פרצו לך לאתר

מכירים את התמונה הזו?

ואת זו?

אני מתאר לעצמי שלא הייתם רוצים לראות את אחת מהתמונות הללו כאשר אתם נכנסים לאתר שלכם, נכון?

(למי שפיספס הפואנטה, מדובר בשתי דוגמאות למה שמופיע בדפדפן כאשר מנסים להיכנס לאתר שפרצו אליו).

אז מה זו בעצם פריצה לאתר, ואיך ניתן למנוע אותה?

ישנם מספר סוגי פריצות לאתרים, ואני אסקור את העיקריות שבהן.

השחתת פני האתר
זוהי פריצה “קוסמטית”. הפורץ מצליח לשנות את העמוד הראשי של האתר, וכל עמוד אחר עם השמות הנפוצים INDEX, DEFAULT, MAIN.
לרוב, מה שנראה בעקבות פריצה כזו זה את אחת הדוגמאות הנ”ל, ובעצם, עמוד שמכיל טקסט, בדרך כלל בסגנון “This Site Was Hacked By….” עם תמונה של דגל הלאום של הפורץ, או תמונה מאיזה עימות מדמם.

הנזק של פריצה כזו הוא בעיקר תדמיתי, ולמרבה הפלא לא דרושה מומחיות רבה כדי לבצע אותה. הפורצים מעתיקים קודים מוכנים שמצאו ברשת ומריצים אותם בלי להבין מה הם עושים בפועל.

הזרקת SQL
בסוג הזה, שחמור יותר מהסוג הקודם, הפורץ משתמש בנקודות התורפה של קוד המקור של האתר כדי לחדור למסדי הנתונים שלו, לשנות בו נתונים, לגנוב ממנו נתונים, ולעיתים אף למחוק את תוכנו לחלוטין.

זוהי פריצה בעייתית ביותר, כיוון לפעמים לא ניתן לשחזר את התוכן שהיה במסד הנתונים לפני הפריצה. עם זאת, חשוב לציין שאתרים שאינם משתמשים במסדי נתונים, יהיו לרוב חסינים מפני סוג זה של פריצה.

גניבת פרטים
כאן הפורץ גונב מבעל הגישה המורשה את פרטי הגישה לממשקי הניהול של האתר או חשבון האיחסון, בדרך כלל ע”י גניבת קבצי COOKIES או תוכנות רוגלה שהושתלו במחשבו.

אז איך ניתן להתגונן מפני פריצה לאתר?

לצערי, רוב הסיכויים שלא ניתן למנוע בצורה מוחלטת את האפשרות לפרוץ לאתר האינטרנט. מה שכן ניתן לעשות זה להקטין את הסיכוי, לפריצה והשחתת האתר.

כדי למנוע פריצה של גניבת פרטים, מומלץ בהחלט לשמור את פרטי הגישה לממשקי הניהול של האתר במקום בטוח ולא לחלוק אותם עם אנשים אחרים. בנוסף, מומלץ מאוד להתקין תוכנת ANTISPYWARE במחשב, שתזהה ניסיונות פריצה למחשב.

פריצות משני הסוגים הראשונים הן לטיפול בונה האתר.

בונה האתר (או מתכנת האתר) צריך לדאוג שלא ניתן יהיה לשתול קודים בטפסים השונים המפוזרים ברחבי האתר.

בעזרת מספר שורות קוד, אפשר למנוע את האפשרות להכנסת סוגים שונים של תווים באותם טפסים. דוגמא לתווים שמומלץ מאוד למנוע היא התווים <>. תווים אלה מופיעים בתגי HTML, ורוב הסיכויים שאין צורך ממשי (למעט הרצון להרע) להזין אותם בטפסי האתר.

ולדוגמא, ניתן לראות איך, אחרי הזנת הקלט
בטופס יצירת הקשר שבאתר זה, מקבלים הודעה שלא הוזן קלט נכון.

בהצלחה, ומי יתן שלא תחוו את התסכול בלראות הודעות על פריצה באתר שלכם.

4 מחשבות על “פרצו לך לאתר”

  1. יופי של פוסט. תודה.
    כאחת שפרצו לה לאתר, אני מכירה את ההרגשה המתסכלת והאיומה הזו.
    תודה וחג חרות שמח

    1. אסף אפשטין

      זהו אכן מצב לא נעים, וחשוב לוודא שהוא לא יחזור על עצמו. תעשי את הבדיקה שהצגתי בפוסט וספרי לי איך היא עברה

  2. בוקר טוב אסף…
    אומנם היום 1 באפריל…אבל כן פרצו לי לאתר .
    והים אין לי אתר מקצועי.
    6.000 אנשים מכל העולם שנכנסו לאתר שלי נעלמו כלא היו.
    אסף אני מאחל לך ולבני ביתך
    חג פסח שמח וכשר.
    תודה רבה על המתיחה הנפלאה.
    אבל בשבילי זאת האמת לצערי הרב.
    חג שמח
    יאיר~שאולוף

    1. אסף אפשטין

      למען האמת, התרעתי בפניך מספר פעמים במספר מקומות על כך.

      עליך לעשות בדק בית בקוד ולנטרל את הבעיה

סגור לתגובות

גלילה למעלה

התחברות לאתר

דילוג לתוכן