Barkirvanê pelê
Çima barkirina pelan risqek dike?
Şêwaza pelan ji bikarhêneran re qebûl kirin gelek çêdike, lê ger ne baş veşart bê, dikare ku berhemên girîng ên zaf çelê de bibe. Hêjmarê îqtidarê dikarin barkirina pelan bi kullanin da ku kodên xwe yên xwe pêşxistin, bi têkildana serverê krizînin, pêşkeftina pelan xwerû ve bide.
Tebiqayên sereke yên tehlike hene:
- Barkirina/karûbarê web shell — Skripteke neya xwe barkirin ji bo alîkariya dûr.
- Pelan bi malware — Tehlika duyemîn ku ji bo têkirina kesên din.
- Traversala rê — Bi taybetî rê xwerû ve ji bo cihê nehatîn ve kîjan dike.
- DoS (ZIP bomb, pelan mezin) — Daxuyaniya xwerû an jî işleşmê kîjan dike.
- Peyva xort / MIME sotî — Biyent şêwaz û Content-Type sotî bi kêmanî pêçan dibe.
- XSS bi şopandina — Di nava purêle SVG an HTML de skripteke têkar dike.
Bingehî çarenûsan "şêwaza çewtav (defense in depth)" e. Ku tiştekî bi taybetî ne biparêze, tevlî hev radikevin beramberin.
Çarenûsan: Rêzefîyên pêwendî der barê dizaynê
Kontrolên hertî û MIME (şêwazê whitelist)
Bikaranînê hertîyên qebûlkirîyê bihêlin, û qebûl an na qebûl dakêşin bi hertî yê tenê. Şîfreya pelan (numreyê magic) kontrol bikin û naverokê vertînin. Hevpeyvina Content-Typeê ne parêzînin, û şîfrek bibe ku du hertîyan an jî NULL byte hêtin carek dikin.
Amade kirina navê pelan û vegerandin
Navê pelan ku bikarhêner li pey da, ne qebûl bikin. Bi UUID an jî hash + timestamp, navê taybetîyê çêbikin, navê pelê eslê nîşan bê ve qebûlkirin. Belav kirina tîpan taybet ên ku tu şêwaza ku tê da destûr dide.
Cihê guardar û mafên kontrol
Pelan şaş bibe ewlehiyên web rootê, û gelek girîng e ku ne kar dibe. Gér alîkarê obîektê taybet (nimûne: S3) bide, û ji appê ve girêdana qebûl bikin. Pelên girtin û ber ve girêdanên karîyê xwe jededikê dikevin.
Sînorên mezinî / kontrola barkirina heman demî
Mezinahiya pelan herî zeyid bikini, ji bo heman demî barkirin û kontrola rêya şerî niha. Ger pelên paketin (ZIP hwd) qebûl bikin, her pelan pêşveçûnê kontrol bikin.
Scanê malware / wahünkarî (CDR)
Di destûrê barkirina da, virus scan kirin (ger guneh hene bi hêvî ya zêde). PDF / Office hwd yan CDR (Çarçovek Dişare û Dûrî) li viran dikin. Weya pelan li pêşxistin bi nû ye piştgirî, ji bo xwe azad kirin.
HTTPS / Parastina tevger & çarenûsa CSRF
Tevgera bikarhêner hêmeniz ku bi TLS (HTTPS) parastina. Ji bo bersivê çêdike Content-Disposition: attachment an jî X-Content-Type-Options: nosniff ve girêdana ku mîmre dê hêtin parastin.
Logs / ya şopandina / mekanîzmê agahiyê
Kî, kî janî kî pelan bi taybetî ya ku pişte dan. Nivîsandineke bide nîşan dide ku taybetî bibin, têkildana beramberin (voorwaarden tehlikeye) bidin.
Testên şewşî / testên penetration
Piştî çêkirinê testiyan taybet dike ku şewş an Jenoside (injection), şîfre veguhastîn, traversala rê an jî kontrol bike û bi rêzek de kontrol bikin.
Bi şîrove ya UploadF re
Li vir wî şînade hêzinê UploadF (uploadf.com) girtî ye ku bi PC/telefonî keşti hene, drag & drop, 100 pelan heman demî dikare barkir fehmeke nasname yên taybetî de.
Kontrolkêşa destnîşan (niştiman) ji ber ira
| Proje û Kontrol | Amade / Bêşîyên ku di rêzefiyan de |
|---|---|
| Kontroleyên hertî | Tenê şeklan ku pêdivî ne qebûl bikin. Lîsteya reş hene. |
| Kontrolê MIME/Çêhênûk | Agahiyê ji hertî û neneverokê kontrol bikin (numreyê magic). |
| Navê pelan ve veguhasînin | Bi UUID an jî navê hash ve veguhastin, navê eslê ji ber agirê dan de. |
| Tîpan taybet ên jî birin | `/`, `\`, `..`, NULL û şertan vedîçînin. |
| Cihê guardarê | Li derve yê web rootê ger an jî obîektê taybet be, ku ne büreyê girtin. |
| Parastina standên | Ne bikipînin, kêm di standê de derbarê çawî. (principe of least privilege). |
| Pele mezin / kêm | Mezinahiya zêde binivîse, û kontrola pelê ZIP-an hwd pelên nerît. |
| Kontrola barkirinê heman dema têlmî | Çekişîna pêşin diskirin, hwd girêdana têhlika. |
| Virolê scanê / CDR | Piçûk xorjin ya şopandinê û pêdivî di hol dikin. |
| Parastina kîjan (HTTPS) | TLS pêşazar (ku bi karûbarê bêt.) |
| Çîroka CSRF | Çêdike li ser tawanan de, li vir girêdanê. |
| Destnîşanda bersivê | Content-Disposition: attachment, X-Content-Type-Options: nosniff hwd bi da. |
| Logê zêde & Agahî | Şopandinan barkirin û heman aqlava re. |
| Rêvebirina ikirina güvenliyan | Testên vulnêber / penetration bi tempo. |
| Pele hanyê ji ber hemî şopîyê | Ev jî hevjîn ser helatiya tendûra. |
| Paçokên xirda / pêşwas dike | Kontrol bi nizamê avahî ya muşt seba.[Portico] |
Berhemê û nîşana bikarhêneran
Şêwaza barkirina pelan heke dangê xurt û risq bideyên. Jêzayên nivîs û şêwazê yên hawar (whitelist, kontrolê signatûr, cihê girtinê veşartê, çarenûse malware, kontrol log) ji bo endam dikare avahî bikî.
Bikarhêneran waşkar e ku "hêvî li bînin, û li taybetî yê mûsa dikin" bi mahal da. Mînakem, UploadF (uploadf.com) bi yê taybetî, vekinê an jî jawahirdar e, hester xurt dibe.
Çavkanî / Beyana referans (kêmasî)
- OWASP — Talî û Avahiyê Nivîsê Pelan
- OPSWAT — Parastina barkirina pelan / çêbûn lesar
- PortSwigger — Tehlikên barkirina pelan
- SANS Institute — Rehberiya Ewlehiyê yê barkirina pelan
- UploadF (uploadf.com) — Barkira pel/barkirina pelan (Malper)
※ Eger nişteciyeke ji bo hatine, bide ser wî dilanîn. Lebêna pêşim bikini ji wan malpar bibin.
Serkeftin Alîkarî Têkilî 🌐Language