeyiphi inkonzo enokuhlaselwa
  • Ukuchongwa kweseva ukuze ufunde ulwazi malunga neseva efana nohlobo kunye nokwenza
  • Ukufunyanwa komxholo ofihliweyo ukufumanisa imixholo efihliweyo

Uhlaselo lweseva yeWebhu

Ulwazi oluqokelelwe kumanyathelo okunyathela luvumela abagxeki ukuba bayihlalutye, bafumane ubungozi bokuxhaphaza, kwaye basebenzise iindlela ezahlukeneyo zokwenza uhlaselo kwiseva.

Uhlalutyo lwesicelo sewebhu

Abahlaseli bahlalutya usetyenziso lwewebhu ekujoliswe kuyo ukuze babone ubungozi bayo kwaye babaxhaphaze.

Ukuqhekeza usetyenziso, abahlaseli kufuneka:

  • Chonga iindawo zokungena kwigalelo lomsebenzisi
  • Chonga iiteknoloji ezisecaleni kweseva ezisetyenziselwa ukuvelisa amaphepha ewebhu anamandla
  • Chonga ukusebenza kwecala lomncedisi
  • Chonga iindawo zokuhlaselwa kunye nobuthathaka obudibeneyo

ICandelo laBathengi kuLawulo lokuThintela

Abahlaseli bazama ukudlula ngakwicala lolawulo lwabasebenzisi begalelo kunye nonxibelelwano.

Ukugqithisa ulawulo lwecala lomxhasi, abahlaseli bazama:

  • Ukuhlaselwa kweendawo ezifihliweyo zefom
  • Ukuhlaselwa kwezandiso zebrawuza
  • Ukuphonononga ikhowudi yemvelaphi

Uqinisekiso lokuhlaselwa

Abahlaseli bazama ukuxhaphaza ubungozi obukhoyo kwiinkqubo zokungqinisisa.

Ngokuxhaphaza obo buthathaka, abahlaseli bayakwazi ukwenza:

  • Ukubonakaliswa kwegama lomsebenzisi
  • Uhlaselo lwegama eligqithisiweyo
  • Ukuhlaselwa kweseshoni
  • Ikuki esebenzayo

Ukuhlaselwa koGunyaziso

Uhlaselo lokugunyaziswa luhlaselo apho umhlaseli afikelela kwisicelo ngeakhawunti esemthethweni enamalungelo athile kwaye emva koko asebenzise loo akhawunti ukunyusa amalungelo.

Ukwenza uhlaselo logunyaziso, umhlaseli usebenzisa le mithombo ilandelayo:

  • INTIYO
  • Ipharamitha yokuthintela
  • POSA idatha
  • Izihloko ze-HTTP
  • Iicookies
  • Iimpawu ezifihliweyo

Ufikelelo kuhlaselo lolawulo

Abahlaseli bahlalutya iwebhusayithi ekujoliswe kuyo ukuzama ukufunda iinkcukacha malunga nolawulo lokufikelela olusetyenzisiweyo.

Ngexesha lale nkqubo, abahlaseli bazama ukufunda malunga nokuba ngubani onokufikelela kweziphi iiseti zedatha, ngubani na kwinqanaba lokufikelela, kunye nendlela yokunyusa amalungelo.

Uhlaselo loLawulo lweSeshoni

Abahlaseli baxhaphaza ubungozi ekuqinisekiseni nasekulawuleni iiseshoni ukuzenza iithagethi zabo.

Inkqubo yokuvelisa ithokheni yeseshoni esebenzayo inamanyathelo amabini:

  • Uqikelelo lwethokheni yeseshoni
  • Ukuthintela ithokheni yeseshoni

Ngomqondiso osemthethweni, abahlaseli bayakwazi ukwenza uhlaselo olunjenge-MITM, ukuxhwilwa kweseshoni, kunye nokubuyiselwa kweseshoni.

Ukuhlaselwa ngenaliti

Abahlaseli basebenzise igalelo elingavumelekanga lokufaka imibuzo kunye nemiyalelo enobungozi.

Ukusetyenziswa kweLogic yokuXhatshazwa

Izakhono zokufaka iikhowudi kakubi zinokwenza ukuba isicelo sibe sesichengeni ngenxa yeempazamo zalo. Ukuba umhlaseli uyaphumelela ekuchongeni iziphene ezinjalo, baya kuba nakho ukuxhaphaza kwaye baqalise uhlaselo.

Ukuhlaselwa koVimba weDatha

Abahlaseli benza uhlaselo kunxibelelwano lwedatha ukuze bafumane ulawulo kwiziko ledatha kwaye ke ngaloo ndlela bafumane ukufikelela kulwazi olubuthathaka.

Ukuhlaselwa kweenkonzo zewebhu

Abahlaseli bajolise kwiinkonzo zewebhu ezidityanisiweyo kwisicelo sewebhu ukufumana nokuxhaphaza ubungozi besicelo sokusebenza.

Baye basebenzise iindlela ezahlukeneyo ukwenza uhlaselo kwisicelo.