2024-07-08
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
संजाल-आक्रमणानि तान् व्यवहारान् निर्दिशन्ति ये दुर्भावनापूर्ण-माध्यमेन संजाल-प्रणालीनां स्थिरतां सुरक्षां च उल्लङ्घयन्ति । अनेकाः जालपुटाः हैकर्-जनाः लक्षिताः भवन्ति, अतः जालपुट-प्रशासकानाम् अन्तर्जाल-उपयोक्तृणां च कृते तेषां उपरि आक्रमणं कर्तुं शक्यते, तेषां समाधानं कथं करणीयम् इति च अवगन्तुं महत्त्वपूर्णम् अस्तिअस्मिन् लेखे केचन सामान्याः वेबसाइट् आक्रमणविधयः परिचयः भविष्यति तथा च केचन समाधानाः प्रदत्ताः भविष्यन्ति
1. DDOS आक्रमणम् (वितरितसेवा-अस्वीकार-आक्रमणम्) .
DDOS आक्रमणम् एकः आक्रमणविधिः अस्ति यस्मिन् हैकर्-जनाः बहूनां मिथ्या-अनुरोधानाम् निर्माणं कुर्वन्ति, येन सर्वर-संसाधनाः क्षीणाः भवन्ति, वैध-उपयोक्तृ-अनुरोधाः च नियन्त्रयितुं असमर्थाः भवन्ति एतेन जालस्थलं लकवाग्रस्तं कृत्वा सम्यक् कार्यं कर्तुं न शक्यते ।
समाधानं:
वेबसाइट् दुर्भावनापूर्णयातायातस्य निरीक्षणाय, छाननाय च अग्निप्रावरणानां अथवा घुसपैठपरिचयप्रणालीनां (IDS) उपयोगं कर्तुं शक्नुवन्ति । एतानि प्रणाल्यानि यातायातस्य स्रोतः, गन्तव्यस्थानम् इत्यादीनां मापदण्डानां आधारेण DDoS आक्रमणानि चिन्तयितुं अवरुद्धुं च शक्नुवन्ति ।
भारसंतुलकस्य उपयोगेन बहुषु सर्वरेषु यातायातस्य प्रसारणं कृत्वा आक्रमणस्य प्रभावः प्रसारितः भवति । एतेन एकः सर्वरः आक्रमितः अपि अन्ये सर्वराः सामान्यतया कार्यं कर्तुं शक्नुवन्ति इति सुनिश्चितं भवति ।
SCDN नोड् वैश्विकरूपेण वितरिताः सन्ति तथा च प्रभावीरूपेण संजालयातायातस्य साझेदारी कर्तुं शक्नुवन्ति तथा च DDoS आक्रमणं निवारयितुं शक्नुवन्ति । यदा आक्रमणकारी DDoS आक्रमणं प्रारभते तदा CDN नोड् भारस्य सन्तुलनं कर्तुं, एकैकविफलताबिन्दून् परिहरितुं, जालस्थलस्य सामान्यसञ्चालनं सुनिश्चित्य च सहायकं भवितुम् अर्हति
एकं IP-सङ्केतं वा उपयोक्तारं वा एकस्मिन् समये अत्यधिकं संयोजनं न स्थापयितुं वेबसाइट्-स्थानानि अधिकतम-सम्बद्ध-सीमाः निर्धारयितुं शक्नुवन्ति । एतेन आक्रमणकारिणः बहूनां संयोजनानां सह सर्वरसंसाधनानाम् उपभोगं न कुर्वन्ति ।
Kuehne Cloud Security विशेषाणि DDoS संरक्षणसेवाः प्रदाति । एताः सेवाः DDoS आक्रमणानां पत्ताङ्गीकरणाय, अवरुद्ध्य च उन्नतयातायातविश्लेषणस्य, छाननप्रौद्योगिक्याः च उपयोगं कुर्वन्ति ।
नियमितरूपेण यातायातस्य सर्वरस्य कार्यक्षमतायाः च निरीक्षणार्थं समर्पितं कन्सोल् प्रदाति, तथैव वास्तविकसमये कस्यापि असामान्ययातायातस्य अन्वेषणं प्रतिक्रियां च ददाति । एतेन DDoS आक्रमणानां शीघ्रं अन्वेषणं प्रतिक्रियां च कर्तुं साहाय्यं कर्तुं शक्यते ।
2. XSS आक्रमणम् (cross-site scripting attack) २.
XSS आक्रमणम् एकः आक्रमणविधिः अस्ति यस्मिन् दुर्भावनापूर्णाः स्क्रिप्ट्-आदयः वेबसाइट्-निवेशपेटिकायां प्रविष्टाः भवन्ति ततः अन्यैः उपयोक्तृभिः उपयोक्तुः संवेदनशीलसूचनाः प्राप्तुं वा दुर्भावनापूर्णक्रियाः कर्तुं वा निष्पादिताः भवन्ति
समाधानं:
वेबसाइट्-स्थानेषु उपयोक्तृ-प्रविष्टानां दत्तांशस्य प्रमाणीकरणं, छाननं च करणीयम्, येन केवलं वैध-अपेक्षित-दत्तांशः एव स्वीकृतः इति सुनिश्चितं भवति । अस्मिन् दुर्भावनापूर्णलिपिनां इन्जेक्शनं निवारयितुं HTML, CSS, JavaScript इत्यादीनां सामग्रीनां पलायनं वा छाननं वा अन्तर्भवति ।
यदा जालपुटं उपयोक्तृप्रविष्टं दत्तांशं जालपुटे निर्गच्छति तदा दुर्भावनापूर्णलिपिनां निष्पादनं निवारयितुं दत्तांशं सम्यक् एन्कोड् कर्तव्यम् । सामान्येषु एन्कोडिंग्-विधिषु HTML एण्टीटी एन्कोडिंग्, URL एन्कोडिंग् च अन्तर्भवति ।
CSP एकः नीतिः अस्ति या ब्राउजर् द्वारा निष्पादितानि स्क्रिप्ट्-शैल्याः च सीमितं करोति, विश्वसनीयसामग्रीस्रोतान् परिभाष्य, लोड् कर्तुं अनुमताः सामग्रीप्रकाराः च । CSP इत्यस्य उपयोगेन जालपुटाः XSS आक्रमणस्य जोखिमं न्यूनीकर्तुं शक्नुवन्ति ।
वेबसाइट् कुकीजं सेट् कुर्वन् सुरक्षाध्वजस्य उपयोगं कुर्वन्तु येन सुनिश्चितं भवति यत् कुकीजः केवलं एन्क्रिप्टेड् HTTPS संयोजनेषु प्रसारितः भवति। तदतिरिक्तं, जावास्क्रिप्ट् मार्गेण कुकीजस्य प्रवेशं निवारयितुं कुकीजं HttpOnly इति चिह्नितव्यानि ।
वेबसाइट्-विकासकाः सुरक्षित-कोडिंग्-विकास-प्रथानां अनुसरणं कुर्वन्तु, यत्र eval() तथा innerHTML इत्यादीनां असुरक्षित-कार्यस्य उपयोगं परिहरितुं, सुरक्षित-गुप्तशब्द-भण्डारणस्य, सत्र-प्रबन्धन-विधिषु च उपयोगः करणीयः
वेबसाइट्-स्थानानि शीघ्रमेव ज्ञातानि सुरक्षा-दुर्बलतानि अद्यतनीकर्तव्यानि, निवारयितुं च अर्हन्ति, यत्र XSS-आक्रमणसम्बद्धानां दुर्बलतानां निवारणं च भवति । सम्भाव्यदुर्बलतानां पहिचानाय, निश्चयाय च नियमितरूपेण सुरक्षालेखापरीक्षां, भेद्यतास्कैनं च कुर्वन्तु।
3. SQL इन्जेक्शन आक्रमणम्
SQL इन्जेक्शन् आक्रमणं तदा भवति यदा हैकरः वेबसाइट् इत्यस्य डाटाबेस् प्रश्ने दुर्भावनापूर्णं SQL कोड् इन्जेक्शन् कृत्वा डाटाबेस् मध्ये डाटा प्राप्तुं वा छेदनं वा करोति ।
समाधानं:
SQL प्रश्नान् सज्जीकर्तुं निष्पादयितुं च mysqli विस्तारे PDO अथवा prepared स्टेट्मेण्ट् इत्यस्य उपयोगं कुर्वन्तु । सज्जीकृतानि कथनानि उपयोक्तृ-प्रविष्टानि आँकडानि SQL कथनात् पृथक् संसाधयन्ति, येन प्रभावीरूपेण इन्जेक्शन-आक्रमणानि निवारयन्ति ।
उपयोक्तृभिः प्रविष्टानि आँकडानि सत्यापयन्तु, छानयन्तु च यत् केवलं नियमानाम् अनुरूपं दत्तांशं स्वीकृत्य उपयोगः कर्तुं शक्यते इति सुनिश्चितं कुर्वन्तु । PHP इत्यस्य फ़िल्टर फंक्शन्स् (यथा filter_var()) इत्यस्य उपयोगेन इनपुट् प्रमाणीकृत्य फ़िल्टर कर्तुं शक्यते ।
SQL प्रश्नान् निष्पादयति सति, उपयोक्तृ-प्रविष्टितदत्तांशं प्रत्यक्षतया SQL कथनेषु स्प्लिसीकरणस्य स्थाने पैरामीटराइज्ड् प्रश्नानां उपयोगं कुर्वन्तु । पैरामीटर्कृताः प्रश्नाः उपयोक्तृ-प्रविष्टानि आँकडानि SQL-क्वेरी-इत्यत्र प्रत्यक्षतया SQL-कथने स्प्लिस-करणस्य स्थाने पैरामीटर्-रूपेण पारयन्ति, अतः इन्जेक्शन-आक्रमणानि परिहरन्ति
सुनिश्चितं कुर्वन्तु यत् दत्तांशकोशप्रयोक्तृणां केवलं आवश्यकाः अनुमतिः सन्ति तथा च आक्रमणकारिणः संवेदनशीलदत्तांशं प्राप्तुं वा दत्तांशकोशे दुर्भावनापूर्णकार्यं कर्तुं वा इन्जेक्शनदुर्बलतायाः उपयोगं न कुर्वन्ति इति निवारयितुं अतिशयेन अनुमतिः न ददति
उत्पादनवातावरणे विस्तृतदोषसन्देशप्रदर्शनं निष्क्रियं कर्तव्यं यत् आक्रमणकारिणः दत्तांशकोशसंरचनायाः संवेदनशीलसूचनाः च विषये सूचकानि प्राप्तुं त्रुटिसन्देशानां उपयोगं न कुर्वन्ति
भवान् केचन सुरक्षारूपरेखाः अथवा पुस्तकालयाः उपयोक्तुं शक्नुवन्ति येषां व्यापकरूपेण परीक्षणं सत्यापितं च अस्ति, यथा Laravel, CodeIgniter इत्यादयः एतेषु ढाञ्चेषु अथवा पुस्तकालयेषु अन्तः निर्मिताः सुरक्षापरिपाटाः सन्ति ये SQL-इञ्जेक्शन-आक्रमणानां निवारणे सहायकाः भवितुम् अर्हन्ति
4. CSRF आक्रमणम् (cross-site request forgery) .
CSRF आक्रमणं तदा भवति यदा हैकरः वैधप्रयोक्तृअनुरोधं कृत्वा अवैधकार्यं करोति, तस्मात् उपयोक्तुः संवेदनशीलसूचनाः प्राप्नोति अथवा अवैधकार्यं करोति
समाधानं:
प्रत्येकस्य उपयोक्तुः कृते एकं अद्वितीयं CSRF टोकनं जनयन्तु तथा च प्रपत्रे अथवा अनुरोधे एम्बेड् कुर्वन्तु। सर्वरपक्षे सत्यापयन्तु यत् अनुरोधे टोकनः उपयोक्तुः सत्रे टोकनेन सह मेलति तथा च यदि ते न मेलन्ति तर्हि अनुरोधं अङ्गीकुर्वन्तु ।
अनुरोधः सम्यक् स्रोतः आगच्छति इति सुनिश्चित्य सर्वरपक्षे अनुरोधस्य Referer शीर्षकं सत्यापयन्तु । एषा पद्धतिः केषाञ्चन CSRF-आक्रमणानां निवारणं कर्तुं शक्नोति, परन्तु एषा पूर्णतया विश्वसनीयः नास्ति यतोहि Referer-शीर्षकं केभ्यः ब्राउजर्-द्वारा छेदनं वा अक्षमीकरणं वा कर्तुं शक्यते ।
मुख्यक्रियाभ्यः पूर्वं (यथा गुप्तशब्दपरिवर्तनं, दत्तांशविलोपनम् इत्यादयः) उपयोक्तृभ्यः अतिरिक्तसत्यापनं कर्तव्यं भवति, यथा गुप्तशब्दप्रवेशः, सत्यापनसङ्केतप्रेषणम् इत्यादयः एतेन उपयोक्तुः इच्छाः कार्याणि च सुसंगतानि इति सुनिश्चितं भवति, तस्मात् CSRF आक्रमणानि निवारयन्ति ।
कुकीजस्य क्रॉस्-डोमेन् स्थानान्तरणं सीमितं कर्तुं कुकी इत्यस्य SameSite विशेषतां Strict अथवा Lax इति सेट् कुर्वन्तु । एतेन केचन CSRF आक्रमणाः निवारिताः भवन्ति, परन्तु सर्वे ब्राउजर् SameSite विशेषतां समर्थयन्ति न ।
कीलसञ्चालनात् पूर्वं उपयोक्तृभ्यः सत्यापनसङ्केतं प्रविष्टव्यम् । सत्यापनसङ्केताः CSRF आक्रमणानि प्रभावीरूपेण निवारयितुं शक्नुवन्ति यतोहि आक्रमणकारिणः सत्यापनसङ्केतस्य मूल्यं प्राप्तुं न शक्नुवन्ति ।
भवान् केचन सुरक्षारूपरेखाः अथवा पुस्तकालयाः उपयोक्तुं शक्नुवन्ति येषां व्यापकरूपेण परीक्षणं सत्यापितं च अस्ति, यथा Laravel, CodeIgniter इत्यादयः एतेषु ढाञ्चेषु अथवा पुस्तकालयेषु पूर्वमेव CSRF आक्रमणानि निवारयितुं केचन अन्तर्निर्मिताः उपायाः सन्ति
सः ३० वर्षाणाम् अधिकं कालात् प्रौद्योगिक्याः शोधकार्यं कर्तुं समर्पितः अस्ति, तथा च जावा, लिनक्स, जावास्क्रिप्ट्, php, css इत्यादिषु विविधभाषासु प्रवीणः अस्ति, मुक्तस्रोतक्षेत्रे सः बहु योगदानं कृतवान् अस्ति विकासक दस्तावेजीकरणस्थानकं भविष्ये सन्दर्भार्थं प्रौद्योगिकीविकासे केचन विषयाः साझां कर्तुं सर्वे तत् पश्यन्तु
