प्रौद्योगिकी साझेदारी

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

• प्रस्तावना : १.

अद्यतन-अङ्कीययुगे जाल-अनुप्रयोगानाम् महत्त्वपूर्णा भूमिका अस्ति, येन अस्मान् विविधाः ऑनलाइन-सेवाः, कार्याणि च प्राप्यन्ते । परन्तु एतेषां अनुप्रयोगानाम् सामना प्रायः विविधसंभाव्यसुरक्षाधमकीनां सामना भवति, येन संवेदनशीलसूचनायाः लीकेजः, प्रणालीपक्षाघातः, अन्ये च प्रतिकूलपरिणामाः भवितुम् अर्हन्ति

• SQL इन्जेक्शन भेद्यता

SQL injection attack (SQL Injection), यस्य injection attack अथवा SQL injection इति उच्यते, तस्य व्यापकरूपेण उपयोगः वेबसाइट् इत्यस्य नियन्त्रणं अवैधरूपेण प्राप्तुं भवति प्रोग्रामस्य डिजाइनं कुर्वन् इनपुट् स्ट्रिंग् मध्ये निहितानाम् SQL निर्देशानां जाँचस्य अवहेलना भवति, तथा च दत्तांशकोशः भूलवशं सामान्य SQL निर्देशः इति मन्यते, चालयति च, तस्मात् दत्तांशकोशः आक्रमणानां सम्मुखीभवति, यत् दत्तांशस्य चोरणं, परिवर्तनं कर्तुं शक्नोति , तथा विलोपिता, तथा च वेबसाइट् इत्यस्य क्षतिं अधिकं जनयति यथा दुर्भावनापूर्णसङ्केतस्य एम्बेडेड् भवति तथा च पृष्ठद्वारस्य कार्यक्रमाः प्रत्यारोपिताः भवन्ति।

सामान्यतया, SQL इन्जेक्शन् कृते स्थानानि अन्तर्भवन्ति:

1. प्रपत्रप्रदानं, मुख्यतया POST अनुरोधः, GET अनुरोधः अपि अन्तर्भवति;
2. URL पैरामीटर् प्रस्तुतीकरणं, मुख्यतया GET अनुरोधमापदण्डाः;
3. कुकी पैरामीटर प्रस्तुतीकरण;
4. HTTP अनुरोधशीर्षके केचन परिवर्तनीयमूल्यानि, यथा Referer, User_Agent इत्यादयः;
5. केचन धारनिवेशबिन्दवः, यथा .mp3 सञ्चिकानां काश्चन सञ्चिकासूचना इत्यादयः ।

सामान्यानि निवारणविधयः : १.

• सर्वे क्वेरी स्टेट्मेण्ट् दत्तांशकोशेन प्रदत्तस्य पैरामीटराइज्ड् क्वेरी इन्टरफेस् इत्यस्य उपयोगं कुर्वन्ति पैरामीटराइज्ड् स्टेट्मेण्ट् SQL स्टेट्मेण्ट् इत्यस्मिन् उपयोक्तृनिवेशचरानाम् एम्बेड् इत्यस्य स्थाने पैरामीटर्स् इत्यस्य उपयोगं कुर्वन्ति । प्रायः सर्वे वर्तमानदत्तांशकोशप्रणाल्याः पैरामीटराइज्ड् SQL स्टेट्मेण्ट् निष्पादन-अन्तरफलकानि प्रदास्यन्ति अस्य अन्तरफलकस्य उपयोगेन SQL-इञ्जेक्शन-आक्रमणानि प्रभावीरूपेण निवारयितुं शक्यन्ते ।
• दत्तांशकोशे प्रविशन्तः विशेषवर्णाः ('"<>&*; इत्यादयः) पलायनं कुर्वन्तु अथवा एन्कोड् कुर्वन्तु ।
• प्रत्येकस्य दत्तांशस्य प्रकारं पुष्टयन्तु उदाहरणार्थं, संख्यात्मकदत्तांशः सङ्ख्याः भवितुमर्हति, दत्तांशकोशे भण्डारणक्षेत्राणि च int प्रकारैः सह सङ्गतानि भवेयुः ।
• दत्तांशदीर्घता सख्यं निर्दिष्टा भवितुमर्हति, यत् अपेक्षाकृतं दीर्घकालं यावत् SQL-इञ्जेक्शन-कथनानां सम्यक् निष्पादनं निश्चितपर्यन्तं निवारयितुं शक्नोति ।
• वेबसाइट् इत्यस्य प्रत्येकस्य दत्तांशस्तरस्य एन्कोडिंग् एकीकृतं भवति सर्वेषां दत्तांशस्य कृते UTF-8 एन्कोडिंग् इत्यस्य उपयोगः अनुशंसितः अस्ति ।
• वेबसाइट् उपयोक्तृणां दत्तांशकोशसञ्चालनस्य अनुमतिः कठोररूपेण सीमितं कुर्वन्तु, अस्य उपयोक्तुः कृते केवलं तस्य कार्याय पर्याप्ताः अनुमतिः प्रदातव्याः, येन दत्तांशकोशस्य इन्जेक्शन-आक्रमणस्य हानिः न्यूनीकरोति
• वेबसाइट् SQL त्रुटिसन्देशान् प्रदर्शयितुं निवारयन्तु, यथा प्रकारदोषाः, क्षेत्रविसंगतिः इत्यादयः, आक्रमणकारिणः च एतेषां त्रुटिसन्देशानां उपयोगं कृत्वा केचन निर्णयान् कर्तुं निवारयन्तु
• वेबसाइट्-विमोचनात् पूर्वं एतानि SQL-इञ्जेक्शन-असुरक्षिततानि समये एव ज्ञातुं मरम्मतं च कर्तुं केषाञ्चन व्यावसायिक-SQL-इञ्जेक्शन-परिचय-उपकरणानाम् उपयोगः अनुशंसितः अस्ति

• क्रॉस्-साइट स्क्रिप्टिंग भेद्यता

क्रॉस्-साइट् स्क्रिप्टिङ्ग् (प्रायः XSS इति उच्यते) क्लायन्ट् पक्षे भवति तथा च गोपनीयतां, फिशिंग्, गुप्तशब्दं चोरयितुं, दुर्भावनापूर्णसङ्केतं प्रसारयितुं अन्ये आक्रमणानि च चोरयितुं उपयोक्तुं शक्यते

XSS आक्रमणेषु प्रयुक्ताः प्रौद्योगिकीः मुख्यतया HTML तथा Javascript सन्ति, यत्र VBScript, ActionScript च सन्ति । यद्यपि XSS आक्रमणानां WEB सर्वरस्य प्रत्यक्षं हानिः नास्ति तथापि ते वेबसाइट् मार्गेण प्रसारिताः भवन्ति, येन वेबसाइट् उपयोक्तृषु आक्रमणं भवति, यस्य परिणामेण वेबसाइट् उपयोक्तृलेखाः चोरिताः भवन्ति, अतः वेबसाइट् इत्यस्य गम्भीरं हानिः भवति

XSS प्रकारेषु अन्तर्भवति :

• अनित्यः क्रॉस्-साइट् : प्रतिबिम्बिता क्रॉस्-साइट् स्क्रिप्टिङ्ग् दुर्बलता वर्तमानकाले क्रॉस्-साइट् इत्यस्य सर्वाधिकं सामान्यः प्रकारः अस्ति । क्रॉस्-साइट् कोड् सामान्यतया लिङ्क् मध्ये विद्यते यदा एतादृशं लिङ्क् अनुरोधयति तदा क्रॉस्-साइट् कोड् सर्वरद्वारा पुनः प्रतिबिम्बितः भवति । उपर्युक्ताध्यायेषु दत्तानि उदाहरणानि तादृशाः परिस्थितयः सन्ति ।
• निरन्तरं क्रॉस्-साइट् : एषः प्रत्यक्षतमः प्रकारः क्रॉस्-साइट् हानिः क्रॉस्-साइट् कोडः सर्वरे (यथा दत्तांशकोशः) संगृहीतः भवति । एकः सामान्यः स्थितिः अस्ति यत् कश्चन उपयोक्ता मञ्चे पोस्ट् करोति यदि मञ्चः उपयोक्त्रा प्रविष्टं जावास्क्रिप्ट् कोड् दत्तांशं न छानति तर्हि अन्येषां उपयोक्तृणां ब्राउजर् ये पोस्ट् ब्राउज् कुर्वन्ति ते पोस्टरेण एम्बेडेड् जावास्क्रिप्ट् कोड् निष्पादयिष्यन्ति
• DOM cross-site (DOM XSS): इदं एकं cross-site vulnerability अस्ति यत् client DOM (Document Object Model) इत्यस्मिन् भवति मुख्यकारणं क्लायन्ट् स्क्रिप्ट् प्रोसेसिंग् लॉजिक् इत्यस्य कारणेन सुरक्षासमस्या अस्ति ।

सामान्यतया प्रयुक्ताः XSS निवारणप्रविधयः अन्तर्भवन्ति : १.

1. SQL-इञ्जेक्शन्-संरक्षणस्य अनुशंसानाम् इव, सर्वं निवेशं शङ्कितं इति कल्प्यते, सर्वेषु इनपुट्-मध्ये स्क्रिप्ट्, iframe इत्यादीनि शब्दानां सख्यं जाँचः करणीयः अत्र निवेशः न केवलं निवेश-अन्तरफलकः अस्ति यस्य सह उपयोक्तारः प्रत्यक्षतया अन्तरक्रियां कर्तुं शक्नुवन्ति, अपितु HTTP-अनुरोधयोः कुकीज-मध्ये चराः, HTTP-अनुरोध-शीर्षकेषु चराः इत्यादयः अपि समाविष्टाः सन्ति
2. न केवलं दत्तांशस्य प्रकारं, अपितु तस्य प्रारूपं, दीर्घतां, परिधिः, सामग्री च सत्यापयन्तु ।
3. केवलं क्लायन्ट् पक्षे दत्तांशसत्यापनं, फ़िल्टरिंग् च न कुर्वन्तु कुञ्जी-छनन-पदार्थाः सर्वर-पक्षे एव क्रियन्ते ।
4. आउटपुट् दत्तांशस्य अपि जाँचः करणीयः ।
5. स्वस्य अनुप्रयोगस्य विमोचनात् पूर्वं सर्वेषां ज्ञातानां धमकीनां परीक्षणं कुर्वन्तु।

• दुर्बलगुप्तशब्दस्य दुर्बलता

दुर्बलगुप्तशब्दस्य कठोरः समीचीना च परिभाषा नास्ति गुप्तशब्दानां सेट् करणं प्रायः निम्नलिखितसिद्धान्तान् अनुसृत्य भवति ।

1. रिक्तगुप्तशब्दानां अथवा प्रणालीपूर्वनिर्धारितगुप्तशब्दानां उपयोगं न कुर्वन्तु, ये सामान्यतया दुर्बलगुप्तशब्दाः इति ज्ञायन्ते ।
2. गुप्तशब्ददीर्घता ८ वर्णात् न्यूना न भवितुमर्हति ।
3. गुप्तशब्दः वर्णानाम् निरन्तरक्रमः (उदाहरणार्थं: AAAAAAAA) अथवा पुनरावृत्तिवर्णानां संयोजनं (उदाहरणार्थं: tzf.tzf.) न भवेत् ।
4. गुप्तशब्दः निम्नलिखितचतुर्प्रकारस्य वर्णानाम्, बृहत् अक्षराणां (AZ), लघुवर्णानां (az), सङ्ख्यानां (0-9) विशेषवर्णानां च संयोजनं भवेत् प्रत्येकस्य प्रकारस्य न्यूनातिन्यूनम् एकं वर्णं भवति । यदि कस्मिंश्चित् प्रकारे वर्णे एकमेव भवति तर्हि वर्णः प्रथमः अन्तिमः वा वर्णः न भवेत् ।
5. गुप्तशब्दे जन्मतिथिः, वार्षिकोत्सवतिथिः, प्रवेशनाम, ईमेल-सङ्केतः अन्ये च व्यक्तिः, मातापितरौ, बालकाः, जीवनसाथी च सम्बद्धाः सूचनाः, तथैव शब्दकोशे शब्दाः न समाविष्टाः भवेयुः
6. गुप्तशब्दाः कतिपयानां अक्षराणां स्थाने संख्यायुक्ताः चिह्नाः वा न भवेयुः ।
7. गुप्तशब्दाः स्मर्तुं सुलभाः, द्रुतप्रवेशः च भवेयुः येन अन्ये भवतः पृष्ठतः भवतः निवेशं सुलभतया न पश्यन्ति ।
8. अज्ञातप्रवेशकाः तस्य उपयोगं निरन्तरं न कर्तुं ९० दिवसेषु न्यूनातिन्यूनं एकवारं स्वगुप्तशब्दं परिवर्तयन्तु ।

• HTTP शीर्षकनिरीक्षणस्य दुर्बलता

HTTP/1.1 (RFC2616) विनिर्देशः HTTP TRACE पद्धतिं परिभाषयति, यस्याः उपयोगः मुख्यतया ग्राहकैः जालसर्वरं प्रति TRACE अनुरोधं प्रस्तूय निदानसूचनायाः परीक्षणार्थं वा प्राप्तुं वा भवति यदा जालसर्वरः TRACE सक्षमं करोति तदा प्रस्तुतं अनुरोधशीर्षकं सर्वरप्रतिसादस्य सामग्रीयां (शरीरम्) पूर्णतया प्रत्यागमिष्यति, यत्र HTTP शीर्षके Session Token, Cookies अथवा अन्यप्रमाणीकरणसूचनाः समाविष्टाः भवितुम् अर्हन्ति आक्रमणकारी वैधप्रयोक्तृणां वञ्चनाय, तेषां निजसूचनाः प्राप्तुं च एतस्य दुर्बलतायाः शोषणं कर्तुं शक्नोति स्म । यतः HTTP TRACE अनुरोधाः क्लायन्ट् ब्राउजर् स्क्रिप्ट् (यथा XMLHttpRequest) माध्यमेन आरभ्यतुं शक्यन्ते तथा च DOM अन्तरफलकस्य माध्यमेन प्रवेशः कर्तुं शक्यते, अतः आक्रमणकारिभिः तेषां सहजतया शोषणं भवति HTTP शीर्षकनिरीक्षणदुर्बलतायाः विरुद्धं रक्षणार्थं पद्धतयः सामान्यतया HTTP TRACE पद्धतिं निष्क्रियं कुर्वन्ति ।

• Struts2 दूरस्थ आदेशनिष्पादन दुर्बलता

अपाचे स्ट्रुट्स् जावा-जाल-अनुप्रयोगानाम् निर्माणार्थं मुक्त-स्रोत-रूपरेखा अस्ति । अपाचे स्ट्रुट्स् मध्ये एकः इनपुट् फ़िल्टरिंग् बग् अस्ति यस्य शोषणं कृत्वा मनमाना जावा कोड् इन्जेक्ट् कर्तुं निष्पादयितुं च शक्यते यदि रूपान्तरणदोषः भवति ।

वेबसाइट्-स्थानेषु दूरस्थ-सङ्केत-निष्पादन-दुर्बलताः भवन्ति इति अधिकांशकारणानि सन्ति यतोहि वेबसाइट्-जालस्थले Apache Struts Xwork-इत्यस्य उपयोगं वेबसाइट्-अनुप्रयोग-रूपरेखारूपेण करोति यतोहि अस्मिन् सॉफ्टवेयर्-मध्ये उच्च-जोखिम-दूरस्थ-सङ्केत-निष्पादन-असुरक्षाः सन्ति, अतः वेबसाइट् सुरक्षा-जोखिमानां सामनां करोति CNVD इत्यनेन एतादृशानां बहूनां दुर्बलतानां निवारणं कृतम्, यथा: "GPS Vehicle Satellite Positioning System" इति जालपुटे दूरस्थसङ्केतनिष्पादनदुर्बलता (CNVD-2012-11590); , इत्यादि।

• सञ्चिका अपलोड् दुर्बलता

सञ्चिका-अपलोड्-असुरक्षाः प्रायः जालपुट-सङ्केते सञ्चिका-अपलोड्-मार्ग-चरानाम् शिथिल-छननेन उत्पद्यन्ते यदि सञ्चिका-अपलोड्-कार्य-कार्यन्वयन-सङ्केतः उपयोक्तृभिः अपलोड्-कृतं सञ्चिका-प्रत्ययं सञ्चिका-प्रकारं च सख्यं न सीमितं करोति, तर्हि आक्रमणकारी सुलभ-निर्देशिकायाः ​​माध्यमेन किमपि सञ्चिकां अपलोड् कर्तुं शक्नोति Web इत्यस्य माध्यमेन, Website backdoor file (webshell) सहितं, तस्मात् website server इत्यस्य दूरतः नियन्त्रणं भवति ।

अतः जालपुटानां अनुप्रयोगानाञ्च विकासे अपलोड् कृतानां सञ्चिकानां कठोरप्रतिबन्धः सत्यापनश्च आवश्यकः, दुर्भावनापूर्णसङ्केतयुक्ताः सञ्चिकाः अपि अपलोड् करणीयाः तस्मिन् एव काले जालपुट-आक्रमणं निवारयितुं सम्बन्धितनिर्देशिकानां निष्पादन-अनुमतिः प्रतिबन्धिता भवति ।

• निजी IP पता लीक दुर्बलता

IP-सङ्केतः जाल-उपयोक्तुः महत्त्वपूर्णः सूचकः अस्ति तथा च आक्रमणकारिणः आक्रमणस्य आरम्भात् पूर्वं किं ज्ञातव्यम् । तत् प्राप्तुं बहवः उपायाः सन्ति, आक्रमणकारिणः अपि भिन्न-भिन्न-जाल-स्थित्यानुसारं भिन्न-भिन्न-विधयः स्वीकुर्वन्ति, यथा: IP-संस्करणस्य उपयोगेन जालपुटे परपक्षस्य नाम ping कर्तुं LAN-मध्ये Ping-आदेशस्य उपयोगः अन्तर्जालस्य प्रत्यक्षतया प्रदर्शयितुं QQ . परपक्षस्य जालदत्तांशपैकेट्-अवरुद्ध्य विश्लेषणं च अत्यन्तं प्रभावी उपायः अस्ति । आक्रमणकारी सॉफ्टवेयरद्वारा अवरुद्धस्य दत्तांशसमूहस्य IP शीर्षकसूचनाम् अन्वेष्टुं प्रत्यक्षतया विश्लेषितुं च शक्नोति, ततः एतस्याः सूचनायाः आधारेण विशिष्टं IP ज्ञातुं शक्नोति

अत्यन्तं प्रभावी "पैकेट् विश्लेषणविधि" कृते, भवान् किञ्चित् सॉफ्टवेयरं संस्थापयितुं शक्नोति यत् प्रेषितदत्तांशपैकेट्-शीर्षके IP सूचनां स्वयमेव निष्कासयितुं शक्नोति । परन्तु एतेषां सॉफ्टवेयरस्य उपयोगे केचन दोषाः सन्ति, यथा: एतत् संसाधनानाम् उपभोगं गम्भीररूपेण करोति तथा च केषुचित् मञ्चेषु अथवा जालपुटेषु प्रवेशं कुर्वन् अयं प्रभावितः भविष्यति; अद्यत्वे व्यक्तिगतप्रयोक्तृणां कृते स्वस्य IP गोपनस्य सर्वाधिकं लोकप्रियं पद्धतिः प्रॉक्सीसर्वरस्य उपयोगानन्तरं "अग्रेषणसेवा" बहिः प्रेषितदत्तांशपैकेट् परिवर्तयिष्यति, येन "पैकेटविश्लेषणम्" पद्धतिः अप्रभावी भवति केचन संजालसॉफ्टवेयराः ये उपयोक्तृ-IPs (QQ, MSN, IE इत्यादयः) सहजतया लीकं कुर्वन्ति, ते अन्तर्जालसङ्गणकेन सह सम्बद्धतां प्राप्तुं प्रॉक्सी-विधिनाम् उपयोगं समर्थयन्ति विशेषतः QQ-इत्यनेन संयोजयितुं "ezProxy" इत्यादीनां प्रॉक्सी-सॉफ्टवेयरस्य उपयोगस्य अनन्तरं QQ-संस्करणं न शक्नोति IP-सङ्केतं प्रदर्शयन्तु । यद्यपि प्रॉक्सी प्रभावीरूपेण उपयोक्तुः IP गोपयितुं शक्नोति तथापि आक्रमणकारी प्रॉक्सीम् अपि बाईपासं कृत्वा परपक्षस्य वास्तविकं IP-सङ्केतं अन्वेष्टुं शक्नोति यस्याः परिस्थितौ उपयोक्त्रा IP गोपनार्थं प्रयुक्ता पद्धतिः अपि परिस्थितौ निर्भरं भवति

• अगुप्तप्रवेशानुरोधः

यतो हि जालविन्यासः असुरक्षितः अस्ति तथा च प्रवेशानुरोधाः संवेदनशीलक्षेत्राणि यथा उपयोक्तृनाम गुप्तशब्दाः च अगुप्तरूपेण प्रसारयन्ति, आक्रमणकारिणः एतां संवेदनशीलसूचनाः चोराय जालपुटे चोरीकृत्य द्रष्टुं शक्नुवन्ति प्रसारणात् पूर्वं SSH इत्यादि गुप्तीकरणं अनुशंसितम् ।

• संवेदनशील सूचना लीकेज दुर्बलता

SQL injection, XSS, directory traversal, weak passwords इत्यादयः संवेदनशीलसूचनाः लीक् कर्तुं शक्नुवन्ति, आक्रमणकारिणः च दुर्बलतायाः माध्यमेन संवेदनशीलसूचनाः प्राप्तुं शक्नुवन्तिभिन्न-भिन्न-कारणानां कृते भिन्न-भिन्न-रक्षा-विधयः प्रयुज्यन्ते ।

• सीएसआरएफ

जाल-अनुप्रयोगाः B/S आर्किटेक्चरस्य उपयोगाय तथा HTTP/HTTPS-प्रोटोकॉल-माध्यमेन सेवां प्रदातुं सामान्यपदं निर्दिशन्ति । अन्तर्जालस्य व्यापकप्रयोगेन जाल-अनुप्रयोगाः दैनन्दिनजीवनस्य प्रत्येकस्मिन् पक्षे एकीकृताः सन्ति: ऑनलाइन-शॉपिङ्ग्, ऑनलाइन-बैङ्किङ्ग-अनुप्रयोगाः, प्रतिभूति-स्टॉक-व्यवहारः, सर्वकारीय-प्रशासनिक-अनुमोदनानि इत्यादयः एतेषु जालभ्रमणेषु अधिकांशः अनुप्रयोगः स्थिरजालभ्रमणं न भवति, परन्तु सर्वरपक्षे गतिशीलप्रक्रियाकरणं भवति । अस्मिन् समये यदि जावा, पीएचपी, एएसपी इत्यादीनां प्रोग्रामिंगभाषाणां प्रोग्रामराणां सुरक्षाजागरूकता अपर्याप्तं भवति तथा च प्रोग्रामपैरामीटर् इनपुट् इत्यादीनां सख्यं जाँचं न कुर्वन्ति तर्हि जालपुटस्य सुरक्षासमस्याः क्रमेण उत्पद्यन्ते

अतः उपर्युक्तानि दुर्बलतानि कालान्तरे कथं आविष्कृतानि भवेयुः ?

उल्लेखं कर्तव्यम् अस्तिभेद्यता स्कैनिंग सेवा VSS！！

भेद्यतास्कैनिङ्गसेवा किम् ?

अन्तर्जालस्य उदयात् आरभ्य दुर्बलता-आक्रमणानां उपयोगेन जालसुरक्षा-घटनानि निरन्तरं भवन्ति, ते च अधिकाधिकं गम्भीराः भवन्ति । विश्वे दुर्बलतायाः कारणेन आर्थिकहानिः प्रतिवर्षं महती भवति तथा च वर्षे वर्षे वर्धमाना अस्ति दुर्बलताः अन्तर्जालस्य हानिकारकेषु मुख्येषु अपराधिषु अन्यतमाः अभवन् तथा च जनसमुदायस्य केन्द्रबिन्दुः अपि अभवन्

"असुरक्षा-स्कैन्-सेवा (VSS) वेबसाइट्-स्थानानां भेद्यता-स्कैनिङ्ग-कृते सुरक्षा-परिचय-सेवा अस्ति । सम्प्रति सा सामान्य-असुरक्षा-परिचयः, भेद्यता-जीवनचक्र-प्रबन्धनम्, अनुकूलित-स्कैनिङ्गं च इत्यादीनि बहु-सेवाः प्रदाति । उपयोक्तारः नूतनं कार्यं निर्माय ततः परं ते मैन्युअल्-रूपेण स्कैनिङ्गं प्रवर्तयितुं शक्नुवन्ति वेबसाइट् दुर्बलतानां पत्ताङ्गीकरणाय कार्याणि च दुर्बलतामरम्मतसूचनानि प्रदातुं च।

संजालप्रणाल्यां दुर्बलतमलिङ्के निर्भरं भवति संजालप्रणाल्याः सुरक्षा गतिशीलप्रक्रिया अस्ति सर्वाधिकं प्रभावी मार्गः संजालप्रणाल्याः नियमितसुरक्षाविश्लेषणं स्कैनिङ्गं च करणीयम्, क समये एव तान् परिवर्तयन्तु।

• • भेद्यतास्कैनिङ्गसेवाअनुप्रयोगपरिदृश्यानि : १.
    1. वेबसाइट/अनुप्रयोग प्रणाली ऑनलाइन

यदा नूतना वेबसाइट्/अनुप्रयोगप्रणाली ऑनलाइन गच्छति तदा प्रथमं वेबसाइट्/अनुप्रयोगप्रणाल्याः सुरक्षामूल्यांकनं करणीयम् यत् ऑनलाइन वेबसाइट्/अनुप्रयोगप्रणाल्यां दुर्बलताः जोखिमाः च सन्ति वा इति आकलनं करणीयम्, तदनन्तरं वेबसाइट्/अनुप्रयोगप्रणाल्याः सुरक्षां सुनिश्चितं कर्तुं तत् ऑनलाइन गच्छति, तथा च हैक् अथवा हैक् भवितुं जोखिमं न्यूनीकर्तुं तथा च ऑनलाइन गमनस्य अनन्तरं वेबसाइट्/एप्लिकेशन सिस्टम् इत्यस्य सुरक्षितं संचालनं सुनिश्चितं कर्तुं।

1. 1. 1. वेबसाइट्/एप्लिकेशन सिस्टम् धमकीः आक्रमणानि च

यथा यथा नूतनाः धमकीः आक्रमणानि च वर्धन्ते तथा तथा जाल-अनुप्रयोगानाम् सुरक्षा प्रत्यक्षतया व्यावसायिक-विकासस्य स्थायित्वं प्रभावितं करोति । वेबसाइट्/अनुप्रयोगप्रणाल्याः प्रायः आक्रमणानां, संजालसुरक्षाधमकीनां च अधीनाः भवन्ति, यस्य परिणामेण संजालसूचनाः चोरीकृताः, पुनः प्रसारिताः, छेदनं, सेवायाः अस्वीकाराः च भवन्ति, तथैव संजालव्यवहारस्य अस्वीकारः, स्पूफिंग्, अनधिकृतप्रवेशः, वायरससंचरणं, अन्यसमस्याः च भवन्ति . सुरक्षानिरीक्षणं वेबसाइट्/एप्लिकेशन-प्रणाल्याः व्यापकं निरीक्षणं भवति, तथा च वेबसाइट्-स्थलस्य उपयोगं हैकर्-जनेन न भवतु, वेबसाइट्-सुरक्षां प्रभावितं न कर्तुं च व्यावसायिक-मरम्मत-सुझावः दीयते

1. 1. 1. वेबसाइट/अनुप्रयोगप्रणाली वास्तविकसमयनिरीक्षणम्

सर्वकारस्य, शिक्षायाः, वित्तस्य, अन्येषां च यूनिट्-समूहानां वास्तविकसमये वेबसाइट्-निरीक्षणस्य आवश्यकता वर्तते यदि समये एव अस्य दुर्बलतायाः मरम्मतं न भवति तर्हि सर्वकारस्य, शिक्षायाः, अन्येषां च इकानां प्रतिबिम्बं गम्भीररूपेण प्रभावितं करिष्यति, अतः उद्यमस्य महतीं हानिः भविष्यति। वेबसाइट/एप्लिकेशन सिस्टम सुरक्षायाः वास्तविकसमयनिरीक्षणं प्रबन्धनं च आवश्यकम् अस्ति। सुरक्षापरिचयः सहजतया निगरानीयपरिणामान् प्रदर्शयति, जोखिमानां आविष्कारमात्रेण भवन्तं सचेष्टयति, तथा च जालपृष्ठविसंगतयः शीघ्रं चिनोति तथा च दुर्बलतानां शोषणं न कर्तुं प्रणालीसुरक्षां प्रभावितं कर्तुं च सचेतनानि सूचयति

1. 1. 1. वेबसाइट्/अनुप्रयोगप्रणालीः अन्ये च अनुपालनस्य आवश्यकताः

सूचनासुरक्षास्तरस्य संरक्षणं मम देशे सूचनासुरक्षायाः मूलभूतप्रणाली अस्ति, यत्र संजालसञ्चालकानां जालसुरक्षास्तरसंरक्षणप्रणाल्याः आवश्यकतानां अनुपालनं आवश्यकम् अस्ति कवर्गस्य गारण्टीयां वेबसाइट/अनुप्रयोगप्रणालीसञ्चालकानां कृते वर्षे न्यूनातिन्यूनं द्विवारं सुरक्षामूल्यांकनं कर्तुं आवश्यकं भवति यत् कवर्गस्य गारण्टी अनुपालनं सुनिश्चितं भवति। सुरक्षापरीक्षणं तेषां उपयोक्तृणां सहायतां करोति येषां एतादृशबीमायाः आवश्यकता वर्तते ते सुरक्षामूल्यांकनं कर्तुं तथा च एतादृशबीमायाः अनुपालनावश्यकतानां पूर्तये!

• • सामान्यतया भेद्यतास्कैनिङ्गसेवायां किं किं समावेशितम् अस्ति?
    1. जाल-असुरक्षा-स्कैनिङ्गम्

वेबसाइट् इत्यस्य लूपहोल्, दुर्बलता च हैकर्-जनाः सहजतया आक्रमणं कर्तुं, दुष्प्रभावं आनेतुं, आर्थिकहानिम् आनेतुं च शक्नुवन्ति ।

सामान्य भेद्यता स्कैन：समृद्धं भेद्यता नियमपुस्तकालयं विभिन्नप्रकारस्य वेबसाइट् कृते व्यापकं गहनं च भेद्यतास्कैनिङ्गं कर्तुं शक्नोति तथा च व्यावसायिकं व्यापकं च स्कैनिङ्गप्रतिवेदनं प्रदातुं शक्नोति।

अत्यन्तं तात्कालिकदुर्बलतां स्कैन कुर्वन्तु：अत्यन्तं तात्कालिक CVE दुर्बलतायाः कृते सुरक्षाविशेषज्ञाः तत्क्षणमेव दुर्बलतायाः विश्लेषणं कुर्वन्ति, नियमाः अद्यतनं कुर्वन्ति, द्रुततमं व्यावसायिकं च CVE दुर्बलतास्कैनिङ्गं च प्रदास्यन्ति

1. 1. 1. दुर्बलगुप्तशब्दस्कैनिङ्गम्

होस्ट् अथवा मिडल्वेयर इत्यादीनि सम्पत्तिः सामान्यतया दूरस्थप्रवेशार्थं गुप्तशब्दानां उपयोगं कुर्वन्ति, आक्रमणकारिणः च प्रायः स्वस्य उपयोक्तृनामानि दुर्बलगुप्तशब्दानि च ज्ञातुं स्कैनिङ्ग-प्रौद्योगिक्याः उपयोगं कुर्वन्ति

अनेकाः दृश्याः उपलभ्यन्ते：व्यापकं OS संयोजनं, मध्यवेयरस्य ९०% भागं कवरं कृत्वा, मानकजालसेवानां, ऑपरेटिंग् सिस्टम्, डाटाबेस् इत्यादीनां कृते दुर्बलगुप्तशब्दपरिचयस्य समर्थनं करोति ।

दुर्बलगुप्तशब्दानां समृद्धं पुस्तकालयम्：समृद्धं दुर्बलगुप्तशब्दमेलनपुस्तकालयः, विविधपरिदृश्येषु दुर्बलगुप्तशब्दानां अन्वेषणार्थं हैकर्-अनुकरणं करोति, गुप्तशब्दपरिचयार्थं च कस्टम्-शब्दकोशानां समर्थनं करोति

1. 1. 1. मिडिलवेयर स्कैनिङ्ग

मिडिलवेयर उपयोक्तृभ्यः जटिल-अनुप्रयोग-सॉफ्टवेयर-विकासे लचीलेन कुशलतया च एकीकृत्य सहायं कर्तुं शक्नोति एकदा हैकर्-द्वारा दुर्बलतानां आविष्कारः शोषणं च भवति चेत्, तत् उपरितन-नीच-स्तरयोः सुरक्षां प्रभावितं करिष्यति

समृद्धाः स्कैनिङ्ग परिदृश्याः：मुख्यधाराजालपात्रस्य, अग्र-अन्त-विकास-रूपरेखायाः, पृष्ठ-अन्त-सूक्ष्मसेवा-प्रौद्योगिकी-ढेरस्य च संस्करण-असुरक्षां विन्यास-अनुपालन-स्कैनिङ्गं च समर्थयति ।

बहुविधाः स्कैनिङ्गविधयः वैकल्पिकाः：एतत् मानकसङ्कुलम् अथवा अनुकूलितसंस्थापनम् इत्यादिभिः विविधैः पद्धतिभिः सर्वरे मध्यवेयरस्य तस्य संस्करणस्य च पहिचानं समर्थयति, सर्वरे दुर्बलताजोखिमान् व्यापकरूपेण आविष्करोति च

1. 1. 1. सामग्री अनुपालनपरीक्षणम्

यदा कस्यापि जालपुटे अनुपालनहीनभाषणं ज्ञायते तदा तया कम्पनीयाः ब्राण्ड्-अर्थव्यवस्थायाः बहुविधहानिः भविष्यति ।

सटीकपरिचयः：वर्तमानराजनैतिकहॉटस्पॉट्-जनमत-घटनानां नमूना-आँकडानां समकालिकरूपेण अद्यतनीकरणं कुर्वन्तु, तथा च विविध-अश्लील-हिंसा-सम्बद्धानां, आतङ्कवाद-सम्बद्धानां, राजनैतिक-सम्बद्धानां अन्येषां च संवेदनशील-सामग्रीणां सटीकरूपेण स्थानं ज्ञातुं शक्नुवन्ति

स्मार्ट एवं कुशल：पाठस्य प्रतिबिम्बसामग्रीणां च विषये सन्दर्भात्मकशब्दार्थविश्लेषणं कुर्वन्तु, जटिलपाठरूपान्तराणां च बुद्धिपूर्वकं पहिचानं कुर्वन्तु।

• सारांशः - १.

एकदा अपराधिभिः दुर्बलतायाः शोषणं जातं चेत् कम्पनीनां महती हानिः भविष्यति । यदि भवान् सक्रियरूपेण वेबसाइट्-जोखिमान् आविष्कर्तुं शक्नोति तथा च समये सुधारात्मक-उपायान् कर्तुं शक्नोति तर्हि भवान् जोखिमान् हानिम् च न्यूनीकर्तुं शक्नोति । अतः सक्रियनिवारकपरिपाटरूपेण भेद्यतास्कैनिङ्गं हैकर-आक्रमणानां प्रभावीरूपेण परिहाराय, कलिके निपिङ्ग-समस्यानां च महतीं भूमिकां निर्वहति

भेद्यतास्कैनिङ्गसेवाः वेबसाइट् सुरक्षाप्रबन्धनस्य समक्षं स्थापितानां चुनौतीनां प्रभावीरूपेण समाधानं कर्तुं शक्नुवन्ति, तथा च सुरक्षानिरीक्षणकार्य्ये आवश्यकं कार्यक्षमतां सटीकतां च उत्तमरीत्या पूरयितुं शक्नुवन्ति, येन वेबसाइट्-अनुप्रयोगानाम् सुरक्षाप्रबन्धनस्तरस्य सुधारः भवति