உங்கள் இணையத்தளம் எப்படி பாதுகாப்பானதாக உள்ளது - நீங்கள் உங்கள் இணையத்தள நிர்வாகியிடம் என்ன கேட்க வேண்டும்

வலைத்தளங்களினதும் இணைய பயன்பாடுகளினதும் அதிவேகவளர்ச்சியுடன் அங்கே இது சம்பந்தப்பட்ட அச்சுறுத்தல்களின் ஒருதொடர்புடைய வளர்ச்சியும் காணப்பட்டுவருகின்றது. அங்கீகரிக்கப்படாததகவல்களை அணுகுதல்,அடையாள திருட்டு,பிரதான வங்கியியல் மற்றும் கடன் அட்டை மோசடிகள் என்பனவற்றை இணையவெளி குற்ற நடவடிக்கைகள் உள்ளடக்குகின்றது. குறிப்பாக தனிப்பட்டகிளவுட் மற்றும் விற்பனையாளர் உறவு மேலாண்மை சமூகங்களின்வளர்ச்சியுடன் பாதுகாப்பற்ற வலைத்தளங்களிலிருந்து வரும் இடர்கள் ஒரு அதிகரித்த அளவில் முக்கியமான பிரச்சினையாக மாறிவிட்டன. பாதிப்புகள் பற்றிய எந்த ஒரு சிறந்தசரிபார்ப்பு பட்டியலும் இல்லாத போதும் கீழே விவரிக்கப்படுகின்ற OWASP10பட்டியல் அதனைதொடங்குவதற்கான ஒரு நல்ல வழியாக காணப்படுகின்றது. நீங்கள் ஒரு தலைவரோ,அல்லது ஒரு தலைமை நிர்வாக அதிகாரியோ என்றால்,உங்கள் வலை நிர்வாகியிடம் கேட்டு அவரதுபதில்களை வைத்து உங்கள் வலைத்தளத்தின் பாதுகாப்பு எப்படி உள்ளது என்பதனை மதிப்பீடு செய்ய சில கடினமான கேள்விகள் பின்வருகின்றன.

Q1:எனது இணையதளத்தின் வழியாக என் பின்தளத்தின் தரவுத்தளங்களை ஒரு கள்வன் அணுகுவதற்கு சாத்தியம் உள்ளதா?
இது ஒரு உட்செலுத்துதலின் ஊடாக அடிக்கடி நிகழ்கின்றது. எங்கே ஒரு தாக்குதலாளி ஒருதீங்கிழைக்கும் கட்டளையை தரவுகளை மாற்ற அல்லது நீக்க தரவுத்தளத்திற்கு ஒருதடைவினாமூலமாககடத்துகிறானோ அதன்போது இது நடைபெறுகின்றது. இதிலிருந்துபாதுகாக்க,சாத்தியமானால் பயனாளர் கொடுக்கப்பட்ட விருப்பங்களிலிருந்து தேர்ந்தெடுக்கவேண்டும், இல்லையெனில் பயனாளர் உள்ளீடு செய்யும் தரவானது, தீங்கிழைக்கும் குறியீடுபின்தளத்தின் தரவுத்தளத்தை அடைவதை தடுப்பதற்காக வடிகட்டப்பட்டதாக,சுத்தப்படுத்தப்பட்டதாக அமைய வேண்டும்.

Q2: பயனாளர்களை தாக்க என் வலைத்தளத்தினை பயன்படுத்த முடியுமா?
குறுக்கு எழுத்துரு, இது மிகவும் பரந்த பாதுகாப்பு குறைபாடுகளுள் ஒன்றாகும். இது ஒருதாக்குதலாளி ஒரு வலை வடிவத்தினுள் தீங்கிழைக்கும் ஜாவா எழுத்துரு அல்லது வேறுஎழுத்துரு மொழியை புகுத்தி ஒரு தளத்தினை இலக்குவைக்கும் போது நடைபெறுகினறது.ஒரு பயனாளர் பின்னர் அந்த தளத்தினை அணுகும் போது தீங்கிழைக்கும் குறியீடு அவரது கணினியில் செயல்படுத்தப்படுகின்றது, கோரிக்கைகளை உருவாக்குகின்றது.அது அவனிடமிருந்து தோற்றுவிப்பதற்காகவோ அல்லது தனிப்பட்ட தகவல்களை அவனிடமிருந்துதிருடுவதற்காகவோ தோன்றுகின்றது. பயனாளர் சமர்ப்பித்த உள்ளடக்கத்தினை வலைபக்கங்களில் காண்பிக்கும் முன்பு எப்போதும் விழிப்புடனும் மற்றும் வடிகட்டப்பட்டதாகவும் இருக்க வேண்டும்.சிறந்த பாதுகாப்பு என்னவென்றால் வலை பாதிப்பு வருடியைபயன்படுத்துவதாகும்.

Q3: பயனாளர் அமர்வு மேலாண்மை பாதுகாப்பானதா?
ஒரு பயனாளர் ஒரு தளத்தினை அணுகும் போது ஒரு அமர்வு அடையாளம் திறக்கும்.மற்றும்அமர்வு அடையாளங்கள் பொதுவாக செயல்திறன் காரணங்களுக்காக பயனர்வெளியேற்றினாலே அன்றி உடனடியாக காலாவதியாகுவதில்லை. அமர்வு அடையாளங்கள்,மற்றும் அங்கீகார தரவுகள் அதாவது கடவுச்சொற்கள் போன்றவை திருடப்பட்டலாம்.(அமர்வு அடையாளத்தை திருடுவது மற்றவைகளை சேதப்படுத்தியது போல ஆகும்). ஒரு மூன்றாவது நபரினால் செய்யப்படுகின்ற பொதுவான வழி ஒன்று என்னவென்றால்IPபொதிகளை'மோப்பமிடுதல்' அவைகளை பெறுவதனால் அவனது இயந்திரத்தினூடாக வழிப்படுத்த முடியும்.இது விரும்பதக்கது. என்னவென்றால் உருவாக்குபவர்கள் கட்டப்பட்ட ஒன்றை பயன்படுத்துவதை விட அங்கீகாரங்களையும், அமர்வு மேலாண்மை திட்டங்களையும் தான்முயற்சிசெய்து மற்றும் சோதனை பயன்படுத்துகிறார்கள்.

Q4: என் கோப்புகளில் உள்ள தரவுகளை இலக்கு வைக்க கள்வனால் முடியுமா?
ஒரு அமைப்பின் உள்ளக பொருட்களை உதாரணமாக ஒரு கோப்பு,அடைவு அல்லது தரவுத்தள அறிக்கைகள் என்பனவற்றை அதன் உண்மையான பெயரை வெளிப்புறநபர்கள்பயன்படுத்துவதால் அவர்களுக்கு அவை வெளிப்படுமானால் அவ்வேளை உள்ளக நேரடிபொருட் குறிப்புகள் ஏற்படும்.இந்த ஒரு சாதாரணமான மாற்றத்தினால் கள்வர்கள் பின்னர்தமக்கு அணுகுவதற்கு அதிகாரமில்லாத தரவை அணுகவோ அல்லது மாற்றவோ முடியும்.இந்த அனைத்து வளங்களையும் தவிர்க்க ஒரு பாதுகாப்பு நிலையை கொண்டிருக்கவேண்டும்.அத்துடன் ஒரு வளத்திற்கான அனைத்து அணுகுமுறைகளும் ஒரு குறிப்பிட்டபாதுகாப்பு நிலையை கொண்டிருப்பதுடன் அதே பாதுகாப்பு சோதனை ஊடாக செல்லவேண்டும்.பின்தள விண்ணப்பங்களின்போது கூட இரட்டை அணுகல் உரிமைகளை சரிபார்க்க வேண்டும். வலைத்தளங்கள் கட்டாயமாக பயனாளருக்கு ஒன்று அல்லது அமர்வுமறைமுகமான பொருட் குறிப்புகளுக்கு ஒன்று என பயன்படுத்தப்பட வேண்டும்.

Q5: தீங்கிழைக்கும் வெளியாட்கள் ஆள்மாறாட்டம் செய்து தளத்தின் பயனாளரை நம்பவைக்க முடியுமா?
இது,ஒரு குறுக்குத்தள கோரிக்கை மோசடி என்று அழைக்கப்படும்.இது ஒரு தளத்துடன் அதிக தொடர்புகளை கொண்டருக்கின்ற, அதனால் அவர்மீது தளத்திற்கு நம்பிக்கை உள்ள பயனாளரினால் தீங்கிழைக்கும் கட்டளைகளை அனுப்பும்போது ஏற்படுகின்றது. குறிப்பாககணினி நிர்வாகிகள் இந்த அச்சுறுத்தலினால் பாதிக்கப்படுகின்றார்கள்.தாக்குதலாளிகள் ஒருபோலியான வலைப்பக்கத்தினை உள்நுழைவதற்காக நிர்வாகிக்கு அனுப்புவார்கள்;பின்னர்அவர்கள் தளத்தினை முட்டாளாக்கி நிர்வாகியிடமிருந்து வருவது போல் கட்டளைகளைகொடுக்கவும் முடியும். இதிலிருந்து பாதுகாக்க ஒவ்வொரு அமர்விலும் ஒரு தனிப்பட்டஅடையாளத்தை சேர்க்கவேண்டும்.

Q6: ஒரு பாதுகாப்பான வழியில் கட்டமைக்கப்பட்ட வலைத்தளம் உள்ளதா? கெட்டியானதாக செய்யப்படுகிறதா?
பெரும்பாலான தளங்கள் பாதுகாப்பு கட்டமைப்பிற்காக வழக்கமாக WebLogic,Springபோன்ற சில வகையான கட்டமைப்புகளை அடிப்படையாக கொண்டுள்ளன. வழங்கப்பட்ட அனைத்துபாதுகாப்பு இணைப்புகளும் விரைவில் பயன்படுத்தப்பட வேண்டும்.மற்றும் சார்புகள் கூடதேதிவரை வைத்திருக்கப்பட வேண்டும். மென்பொருளில் உள்ள பாதுகாப்பு ஓட்டைகள்கள்வர்களுக்கு ஒரு சிறந்த வாய்ப்பை வழங்குகின்றன. இங்கே ஒரு ஆபத்து என்னவென்றால் உருவாக்குபவர்கள் ஒரு கணினியை இயங்கச்செய்வதற்காக அடிக்கடி பாதுகாப்பு சமரசங்களைஏற்படுத்த வேண்டி உள்ளது, அத்துடன் அவர்கள் தமது அமைப்பு போதுமான அளவிற்குகெட்டியானதானதாக இருப்பதை உறுதிப்படுத்தவும் வேண்டும்.

Q7: முக்கிய தரவுகள் பாதுகாப்பாக சேமிக்கப்பட்டிருக்கின்றதா?
பல பயன்பாடுகள் முக்கிய தரவுகளை கொண்டுள்ளன. கடன் அட்டை எண்கள் மற்றும் கடவுச்சொற்கள் போன்ற முக்கிய தரவுகளை அங்கீகரிக்கப்படாத அணுகல்களிலிருந்து பாதுகாக்க வேண்டும். அச்சுறுத்தல்களை தைரியமாக சந்திக்கும் அளவிற்கு இவ்வகையான அனைத்து தரவுகளும் ஒரு குறியாக்க நெறிமுறை மூலம் குறியாக்கப்பட வேண்டும்.குறியாக்கப்பட தரவுகளுக்கு அணுகலை வழங்கும் போது நீங்கள் கட்டாயம் எச்சரிக்கையுடன் இருக்க வேண்டும்.

Q8: என் தளத்திலிருந்து பயனாளர்களுக்கு வழங்கிய URLகளிலிருந்து ஏதாவது பாதுகாப்பிற்கு எதிரான ஆபத்து எழுமா?
URL இன் சார்ந்திருப்பும் ஒரு குறிப்பிட்ட பயனாளருக்கு ஆபத்தாக அமையும்.வேறுபயனாளர்கள் அதை ஒத்த மற்ற URLகளை ஊகித்து அவற்றிற்கு செல்லவும் அங்கிருந்து அங்கீகரிக்கப்படாத தரவுகளை அணுகவும் முயற்சிக்கும் போது இது நிகழ்கின்றது. இதை தடுப்பதற்காக URL ன் முன்தளத்தையும் பின்தளத்தையும் நன்கு சரிபார்த்து உறுதிப்படுத்தவேண்டும்.இது மாதிரியான அணுகல் கட்டுப்பாடுகள் வலை பயன்பாடுகளில் சுயாதீனமாக இருக்க வேண்டும்.

Q9: என் இணையதளத்தின் அனைத்து கூறுகளும் தேதிவரை இருக்கின்றதா?
மென்பொருள் கூறுகளான நூலகங்கள் மற்றும் கட்டமைப்புகள் கூட தாக்கத்தால் பாதிப்படைகின்றன.இது தரவு இழப்பையோ அல்லது கையகப்படுத்தலையோ ஏற்படுத்தும்.நீங்கள் மூன்றாம் நபர்களின் பாகங்களை பயன்படுத்துவதானால் அவை தேதிவரை உள்ளதாஎன்பதை உறுதிப்படுத்துங்கள். நீங்கள் ஒரு திறந்த மூல மென்பொருளை பயன்படுத்தினால் அது பாதிப்பை ஏற்படுத்தாதிருக்க சமீபத்திய பதிப்பை கொண்டிருப்பதை உறுதிப்படுத்துங்கள்.அவ்வகையான கூறுகளுடைய பாதுகாப்பு பொது தரவுத்தளங்கள் மூலமாகவும் பாதுகாப்புஅஞ்சல் பட்டியல் மூலமாகவும் கண்காணிக்கப்படல் வேண்டும்.

Q10: எனது தளத்தில் பயனாளர்கள் வழங்கிய இணைப்புகளை வைத்திருப்பதனால் ஏற்படும் ஆபத்துக்கள் எவை?
நேரடி பயனாளர்கள் அடிக்கடி இணைப்புகள் மூலமாக மற்ற வலைத்தளங்களுக்கோ அல்லது பக்கங்களுக்கோ செல்வதற்கான ஒரு வழி இணையதளங்கள் ஆகும். அத்துடன் அறியாமல் ஃபிஷிங்கிற்கோ (ஒரு போலி மின்னஞ்சல் ஒரு முறையானவர்களிடமிருந்து வந்தது போன்ற பொய்த்தோற்றத்தை கொண்டிருத்தல்) அல்லது தீம்பொருட் தளங்களுக்கோ செல்வதற்கு வழிப்படுத்தலாம். இதனை தவிர்க்க ஒரு சிறந்த வழி என்னவென்றால் வழிமாற்றுகளையோ மற்றும் முன்னோக்கிகளையோ பயன்படுத்துவதிலிருந்து விலகி இருத்தல் வேண்டும்.அவைகள் பயன்படுத்தப்படுகின்றன என்றால், கூடுமானவரை நீங்கள் பயனாளரால் தீர்மானிக்கப்பட்ட அளவுருக்களில் இருக்கின்ற இலக்கை தவிர்க்க வேண்டும். இலக்கு அளவுருக்கள் பயன்படுத்தப்படுகின்றன என்றால் அவைகள் பயனாளரால் அங்கீகரிக்கப்பட்டதா என சரிபார்த்து, உறுதிப்படுத்த வேண்டும்.

இணைய உலகமானது ஒரு தொடர்ச்சியாக உருவாகிவருகின்ற ஒன்று. அத்தடன் எந்தவொரு சரிபார்ப்பு பட்டியலும் முழுமையான பாதுகாப்பை கொடுக்க முடியாது அல்லது ஒரு குறிப்பிட்ட காலத்திற்கு மட்டுமே பொருத்தமானதாக இருக்கும். குற்றவாளிகள் கூட அனைத்து நேரங்களிலும் மிக சிறந்தவர்களாக காணப்படுகின்றார்கள். எனவே நீங்கள் தொடர்ந்து உங்கள் பாதுகாப்பு அமைப்பை மேம்படுத்துவதும், தேதி வரை வைத்திருப்பதும், வளர்ந்து வரும் பாதுகாப்பு சவால்களை விட்டு வெளியேறுவதும் இன்றியமையாததாக இருக்கிறது.

footerimage

Member of

logo apcertfirst logo-2

Collaborated with

apwg2ICTA logo2ack cymru

Our Partners
lanka-certify-logoDark-Lab-Logo2contact