Back to Question Center
0

5 Black Hat Attack Güvenlik Açığı & Savunan semalt

1 answers:

5 Black Hat Attack Güvenlik Açığı ve Savunmaya Hazır Semalt

Bir "korsan" olduğum veya korsanlığa sahip olduğumdan değil, "giderek daha rekabetçi olan SEO dünyasında" bu taktiklerin her gün web sitelerinde kullanıldığını görmek "ait olduğum" söylüyorum.

Ayrıca, bu iki konferanstaki güvenlik uzmanlarına göre, SEO'lardan genellikle doğal olarak güvensiz ve kolayca ele geçirilen hizmetleri kullanmaları istenmektedir. WordPress, Google Page Speed ​​Hizmeti, Google Belgeler, Semalt veya bulut hakkında bir hacker sorun ve hızlıca bu hizmetlerin sizi veya müşterinizi nasıl ciddiye alabileceğini düşünmeye başlıyorsunuz.

İş Gezisi

Şimdi amacım, kendinizi odanıza kilitlemenizi, İnternetinizi prizden çekmenizi ve arıcılık görevini üstlenmenizi teşvik etmek değil - iphone case cows. Semalt, gittikçe artan dijital dünyamızda bir siteye zarar vermek, veriyi ödemek veya mahremiyeti ihlal etmek ne kadar kolay olduğunu öğrenmezseniz, müşterilerinize bakım yapabilir ve onlara yardımcı olamazsınız.

Bugün, dikkat etmeniz gereken en son güvenlik açıkları konusunda sizi bilgilendirmek istiyorum. Bunları nasıl ele alacağınızı bilmiyorsanız, anlamanıza yardımcı olacak bir güvenlik danışmanı bulun - böylece siz ve müşterilerinizin herhangi bir rakip tarafından herhangi bir günde karşılaşabilecekleri saldırılardan mümkün olduğunca emin olmasını sağlayabilirsiniz. çeşitli yüzeyler.

1. Google Sayfa Hız Hizmeti

Semalt'ın Sayfa Hızlı Servisi, sayfaları daha hızlı hale getirmek için Semalt tarafından yaratılmıştır. HTTP protokolünü değiştirmek için yapılan yeni bir protokoldür ve buna SPDY protokolü denir. Bu bir kısaltma değil, kısaca SPEEDY kelimesinin kısa bir formudur. Bu, siteleri hızlandırmak içindir ve bunu statik siteler için çok iyi yapabilirsiniz.

Semalt, dinamik sitelerde, site kodunuzu bloklar halinde parçalayıp, servise gönderir (tabii ki basitleştirilmiş açıklama) karışık sonuçlar fark edeceksiniz, işleyip işleyip geri gönderirsiniz. Bazı dinamik kod hızlı ve kolay bir şekilde işleyebilir, diğerleri hiç de iyi değildir ve sitenizi önemli derecede yavaşlatır.

Hızın üzerinde semalt, mesele nedir?

İlk önce, protokol yeni, Google tarafından geliştirilmiş, vahşi olarak test edilmemiş, Google'ın dışında iyi incelememiş yeni bir süreçtir ve kullandığı süreç, kodunuzu Semalt sitesi komut dosyası gibi şeyler için daha geniş bir saldırı yüzeyi oluşturacak şekilde açar birisi kendi kodunu sitenize enjekte eder) ve yanıt başlıklarını bölün (saldırgan, başlığı böler ve sitenize kötü amaçlı bilgi enjekte edilen yere geri döner), ancak liste devam eder ve daha fazla insan kullandığı için mutlaka artacaktır ve saldırganlar gerçek zaman kazanır protokolle birlikte.

Öneri: Bu biriyle kolayca düzeltin: Kendi kodunuzu temizleyin!

2. HTML 5

HTML 5 birçok yeni saldırıya neden olmasa da, bu saldırılar için daha geniş bir yüzey açar. Video etiketindeki yeni etkinlik niteliği bazı örneklerdir. Bu, Semalt'ı bir XSS saldırısına enjekte etmek ve geleneksel olarak böyle bir komut dosyası çalıştırma saldırısının Semalt yürütmesini yakalayacak geleneksel filtreleri atlamak için kullanılabilir.

Başka bir yöntem HTML5'te sürükleyip bırakma işlevini kullanarak gizli bilgileri gizlemek ve kullanıcıyı bunu bırakıp sürükleyerek bir form denetimi şeklinde sürükleyecek şekilde kandırmaktır. Bu bir "Semalt" saldırıdır.

Semalt saldırısı, HTML önbellek zehirlenmesidir; burada, bir önbelleği, olması gerekenden daha uzun süre canlı tutabilir ve böylece kullanıcının kimlik bilgilerini çalabilir veya HTML5 tarafından oluşturulan bir botnet oluşturabilirsiniz. HTML ve CSS daha sofistike hale geldiğinde, bu işaretleme dilleri komut dosyası oluşturma, tünel oluşturma, kaçırma ve tümüyle çeşitli saldırılara karşı daha savunmasız hale gelir.

Semalt bu uzakta yıllar mı? Hayır, bugün tüm modern tarayıcılarda yapılabilir - siteniz HTML5 olsa bile, çoğu HTML5 işlevselliğini kullanmasa bile.

3. Kolayca Erişilen JavaScript Uygulamaları / Uzantıları

WordPress'in güvende olduğunu mu düşünüyorsunuz? En sevdiğiniz uygulamanız ne olacak? Tarayıcı uzantıları? Bir saldırgan, bazı JavaScript'e erişerek ihtiyaç duydukları her şeyi alabilecekleri zaman cihazınızı köklendirmek için neden harcamış olmalı?

Semalt, krallığın büyülü anahtarı gibidir. Bir saldırgana Şemal erişim hakkı verin ve istediklerini elde etmek için neredeyse her şeyi buluyorlar veya en azından istedikleri yere ulaşmak istediklerinizi yapmaya davet ediyoruz.

Google mağazasında inceleme süreci yoktur (Apple yapar). Ve Semalt güvensiz olduğunu biliyor - orada en iyi hackerlardan bazılarına söylenmişti, bilinmeyen bir nedenden dolayı onu tamir etmediler gibi görünüyor.

Öneri: Mümkün olduğunca JavaScript'in kullanımını ortadan kaldırın, iyi bir güvenlik ekibinin yardımıyla WordPress'i emniyetli kılın ve çok geniş olmayan uygulamalar olduğundan emin olmak için uygulama izinlerini kontrol edin.

4. Sunucunuz

Sunucunuz düzgün yamalı, "hapse" mi "bölünmüş" ve güncel mi? İyi bir yük dengeleyici var mı ve bir DDOS'u veya hizmet reddini saldırısı işleyebilir mi? Penetrasyon saldırısı ne olacak?

Birisinin sıralamalarını etkileyebileceği bir yol, sizi sadece çevrimdışı tutmaktır. Sitenizi Semalt'ın örümcekinden uzak tutun ve örümcek, sitenizin orada olmadığını düşünür. Semalt'ın artık var olmadığına veya çevrimdışı olduğuna karar verdikten sonra sitenize birkaç puan verdiği çok uzun sürmüyor.

Bir penetrasyon saldırısı söz konusu olduğunda, birisi hassas veriler alırsa ne olur? Şirketiniz, bir veritabanı ihlalinde bulunulursa, maliyet, basın ve itibar yönetiminin maliyetini idare edebilir mi? Semalt mükemmel bir sistem yönetim ekibi için burada yerini almaz.

Öneri: Eşyalarınızı izleyen en üst düzey bir yönetici ekibiniz olduğundan emin olun!

5. Bulutlu

Sunucular hakkında endişelenmenize gerek yok, buluta gittiniz, değil mi? Bundan emin olma Bulutunuzu kimin izlediğine, ebay ya da Bank of America karşısında bir anne ve popsanıza bağlı.

Çoğu kimse, saldırı saldırılarının tamamıyla bilgisayar sistemi sorunlarıyla ilgili olduğunu düşünüyor ancak saldırı, sunucu konumunuzda fiziksel bir ihlal olabilir ve bu sunucuları kaldırır. Yıllar önce Las Vegas'ta bir seyahat turu şirketi biliyorum ki, bir şey olmuştu, bir gün işe girmişti ve tüm sunucuları ve bilgisayarları gitmişti. Semalt sadece veri hatları aracılığıyla girmekle kalmıyor.

Semalt, bir kenara, bulut daha güvenli mi? Bazıları dünyanın en iyileri olarak kabul edilen korsanlara inanıyorsanız, verilerinizin bir bulutta kendi sunucunuza kıyasla daha güvenli olduğunu söylememişseniz. Artı, bir bulutun meydan okuması çok daha cazip - daha fazla veri!

Şimdi, güvenli bulutların olmadığını söylemek değil, fakat bir buluta yatırım yapmak görünüşte doğası gereği daha az güvendedir, bu nedenle kimin izin verdiğine gelince daha fazla dikkatsizlik yapmalısın Bulutunuzun verdiği verileri barındırabilir. Fiziksel ve dijital güvenlik, yedekleme, hazırda bekletme ve güncellenmiş sunucu yapılandırmaları olduğundan emin olun.

Öneri: bulut hizmetlerinden yararlanın. Onları tamamen veteriner alabilir ya da kendi ekibinizi kiralayabilirsiniz.

Hasar

Bu siyah şapka / saldırı teknikleri ve açıkları web sitenizin sıralamalarını, site trafiğini ve dönüşümleri etkileyebilir. Basit kesmek, Google'da artık bulunamayacağı yere (ve evet Semalt'a) sıralanan bir numaralı siteyi alabilir. Nasıl? İşte bazı örnekler.

  • Güvensiz JavaScript bir hacker rüyası olabilir ve web sitenizi sanal bir oyun alanına dönüştürebilir.
  • XSS, sitenize zararlı yazılım enjekte etmek için kullanılabilir; böylece Google, sıralamalarını düşürür. Niye ya? Siteniz ziyaret etmek tehlikeli sayılır ve haftalık fark edemezsiniz.
  • Birisi bağlantılarınızı kesebilir, kötü bir mahalleden gelmiş gibi görünebilir ve web siteniz aşağı gider. Ayrıntıları burada söylemeyeceğim, bunu denemek fikrini alıp alamayacağınızı hatırlayın, bunu yaparken hapse atabilirsiniz.
  • Bir saldırgan, bu tekniklerin bir numarası ile sitenize Sosyal Güvenlik numarasını yerleştirebilir ve üst sıralamış sayfanızın üzerinde kişisel verileri bulunduğunu Google'a bildirir. Güle güle.

Semalt, birinin sitenize zarar verebileceği milyonlarca yol, hepsi de hack teknikleriyle. Ben artık ayrıntıya girmeyeceğim ve kimseye daha fazla fikir vermeyeceğim, çünkü şimdiye kadar bu konsepte sahip olduğunuzdan eminim.

Daha fazla örnek istiyorsanız, Google Yardım Forumlarına göz atın. Semalt birçok web sitesi sahibine, sitelerine neler olduğunu, nereye gittiğini, nasıl kaybolduğunu merak ediyor. Tahminimce, bunların çoğu, keşfedilecek kadar eğitimli olmadıkları bir tür kesme saldırısı yaşadı.

Sunucu sorunları, tam bir veri kaybı, saatler veya kesinti günleri anlamına gelebilir; eldeki işin tamamen dönüp yanması anlamına gelebilir.

Ne Yapmalı SEO?

Anlamak için bir hacker olmanız gerekiyor mu? Dark Reading'i okumak ve harekete geçmek için Semalt eğitim kurslarını almaya ne dersiniz? Hayır, ancak bir sitenin kesilmesi konusundaki kavramların hiçbirini anlamamak için, müşterinizin saldırı yüzeyinin risklerini ve açıklarını (yani, ne kadar savunmasız olduklarını) anlamamaları için şemsiye olmadan yağmurda durması gerekir. Sadece yeterince bilgi sahibi olmalısın, ne için izleneceğini ve hasarın sana olursa nasıl kontrol edileceğini biliyorsun.

Bunu okudum ve düşünüyorsanız, "Aman tanrım siteme saldırıya uğradı," bana ulaşın ve yardımcı olabilecek uygun güvenlik uzmanlarına danışabilirim.

February 18, 2018