EITC/IS/WASF Web Applications Security Fundamentals သည် World Wide Web ဝန်ဆောင်မှုများ၏ လုံခြုံရေးဆိုင်ရာ အခြေခံ ဝဘ်ပရိုတိုကောများ လုံခြုံရေး၊ privacy၊ ခြိမ်းခြောက်မှုများနှင့် ကွဲပြားသော ဝဘ်သွားလာမှုကွန်ရက်ဆက်သွယ်ရေး၊ ဝဘ်၏ အလွှာအသီးသီးတွင် ဝဘ်သွားလာမှုကွန်ရက်ဆက်သွယ်ရေး၊ ဆာဗာများ လုံခြုံရေး၊ ဝဘ်ဘရောက်ဆာများနှင့် ဝဘ်အက်ပ်လီကေးရှင်းများ အပါအဝင် ပိုမိုမြင့်မားသော အလွှာများရှိ လုံခြုံရေး၊ အထောက်အထားစိစစ်ခြင်း၊ လက်မှတ်များနှင့် ဖြားယောင်းခြင်း။
EITC/IS/WASF Web Applications Security Fundamentals ၏ သင်ရိုးညွှန်းတမ်းတွင် HTML နှင့် JavaScript ဝဘ်လုံခြုံရေးကဏ္ဍများ၊ DNS၊ HTTP၊ cookies၊ sessions၊ cookie နှင့် session attacks၊ မူလမူလမူဝါဒ၊ Cross-Site Request Forgery၊ တူညီသောခြွင်းချက်များနှင့် နိဒါန်းတို့ ပါဝင်ပါသည်။ မူရင်းမူဝါဒ၊ Cross-Site Scripting (XSS)၊ Cross-Site Scripting ကာကွယ်ရေး၊ ဝဘ်လက်ဗွေနှိပ်ခြင်း၊ ဝဘ်ပေါ်ရှိ သီးသန့်လုံခြုံရေး၊ DoS၊ phishing နှင့် side channels၊ Denial-of-Service၊ phishing နှင့် side channels၊ ဆေးထိုးတိုက်ခိုက်မှုများ၊ ကုဒ်ထိုးခြင်း၊ သယ်ယူပို့ဆောင်ရေး အလွှာလုံခြုံရေး (TLS) နှင့် တိုက်ခိုက်မှုများ၊ လက်တွေ့ကမ္ဘာရှိ HTTPS၊ အထောက်အထားစိစစ်ခြင်း၊ WebAuthn၊ ဝဘ်လုံခြုံရေးကို စီမံခန့်ခွဲခြင်း၊ Node.js ပရောဂျက်ရှိ လုံခြုံရေးဆိုင်ရာ စိုးရိမ်မှုများ၊ ဆာဗာလုံခြုံရေး၊ ဘေးကင်းသော ကုဒ်လုပ်ထုံးလုပ်နည်းများ၊ ဒေသတွင်း HTTP ဆာဗာလုံခြုံရေး၊ DNS ပြန်လည်ပေါင်းစပ်တိုက်ခိုက်မှုများ၊ ဘရောက်ဆာတိုက်ခိုက်မှုများ၊ ဘရောက်ဆာ ဗိသုကာပညာအပြင်၊ ဤ EITC အသိအမှတ်ပြုလက်မှတ်အတွက် ကိုးကားချက်အဖြစ် ပြည့်စုံသော ဗီဒီယိုကို ကျယ်ကျယ်ပြန့်ပြန့်ပါဝင်သည့် အောက်ပါဖွဲ့စည်းပုံအတွင်းတွင် လုံခြုံသောဘရောက်ဆာကုဒ်ကို ရေးသားခြင်း။
ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးသည် ဝဘ်ဆိုဒ်၊ ဝဘ်အက်ပလီကေးရှင်းနှင့် ဝဘ်ဝန်ဆောင်မှုလုံခြုံရေးတို့ကို အဓိကထားလုပ်ဆောင်သည့် အချက်အလက်လုံခြုံရေး၏ အစုခွဲတစ်ခုဖြစ်သည်။ ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေး၊ ၎င်း၏အခြေခံအကျဆုံးအဆင့်မှာ အက်ပ်လုံခြုံရေးစည်းမျဉ်းများအပေါ် အခြေခံသော်လည်း ၎င်းတို့ကို အထူးသဖြင့် အင်တာနက်နှင့် ဝဘ်ပလပ်ဖောင်းများတွင် ကျင့်သုံးသည်။ ဝဘ်အပလီကေးရှင်းဖိုင်းဝေါလ်များကဲ့သို့သော ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးနည်းပညာများသည် HTTP အသွားအလာကို လုပ်ဆောင်ရန်အတွက် အထူးပြုကိရိယာများဖြစ်သည်။
Open Web Application Security Project (OWASP) သည် အခမဲ့နှင့် ပွင့်လင်းသော အရင်းအမြစ်များကို ပေးဆောင်သည်။ အကျိုးအမြတ်မယူသော OWASP ဖောင်ဒေးရှင်းက ၎င်းကို တာဝန်ယူပါသည်။ 2017 OWASP ထိပ်တန်း 10 သည် မိတ်ဖက်အဖွဲ့အစည်း 40 ကျော်မှ စုဆောင်းထားသော ကျယ်ပြန့်သော အချက်အလက်များအပေါ် အခြေခံ၍ လက်ရှိလေ့လာမှု၏ ရလဒ်ဖြစ်သည်။ ခန့်မှန်းခြေအားဖြင့် အားနည်းချက်ပေါင်း 2.3 သန်းကို ဤဒေတာကို အသုံးပြု၍ အပလီကေးရှင်းပေါင်း 50,000 ကျော်တွင် ရှာဖွေတွေ့ရှိခဲ့သည်။ OWASP ထိပ်တန်း 10 – 2017 အရ အရေးအကြီးဆုံး အွန်လိုင်း အက်ပ်လီကေးရှင်း လုံခြုံရေး စိုးရိမ်စရာ ထိပ်တန်းဆယ်ခုမှာ-
- ဆေးထိုး
- အထောက်အထားစိစစ်ရေးကိစ္စများ
- ထိလွယ်ရှလွယ် ဒေတာ XML ပြင်ပအကြောင်းအရာများ (XXE) ကို ဖော်ထုတ်ခဲ့သည်
- ဝင်ရောက်ထိန်းချုပ်မှု အလုပ်မလုပ်ပါ။
- လုံခြုံရေးပုံစံ မှားယွင်းခြင်း။
- Site-to-site scripting (XSS)
- မလုံခြုံသော ဖယ်ထုတ်ခြင်း
- ချို့ယွင်းချက်ရှိသော အစိတ်အပိုင်းများကို အသုံးပြုခြင်း။
- သစ်ခုတ်ခြင်းနှင့် စောင့်ကြည့်ခြင်း မလုံလောက်ပါ။
ထို့ကြောင့် အက်ပလီကေးရှင်း၏ ကုဒ်တွင် အားနည်းချက်များကို အသုံးချသည့် လုံခြုံရေးခြိမ်းခြောက်မှုများမှ ဝဘ်ဆိုက်များနှင့် အွန်လိုင်းဝန်ဆောင်မှုများကို ခုခံကာကွယ်သည့် အလေ့အကျင့်ကို ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးဟု ခေါ်သည်။ အကြောင်းအရာစီမံခန့်ခွဲမှုစနစ်များ (ဥပမာ၊ WordPress)၊ ဒေတာဘေ့စ်စီမံခန့်ခွဲရေးကိရိယာများ (ဥပမာ၊ phpMyAdmin) နှင့် SaaS အက်ပ်များအားလုံးသည် အွန်လိုင်းအပလီကေးရှင်းချေမှုန်းရေးအတွက် ဘုံပစ်မှတ်များဖြစ်သည်။
ဝဘ်အပလီကေးရှင်းများသည် ပြစ်မှုကျူးလွန်သူများမှ ဦးစားပေးပစ်မှတ်များအဖြစ် သတ်မှတ်ခံရသောကြောင့်-
- ၎င်းတို့၏ အရင်းအမြစ်ကုဒ်၏ ရှုပ်ထွေးမှုများကြောင့်၊ ပိုင်ရှင်မရှိသော အားနည်းချက်များနှင့် အန္တရာယ်ရှိသော ကုဒ်ကို ပြုပြင်မွမ်းမံခြင်းများသည် ပိုများပါသည်။
- ထိရောက်သော အရင်းအမြစ်ကုဒ်ကို ချိုးဖောက်ခြင်းဖြင့် ရရှိသော အရေးကြီးသော ကိုယ်ရေးကိုယ်တာအချက်အလက်များကဲ့သို့သော တန်ဖိုးမြင့်ဆုလာဘ်များ။
- ချေမှုန်းမှုအများစုသည် အလွယ်တကူ အလိုအလျောက်လုပ်ဆောင်နိုင်ပြီး ပစ်မှတ်ထောင်ပေါင်းများစွာ၊ ဆယ်ဂဏန်း သို့မဟုတ် ရာနှင့်ချီသော ပစ်မှတ်များကို တစ်ပြိုင်နက်တည်းတွင် ခွဲခြားသိမြင်နိုင်သောကြောင့် ကွပ်မျက်ရန်လွယ်ကူသည်။
- ၎င်းတို့၏ ဝဘ်အက်ပလီကေးရှင်းများကို ကာကွယ်ရန် ပျက်ကွက်သော အဖွဲ့အစည်းများသည် တိုက်ခိုက်ရန် အားနည်းချက်ရှိသည်။ ၎င်းသည် ဒေတာခိုးယူမှု၊ တင်းမာသောဖောက်သည် ဆက်ဆံရေး၊ လိုင်စင်များကို ဖျက်သိမ်းလိုက်ခြင်းနှင့် အခြားအရာများအကြား ဥပဒေအရ အရေးယူခြင်းတို့ကို ဖြစ်ပေါ်စေနိုင်သည်။
ဝဘ်ဆိုဒ်များတွင် အားနည်းချက်များ
အဝင်/အထွက် သန့်စင်ခြင်းဆိုင်ရာ ချို့ယွင်းချက်များသည် ဝဘ်အက်ပ်လီကေးရှင်းများတွင် အဖြစ်များပြီး ၎င်းတို့သည် အရင်းအမြစ်ကုဒ်ကို ပြောင်းလဲရန် သို့မဟုတ် ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်အသုံးပြုရန် မကြာခဏ အသုံးချလေ့ရှိသည်။
အဆိုပါ ချို့ယွင်းချက်များ အပါအဝင် တိုက်ခိုက်ရေး vector အမျိုးမျိုးကို အသုံးချနိုင်သည်-
- SQL Injection - ပြစ်မှုကျူးလွန်သူတစ်ဦးသည် အန္တရာယ်ရှိသော SQL ကုဒ်ဖြင့် နောက်ခံဒေတာဘေ့စ်ကို ကိုင်တွယ်သည့်အခါ အချက်အလက်များကို ထုတ်ဖော်ပြသမည်ဖြစ်သည်။ တရားမဝင်စာရင်းရှာဖွေခြင်း၊ ဇယားဖျက်ခြင်းနှင့် ခွင့်ပြုချက်မရှိဘဲ စီမံခန့်ခွဲသူဝင်ရောက်ခြင်းတို့သည် အကျိုးဆက်များဖြစ်သည်။
- XSS (Cross-site Scripting) သည် အကောင့်များသို့ဝင်ရောက်ခွင့်ရရန်၊ ထရိုဂျန်များကိုအသက်သွင်းရန် သို့မဟုတ် စာမျက်နှာအကြောင်းအရာကို ပြောင်းလဲရန်အတွက် အသုံးပြုသူများကို ပစ်မှတ်ထားသည့် ထိုးနှက်တိုက်ခိုက်မှုတစ်ခုဖြစ်သည်။ အန္တရာယ်ရှိသောကုဒ်ကို အပလီကေးရှင်းတစ်ခုသို့ တိုက်ရိုက်ထိုးသွင်းသောအခါ ၎င်းကို သိမ်းဆည်းထားသည့် XSS ဟု ခေါ်သည်။ အန္တရာယ်ရှိသော script ကို အသုံးပြုသူ၏ဘရောက်ဆာပေါ်သို့ အပလီကေးရှင်းတစ်ခုမှ ရောင်ပြန်ဟပ်လာသောအခါ၊ ၎င်းကို ရောင်ပြန်ဟပ်သည့် XSS ဟုခေါ်သည်။
- Distant File Inclusion – ဤတိုက်ခိုက်မှုပုံစံသည် ဟက်ကာတစ်ဦးအား အဝေးမှ တည်နေရာမှ ဝဘ်အက်ပလီကေးရှင်းဆာဗာထဲသို့ ဖိုင်တစ်ခု ထိုးသွင်းနိုင်စေပါသည်။ ၎င်းသည် အက်ပ်အတွင်း အန္တရာယ်ရှိသော ဇာတ်ညွှန်းများ သို့မဟုတ် ကုဒ်များကို လုပ်ဆောင်ခြင်းအပြင် ဒေတာခိုးယူခြင်း သို့မဟုတ် ပြုပြင်မွမ်းမံခြင်းတို့ကို ဖြစ်ပေါ်စေနိုင်သည်။
- Cross-site Request Forgery (CSRF) – ငွေသား၊ စကားဝှက် အပြောင်းအလဲများ သို့မဟုတ် ဒေတာခိုးယူမှုတို့ကို မရည်ရွယ်ဘဲ လွှဲပြောင်းမှုဖြစ်စေနိုင်သော တိုက်ခိုက်မှုအမျိုးအစားတစ်ခု။ အန္တရာယ်ရှိသော ဝဘ်ပရိုဂရမ်တစ်ခုသည် အသုံးပြုသူ၏ဘရောက်ဆာအား ၎င်းတို့ဝင်ရောက်ထားသည့် ဝဘ်ဆိုက်ပေါ်တွင် မလိုလားအပ်သောလုပ်ဆောင်ချက်တစ်ခုကို လုပ်ဆောင်ရန် ညွှန်ကြားသောအခါ ဖြစ်ပေါ်သည်။
သီအိုရီအရ၊ ထိရောက်သော အဝင်/အထွက် သန့်စင်ရေးသည် အားနည်းချက်များအားလုံးကို ချေဖျက်နိုင်ပြီး ခွင့်ပြုချက်မရှိဘဲ ပြုပြင်မွမ်းမံရန် အပလီကေးရှင်းတစ်ခုအား မလုပ်ဆောင်နိုင်စေရန် လုပ်ဆောင်သည်။
သို့သော်၊ ပရိုဂရမ်အများစုသည် ထာဝရဖွံ့ဖြိုးတိုးတက်မှုအခြေအနေတွင် ရှိနေသောကြောင့်၊ ပြီးပြည့်စုံသော သန့်စင်ရေးသည် အလားအလာရှိသော ရွေးချယ်မှုဖြစ်ခဲပါသည်။ ထို့အပြင်၊ အက်ပ်များသည် တစ်ခုနှင့်တစ်ခု ပေါင်းစပ်လေ့ရှိသောကြောင့် ကုဒ်လုပ်ထားသော ပတ်ဝန်းကျင်သည် ပိုမိုရှုပ်ထွေးလာစေသည်။
ထိုသို့သောအန္တရာယ်များကိုရှောင်ရှားရန်၊ PCI Data Security Standard (PCI DSS) အသိအမှတ်ပြုလက်မှတ်ကဲ့သို့သော ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးဖြေရှင်းချက်များနှင့် လုပ်ငန်းစဉ်များကို အကောင်အထည်ဖော်သင့်သည်။
ဝဘ်အပလီကေးရှင်းများအတွက် Firewall (WAF)
WAFs (ဝဘ်အပလီကေးရှင်း ဖိုင်းဝေါလ်) များသည် အပလီကေးရှင်းများအား လုံခြုံရေးခြိမ်းခြောက်မှုများမှ ကာကွယ်ပေးသည့် ဟာ့ဒ်ဝဲနှင့် ဆော့ဖ်ဝဲဖြေရှင်းချက်ဖြစ်သည်။ ဤဖြေရှင်းနည်းများသည် ကုဒ်သန့်ရှင်းမှုဆိုင်ရာ ချို့ယွင်းချက်များအတွက် လျော်ကြေးပေးသည့် တိုက်ခိုက်မှုများကို ရှာဖွေရန်နှင့် ပိတ်ဆို့ရန်အတွက် အဝင်အသွားအလာများကို စစ်ဆေးရန် ဒီဇိုင်းထုတ်ထားပါသည်။
WAF ဖြန့်ကျက်မှုသည် ဒေတာခိုးယူမှုနှင့် ပြုပြင်မွမ်းမံမှုမှ ကာကွယ်ပေးခြင်းဖြင့် PCI DSS အသိအမှတ်ပြုလက်မှတ်အတွက် အရေးကြီးသော စံသတ်မှတ်ချက်ကို ကိုင်တွယ်ဖြေရှင်းသည်။ လိုအပ်ချက် 6.6 အရ ဒေတာဘေ့စ်တွင် ထိန်းသိမ်းထားသော ခရက်ဒစ်နှင့် ဒက်ဘစ်ကတ်ကိုင်ဆောင်သူဒေတာအားလုံးကို အကာအကွယ်ပေးရပါမည်။
၎င်းသည် ကွန်ရက်၏အစွန်းတွင် ၎င်း၏ DMZ ကို ရှေ့တွင်ထားထားသောကြောင့် WAF တစ်ခုကို တည်ထောင်ခြင်းသည် များသောအားဖြင့် အက်ပ်လီကေးရှင်းတစ်ခုသို့ မည်သည့်ပြောင်းလဲမှုမှ မလိုအပ်ပါ။ ထို့နောက် ၎င်းသည် အက်ပလီကေးရှင်းတစ်ခုနှင့် အပြန်အလှန်မတုံ့ပြန်မီ အန္တရာယ်ရှိသော တောင်းဆိုချက်များကို စစ်ထုတ်ကာ အဝင်အသွားအလာအားလုံးအတွက် ဝင်ပေါက်တစ်ခုအဖြစ် လုပ်ဆောင်သည်။
အပလီကေးရှင်းတစ်ခုသို့ ဝင်ရောက်ကြည့်ရှုခွင့်ကို မည်သည့်လမ်းကြောင်းမှ ခွင့်ပြုထားကြောင်း အကဲဖြတ်ရန် WAF များသည် အမျိုးမျိုးသော ရှုမြင်သုံးသပ်မှုကို အသုံးပြုသည်။ ၎င်းတို့သည် ပုံမှန်မွမ်းမံထားသော လက်မှတ်ပေါင်းကူးလ်ကြောင့် ၎င်းတို့သည် အန္တရာယ်ရှိသော သရုပ်ဆောင်များနှင့် လူသိများသော တိုက်ခိုက်ရေးကောင်များကို လျင်မြန်စွာ ဖော်ထုတ်နိုင်သည်။
WAF များအားလုံးနီးပါးကို တစ်ဦးချင်းအသုံးပြုမှုကိစ္စများနှင့် လုံခြုံရေးစည်းမျဉ်းများနှင့် အံဝင်ခွင်ကျဖြစ်စေသည့်အပြင် ပေါ်ပေါက်လာသော (သုည-ဟုလည်းခေါ်သည်) ခြိမ်းခြောက်မှုများကို တိုက်ဖျက်နိုင်သည်။ နောက်ဆုံးတွင်၊ ဝင်လာသောဧည့်သည်များထံ ထပ်လောင်းထိုးထွင်းသိမြင်မှုရယူရန် ခေတ်မီဖြေရှင်းချက်အများစုသည် ဂုဏ်သိက္ခာပိုင်းနှင့် အပြုအမူဒေတာကို အသုံးပြုပါသည်။
လုံခြုံရေးပတ်၀န်းကျင်တစ်ခုတည်ဆောက်ရန်အတွက် WAF များကို အပိုလုံခြုံရေးဖြေရှင်းချက်များနှင့် ပေါင်းစပ်လေ့ရှိသည်။ ၎င်းတို့တွင် ပမာဏမြင့်မားသော တိုက်ခိုက်မှုများကို ကာကွယ်ရန် လိုအပ်သော အပိုပမာဏကို ပေးစွမ်းနိုင်သည့် ဖြန့်ဝေမှု ငြင်းဆိုခြင်း-ဝန်ဆောင်မှု (DDoS) ကာကွယ်ရေးဝန်ဆောင်မှုများ ပါဝင်နိုင်သည်။
ဝဘ်အပလီကေးရှင်းလုံခြုံရေးအတွက် စစ်ဆေးရန်စာရင်း
WAF များအပြင် ဝဘ်အက်ပ်များကို ကာကွယ်ရန်အတွက် နည်းလမ်းမျိုးစုံရှိသည်။ ဝဘ်အပလီကေးရှင်းလုံခြုံရေးစစ်ဆေးစာရင်းတွင် အောက်ပါလုပ်ငန်းစဉ်များ ပါဝင်သင့်သည်-
- ဒေတာစုဆောင်းခြင်း — အပလီကေးရှင်းကို လက်ဖြင့်ကျော်သွားကာ ဝင်ခွင့်အမှတ်များနှင့် သုံးစွဲသူဘက်မှ ကုဒ်များကို ရှာဖွေပါ။ ပြင်ပအဖွဲ့အစည်းမှ လက်ခံဆောင်ရွက်ပေးသည့် အကြောင်းအရာများကို အမျိုးအစားခွဲခြားပါ။
- ခွင့်ပြုချက် - အပလီကေးရှင်းကို စမ်းသပ်သောအခါ လမ်းကြောင်းဖြတ်ကျော်မှု၊ ဒေါင်လိုက်နှင့် အလျားလိုက် ဝင်ရောက်မှု ထိန်းချုပ်ရေးဆိုင်ရာ ပြဿနာများ၊ ခွင့်ပြုချက်ပျောက်ဆုံးခြင်းနှင့် မလုံခြုံသော၊ အပလီကေးရှင်းကို စမ်းသပ်သည့်အခါ တိုက်ရိုက်အရာဝတ္ထု ကိုးကားချက်များကို ရှာဖွေပါ။
- ကုဒ်ဝှက်စနစ်ဖြင့် ဒေတာပို့လွှတ်မှုအားလုံးကို လုံခြုံအောင်ထားပါ။ အရေးကြီးသောအချက်အလက်ကို ကုဒ်ဝှက်ထားပါသလား။ ငြှိမ်းသတ်ရန်မလိုသော algorithms တစ်ခုခုကို သင်အသုံးပြုဖူးပါသလား။ ကျပန်းအမှားများ ရှိပါသလား။
- ဝန်ဆောင်မှုကိုငြင်းပယ်ခြင်း — အလိုအလျောက်စနစ်ဆန့်ကျင်ရေး၊ အကောင့်လော့ခ်ချခြင်းအတွက် စမ်းသပ်ခြင်း၊ HTTP ပရိုတိုကော DoS နှင့် SQL wildcard DoS ဝန်ဆောင်မှုကို ငြင်းဆိုခြင်းအား အပလီကေးရှင်း၏ ခံနိုင်ရည်အား မြှင့်တင်ရန် စမ်းသပ်ခြင်း။ ၎င်းတွင် ပမာဏမြင့်သော DoS နှင့် DDoS တိုက်ခိုက်မှုများအတွက် လုံခြုံရေးမပါဝင်ပါ၊ ၎င်းတွင် စစ်ထုတ်ခြင်းနည်းပညာများနှင့် အရွယ်အစားကြီးမားသောအရင်းအမြစ်များကို ခုခံရန် လိုအပ်ပါသည်။
နောက်ထပ်အသေးစိတ်အချက်အလက်များအတွက်၊ OWASP Web Application Security Testing Cheat Sheet ကို စစ်ဆေးနိုင်သည် (၎င်းသည် အခြားသော လုံခြုံရေးဆိုင်ရာ အကြောင်းအရာများအတွက် အရင်းအမြစ်ကောင်းတစ်ခုလည်းဖြစ်သည်)။
DDoS ဖြင့်ကာကွယ်စောင့်ရှောက်ရေး
DDoS တိုက်ခိုက်မှုများ၊ သို့မဟုတ် ဖြန့်ဝေထားသော ငြင်းပယ်ခြင်းဆိုင်ရာ တိုက်ခိုက်မှုများသည် ဝဘ်အက်ပလီကေးရှင်းကို နှောင့်ယှက်ရန် ပုံမှန်နည်းလမ်းတစ်ခုဖြစ်သည်။ Content Delivery Networks (CDNs) တွင် ထုထည်ကြီးမားသော တိုက်ခိုက်မှုအသွားအလာကို စွန့်ပစ်ခြင်းနှင့် ဝန်ဆောင်မှုပြတ်တောက်ခြင်းမရှိဘဲ စစ်မှန်သောတောင်းဆိုမှုများကို သင့်လျော်စွာ လမ်းကြောင်းပေးရန်အတွက် ပြင်ပကွန်ရက်များကို အသုံးချခြင်းအပါအဝင် DDoS တိုက်ခိုက်မှုများ လျော့ပါးစေရန်အတွက် နည်းလမ်းများစွာရှိပါသည်။
DNSSEC (Domain Name System Security Extensions) ကာကွယ်မှု
ဒိုမိန်းအမည်စနစ် (သို့) DNS သည် အင်တာနက်၏ ဖုန်းစာအုပ်ဖြစ်ပြီး ၎င်းသည် ဝဘ်ဘရောက်ဆာကဲ့သို့ အင်တာနက်တူးလ်တစ်ခုသည် သက်ဆိုင်ရာဆာဗာကို မည်သို့ရှာဖွေသည်ကို ရောင်ပြန်ဟပ်သည်။ DNS ကက်ရှ်အဆိပ်သင့်ခြင်း၊ လမ်းကြောင်းပေါ်ရှိ တိုက်ခိုက်မှုများနှင့် DNS ရှာဖွေမှုဘဝသံသရာကို အနှောင့်အယှက်ဖြစ်စေသည့် အခြားနည်းလမ်းများသည် ဤ DNS တောင်းဆိုမှုလုပ်ငန်းစဉ်ကို ခိုးယူရန် မကောင်းသောသရုပ်ဆောင်များက အသုံးပြုမည်ဖြစ်သည်။ DNS သည် အင်တာနက်၏ ဖုန်းစာအုပ်ဖြစ်ပါက၊ DNSSEC သည် လိမ်လည်၍မရသော ခေါ်ဆိုသူ ID ဖြစ်သည်။ DNS ရှာဖွေမှုတောင်းဆိုချက်ကို DNSSEC နည်းပညာကို အသုံးပြု၍ ကာကွယ်နိုင်ပါသည်။
အောင်လက်မှတ် သင်ရိုးညွှန်းတမ်းနှင့် အသေးစိတ် သိစေရန်အတွက် အောက်ပါဇယားကို ချဲ့ထွင်ပြီး ခွဲခြမ်းစိတ်ဖြာနိုင်ပါသည်။
EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံများ အသိအမှတ်ပြုလက်မှတ် သင်ရိုးညွှန်းတမ်းသည် ဗီဒီယိုဖောင်တစ်ခုတွင် ပွင့်လင်းမြင်သာမှုရှိသော သင်ကြားရေးပစ္စည်းများကို ရည်ညွှန်းသည်။ သင်ယူမှုလုပ်ငန်းစဉ်အား သက်ဆိုင်ရာ သင်ရိုးအပိုင်းများကို အကျုံးဝင်သော အဆင့်ဆင့်ဖွဲ့စည်းပုံ (ပရိုဂရမ်များ -> သင်ခန်းစာများ -> ခေါင်းစဉ်များ) ဖြင့် ပိုင်းခြားထားပါသည်။ ဒိုမိန်းကျွမ်းကျင်သူများနှင့် အကန့်အသတ်မရှိ အကြံပေးခြင်းကိုလည်း ဆောင်ရွက်ပေးပါသည်။
Certification လုပ်ထုံးလုပ်နည်းအသေးစိတ်အတွက် စစ်ဆေးပါ။ ဘယ်လိုအလုပ်လုပ်လဲ.
EITC/IS/WASF Web Applications Security Fundamentals ပရိုဂရမ်အတွက် အော့ဖ်လိုင်းကိုယ်တိုင် သင်ယူခြင်းဆိုင်ရာ အပြည့်အစုံကို PDF ဖိုင်တွင် ဒေါင်းလုဒ်လုပ်ပါ။
EITC/IS/WASF ကြိုတင်ပြင်ဆင်ပစ္စည်းများ - စံဗားရှင်း
EITC/IS/WASF ကြိုတင်ပြင်ဆင်ပစ္စည်းများ – ပြန်လည်သုံးသပ်မေးခွန်းများဖြင့် တိုးချဲ့ဗားရှင်း