Information Security

अपनी वेबसाइट को सिक्योर कैसे रखें ?

1. बार बार लोगिन करने वाले user को ब्लॉक कर दें। ये ब्रूट फ़ोर्स अटैक हो सकता है।

2. अपने एडमिन यूआरएल को बदल दें और केवल उन लोगों के आई पी अलौ करें जो वेबसाइट को मैनेज करते हैं

३. अपनी वेबसाइट पर एक्सेस कंट्रोल जरूर लगाएं। किस यूजर को क्या क्या एक्सेस करना चाहिए ये डिफाइन करें

4. कोई भी हैकर आपकी साइट पर रुट किट के जरिये वायरल कोड डाल सकता है। जिसकी वजह से आप के वेब पेजेज इंफेक्ट हो सकते हैं और आपके कस्टमर के सिस्टम को भी इंफेक्ट कर सकते हैं। इसे क्रॉस साइट स्क्रिप्टिंग कहते हैं। किसी भी ईमेल पर यूँ ही क्लिक ना करें वो आपके सिस्टम पर ट्रोजन से रूटकिट डाल सकता है। किसी भी यूजर को स्क्रिप्ट डालने की इज़ाज़त ना दें।

5. कई बार यूजर की रिक्वेस्ट को फोर्ज किया जाता है। यूजर डेटा अपडेट कर रहा है लेकिन डेटा डिलीट हो जाता है। यूजर करना कुछ और चाहता है लेकिन हो कुछ और जाता है। इसे क्रॉस साइट रिक्वेस्ट फोर्जरी कहते हैं। अपने फॉर्म्स पर वेलिडेशन लगाएं। स्क्रिप्ट इनपुट को ब्लॉक करें।

6. कई बार हैकर फॉर्म के पीछे चलने वाली डेटाबेस क्वेरी को मॉडिफाई कर एक नयी क्वेरी चला देता है जिससे डेटाबेस खराब हो सकता है। फॉर्म क्वेरी के डेटा को सिक्योर फंक्शन्स से पास करें।

7. अगर आपने यूजर को फाइल अपलोड करने की परमिशन दी है तो उसपे साइज और टाइप के चेक लगाएं नहीं तो आपका सर्वर भर सकता है और डिनायल ऑफ़ सर्विस हो सकता है

8. अगर आप टेस्टिंग के दौरान किसी और यूजर के लोगिन से काम करना चाहते हैं तो यूजर स्विच का मॉडल डालें जिससे ये ट्रैक होता रहे की आपने कब दुसरे यूजर को इम्पेरसनेट किया था

9. सर्वर की कॉन्फ़िगरेशन को वेब पेज पर ना दिखाएँ

10. वेबसाइट के एरर को पेज पर ना दिखाएँ। इससे हैकर फुटप्रिंट कर सकता है।

11. अपनी ब्राउज़र कैश में बैंक के लोगिन पेज को स्टोर होने ना दें

12. जब भी किसी टीम मेंबर से डेटाबेस या कोड शेयर कर रहे हैं तो उसे पहले सनीटाइज़ करें। उसमे छिपे पासस्वॉर्ड्स बदल दें।

13. ईमेल पर हमेशा आधा पासवर्ड शेयर करें . आधा फ़ोन पर बताएँ।

14. अपनी वेबसाइट पर यूसेज की और लोगिन लोग आउट की ऑडिट ट्रेल जेनरेट करें

15. रोल बैक और बैकअप ऑप्शंस जरूर रखें

16. लॉग्स को चेक करते रहे

17. अपनी इनफार्मेशन को शादी, लिंक्ड इन , मॉन्स्टर, नौकरी और फेसबुक जैसी वेब्सीटेस पर छुपा कर रखें। ये सब फूटप्रिंटिंग के काम आती हैं।

18. सबसे सिक्योर टेम्पलेट इंजन का प्रयोग करें।

19. अपने मोडूल को अपडेट करते रहे।

20. अपने पासवर्ड काम्प्लेक्स रखें और शेयर ना करें।

21. अपने कंटेंट मैनेजमेंट सिस्टम पर कोड डायरेक्ट कोड एक्सेक्युट ना करने दें। केवल ट्रस्टेड यूजर को ही अलाव करें

22. सिस्टम पर की लोगगेर्स का धयान रखें

23. सर्वर को अपडेट करते रहे

24. फॉर्म इनपुट्स को एनकोड करें

25. वेबसाइट का एंटी वायरस स्कैन करवाते रहे

26. सिक्योर पेजेज के लिए एस एस एल सर्टिफिकेट इनस्टॉल करें। ऐसा करने से डेटा सर्वर से निकलने से पहले पब्लिक की से एन्क्रिप्ट हो जाएगा और फिर ब्राउज़र उसे प्राइवेट के से डिक्रिप्ट कर लेगा।

27. किसी भी वेब पेज स्क्रिप्ट पर डायरेक्ट एक्सेस ब्लॉक करें।

28. फॉर्म फील्ड्स को वलिडेट करें और आटोमेटिक स्क्रिप्ट्स या टूल्स को डिटेक्ट करने के लिए ह्यूमन टूरिंग टेस्ट करें या कॅप्चा लगाएं

अमरीकन हैकर भारत में क्यों ?

एन एस ए के इंफो लीक करने के तीन साल पहले स्नोडेन जापान से दिल्ली आया था और यहाँ पर Koenig Solutions मोती नगर से उसने EC-Council Certified Security Analyst (ECSA) का ४ दिन का और जावा का कोर्स किया। वो पहले से ही एक certified hacker था। वो कोएनिग में ट्रैनिंग लेने के दौरान ZeuS, Fragus, and SpyEye crimeware किट्स के बारे में भी पूछा करता था। जापान में वो dell के लिए काम kar rahaa था।

तीन साल पहले स्नोडेन दिल्ली आया था और यु एस एम्बेसी में टेक्निकल एक्सपर्ट के रोल पे काम भी किया था और फिर अमरीका चला गया था। आखिर क्या करने आया था स्नोडेन भारत में ?

अब तक का सफ़र

एन आई आई टेक्नोलॉजीज के साथ काम करते करते दो वर्ष होने वाले हैं और हर पल यहाँ कुछ नया सीख रहा हूँ। इससे पहले का लंबा सफ़र ज़यक्सेल कम्युनिकेशन्स के साथ रहा है जहां पर तीन वर्षों तक लगातार भयंकर टेक्नोलॉजीज पे काम किया। वाई फाई गेटवे , राऊटर , मॉडेम, फ़ायरवॉल, मैनेज्ड और अनमैनेज्ड स्विच, नास और इस तरह कि सोलह ब्रॉडबैंड यंत्रों पे प्रोफेशनल लेवल के सर्टिफिकेशन हासिल किये। इसके साथ साथ सिक्यूरिटी गेटवे पर ट्रेनर लेवल का सर्टिफिकेशन भी हासिल किया। वेब पर मास्टरी करने का ये सफ़र इतना आसान नहीं रहा है। सिक्यूरिटी गेटवे का मेरा पूरा सेशन आपको यहाँ मिल जाएगा।

ज़यक्सेल ज्वाइन करने से पहले लाइव सेल्स मैंन में काम किया जहां पर अलग अलग तरह के सर्वर्स का कॉन्फिग्रेशन किया। उनमे से लिनक्स पर डी एन एस कॉन्फ़िगर करने का विडियो टुटोरिअल यूटुब पे भी डाला। ये विडियो आप यहाँ पर देख सकते हैं।

ज़यक्सेल के बाद पॉवर जगत में आया और यहाँ आईसीआईसीआई बैंक का पेमेंट गेटवे लगाना सीखा। वेबसाइट और सर्वर की थ्री फेज सिक्यूरिटी टेस्टिंग करवाई। और कई तरह के कार्यों को ऑटोमेट किया। यहीं पर अपनी टीम के साथ मिलकर एथिकल मास मेलिंग टूल बनाया। और सीखा कि कैसे राव डाटा को मीनिंगफूल ग्राफ्स में बदलना है।

सफ़र लंबा था लेकिन अभी इतना ही लिखकर ख़तम करता हूँ। धन्यवाद।