Web ilova hujumlari

Web ilovalar internetdagi eng ko'p hujumga uchragan nishonlardan biri. Ular turli xil zaifliklarni o'z ichiga olishi mumkin va tajovuzkorlar uchun jozibali maqsaddir.

Eng keng tarqalgan web hujumlari

SQL Injection (SQLi)

Tajovuzkor SQL so'rovlariga zararli kod kiritadi va ma'lumotlar bazasiga ruxsatsiz kiradi.

Zaif kod namunasi:

SELECT * FROM users WHERE username = '$username' AND password = '$password'

Hujum namunasi:

username: admin' OR '1'='1
password: anything

Himoya:

Parametrlangan so'rovlar, Input validation, ORM dan foydalanish

Cross-Site Scripting (XSS)

Tajovuzkor boshqa foydalanuvchilar brauzerida JavaScript kodi ishga tushiradi. Bu orqali cookie, sessiya va boshqa maxfiy ma'lumotlarni o'g'irlash mumkin.

Reflected XSS

URL orqali zararli kod yuboriladi

Stored XSS

Ma'lumotlar bazasida saqlanadi

DOM XSS

Client-side JavaScript orqali

Himoya:

Input validation, Output encoding, Content Security Policy (CSP)

Cross-Site Request Forgery (CSRF)

Foydalanuvchini bilmagan holda web ilovada istalgan harakatni bajarishga majbur qilish.

Hujum ssenariysi:

Foydalanuvchi bank saytiga kirgan. Tajovuzkor unga zararli havola yuboradi. Havola ochilganda, bank saytida pul o'tkazish avtomatik amalga oshiriladi.

Himoya:

CSRF token, SameSite cookies, Referer tekshirish

Remote Code Execution (RCE)

Tajovuzkor serverda o'z kodini ishga tushirishi mumkin. Bu eng xavfli zaifliklardan biri.

Xavf: Server to'liq nazorati, ma'lumotlar o'g'irlash, zararli dastur o'rnatish

Himoya:

Input validation, Sandboxing, Least privilege, Regular updates

File Upload Vulnerabilities

Zaif fayl yuklash funksiyasi orqali zararli fayllarni serverga yuklash.

Xavflar:

  • Web shell yuklash
  • Malware tarqatish
  • DoS hujumlari

Himoya:

  • Fayl turini tekshirish
  • Fayl hajmini cheklash
  • Fayllarni alohida joyda saqlash

Umumiy himoya tamoyillari

Input Validation:

  • Barcha foydalanuvchi kiritgan ma'lumotni tekshiring
  • Whitelist yondashuvi ishlatting
  • Maxsus belgilarni encode qiling
  • Server-side validation muhim

Output Encoding:

  • HTML entities dan foydalaning
  • JSON ma'lumotlarni to'g'ri formatlang
  • URL encoding qo'llang
  • Framework built-in funksiyalaridan foydalaning

OWASP Top 10 eslatma

OWASP (Open Web Application Security Project) har yili eng xavfli web zaifliklarning ro'yxatini chiqaradi. Bu ro'yxat bilan tanish bo'ling va ilovalaringizni ulardan himoya qiling.

OWASP Top 10 ni o'qish

Asosiy xulosalar

  • Web ilovalar ko'plab hujum turlariga duchor
  • SQL Injection va XSS - eng keng tarqalgan zaifliklar
  • Input validation va output encoding - asosiy himoya
  • Regular security testing va updates zarur
Tarmoq hujumlari WiFi hujumlari