מילון המונחים כולל אוסף של מונחים טכניים שמוזכרים במסמכי התיעוד בנושא אבטחה.
- הרשאות אדמין
- הרמה הגבוהה ביותר של הגדרת חשבון ההרשאות במערכת. ההרשאות האלה מאפשרות לבצע פעולות כמו מחיקת האתר כולו, איפוס סיסמאות והעלאת קבצים.
- דלת אחורית
- תוכנה שמותקנת במערכת במטרה לעקוף את אמצעי הבקרה על האימות ולשמור על הגישה של ההאקר למערכת הזו.
- הסוואה
התהליך של הצגת תוכן שונה או כתובות URL שונות למשתמשים ולמנועי חיפוש.
לדוגמה, סקריפטים דינמיים וכללי
.htaccess
יכולים להחזיר קודי סטטוס בהתאם לבקשות שמעובדות. האקרים משתמשים בהסוואה כדי להסתיר את המסלולים שלהם, על ידי החזרת קוד שגיאה 404 או 500 לכתובות IP או לדפדפנים מסוימים, תוך הצגת ספאם לכתובות IP או בדפדפנים אחרים.- קובצי תצורה
קבצים שמאחסנים מידע כמו מיקום מסד הנתונים ופרטי כניסה של אתרים דינמיים.
- מערכת ניהול תוכן (CMS)
חבילות תוכנה שעוזרות למשתמשים ליצור ולערוך אתרים. הדוגמאות כוללות את WordPress, Drupal ו-Joomla! , אבל יש הרבה אפליקציות אחרות, כולל כמה כאלה שנבנה בהתאמה אישית.
- מומחים בתחום הדיגיטלי
אנשים או צוותים שיכולים לעזור לכם לנקות את האתר ולזהות איך הוא נפגע.
- דף אינטרנט סטטי
דף אינטרנט שמורכב מקובץ יחיד ולא משתנה שמציג תוכן של אתר.
- דף אינטרנט דינמי
דף אינטרנט המשתמש בסקריפטים ובתבניות כדי ליצור תוכן באתר. המערכת יוצרת כל דף מחדש בכל פעם שיש בקשה לקבלת הדף.
eval()
פונקציית PHP ו-JavaScript שמעריכה מחרוזת ומחזירה את התוצאה. לא מומלץ להשתמש בפונקציות הערכה כשאתר מטפל בקלט של משתמשים, כי הן יוצרות נקודת חולשה שמאפשרת לתוקפים להחדיר קוד זדוני (לדוגמה, על ידי החדרה של פקודות PHP מזיקות).
- File Transfer Protocol (FTP)
פרוטוקול המשמש להעברת קבצים ממחשב אחד לאחר.
- קבצים מוסתרים
קבצים שלא מופיעים בספרייה כברירת מחדל. בדרך כלל, קבצים כמו
.htaccess
מוסתרים כדי להגן על מידע חשוב מפני שינוי בטעות. עליכם להגדיר את מערכת הקבצים כך שתאפשר לכם לראות ולערוך קבצים מוסתרים.- קודי מצב HTTP
תגובות סטנדרטיות ששרתי אינטרנט מחזירים יחד עם תוכן כשהמשתמשים מנסים ליצור אינטראקציה עם הדף, למשל במהלך טעינת דף או שליחת תגובה. הקודים האלה עוזרים למשתמשים להבין איך האתר מגיב או לזהות שגיאות. הרשימה המלאה של קודי הסטטוס והמשמעויות שלהם מופיעה בדף קוד הסטטוס של World Wide Web Consortium.
- iFrame
קוד שמאפשר לדף אינטרנט להציג תוכן מדף אחד בדף אחר. מסגרות iframe מוסתרות הן שיטה נפוצה שהאקרים משתמשים בה כדי להפנות משתמשים לאתרים שלהם.
- קובץ יומן
קבצים שבהם שרתי אינטרנט מתעדים בקשות של משתמשים כדי לעקוב אחרי כל הפעילויות המבוצעות בשרת. תוכלו לזהות ניסיונות פריצה או תנועה חשודה לאתר על ידי עיון בקובצי יומן.
- תוכנה זדונית
כל תוכנה שתוכננה במיוחד כדי להזיק למחשב, לתוכנות שפועלות בו או למשתמשים בו. מידע נוסף זמין במאמר תוכנות זדוניות ותוכנות לא רצויות.
- ערפול קוד (obfuscation)
זו טקטיקה שהאקרים משתמשים בה כדי לבלבל אנשים שמפרשים את הקוד שלהם. לשם כך, קשה יותר לקרוא את הקוד. שיטות נפוצות לערפול קוד (obfuscation) שהאקרים משתמשים בהן כוללות החלפת תווים, שמות משתנים שמבלבלים בכוונה, באמצעות קידודים כמו
base64
,rot13
,gzip
, קידוד כתובות URL, קידוד הקסדצימלי או שילוב של השיטות האלה. בשיטות מסוימות של ערפול קוד (obfuscation), כמוbase64
ו-gzip
, גם משתמשים כדי לדחוס ולהסתיר כמויות גדולות של קוד, כמו מעטפת אינטרנט שלמה.- פישינג
סוג של הנדסה חברתית שמטעה משתמשים וגורם להם למסור מידע רגיש כמו שמות משתמשים או סיסמאות, על ידי התחזות למקור מהימן. לדוגמה, דייגן עשוי לשלוח אימייל לקורבן פוטנציאלי שמתחזה לבנק שלו ולבקש את פרטי הכניסה שלו לחשבון הבנק. למידע נוסף, ראו מניעה של התקפות פישינג ודיווח עליהן.
- Search Console
שירות בחינם ש-Google מציעה, שעוזר לכם לנטר את האתר שלכם ולתחזק את נוכחות האתר בתוצאות החיפוש ב-Google. Google משתמשת גם ב-Search Console כדי לפנות לבעלי אתרים בנוגע לבעיות באתרים. מידע נוסף זמין במאמר מידע על Search Console.
- Sitemap
קובץ שמכיל רשימה של דפי אינטרנט באתר לעדכון מנועי חיפוש על הארגון של תוכן האתר. למידע נוסף, קראו את המאמר מידע על קובצי sitemap.
- הנדסה חברתית
שיטה שמאפשרת להשיג גישה למידע רגיש או לשליטה בו, על ידי ניסיון להטעות אנשים כדי שיספקו גישה למידע במקום לתקוף את הקוד ישירות. פישינג הוא אחד הסוגים הנפוצים ביותר של הנדסה חברתית. מידע נוסף זמין במאמר הנדסה חברתית (פישינג ואתרים מטעים).
- עלייה חדה בנפח התנועה
עלייה פתאומית או לא צפויה בתנועת הגולשים לאתר.
- אימות דו-שלבי (2FA)
מנגנון אבטחה להגנה על ההתחברות לחשבון באמצעות דרישה לשני אסימונים לפחות להוכחה. לדוגמה, יכול להיות שמשתמש באימות דו-שלבי יצטרך גם סיסמה וגם קוד אבטחה שיקבלו ב-SMS כדי להיכנס לחשבון שלו.
- שירות אירוח באינטרנט
שירות שמספק למשתמשים מקום לאירוח האתר שלהם בשרת אינטרנט, לדוגמה Google Sites. יכול להיות שתכונות או כלים נוספים יהיו זמינים, בהתאם לשירות.
- שפות סקריפטים של אינטרנט
לעיתים קרובות משתמשים בשפות תכנות לצד HTML כדי להוסיף תכונות לאתר, כולל עיבוד טפסים, ניהול תגובות או אפקטים חזותיים מיוחדים. במדריכי השחזור נעשה שימוש בשפת סקריפטים כדי להפנות ל-PHP או ל-JavaScript.
PHP היא שפת סקריפטים בצד השרת, כלומר שרת האינטרנט מפרש ומפעיל את הפקודות שלו. JavaScript הוא בעיקר שפה בצד הלקוח, כלומר הדפדפן של המשתמש מפרש ומפעיל את הפקודות שלו.
- שרת אינטרנט
המכונה והתוכנה שמארחים דפי אינטרנט וקבצים אחרים שקשורים לאתר, ושולטים בהם.
- מעטפת אינטרנט
סקריפט Backdoor המאפשר לתוקפים לשמור על גישה לשרת.
- ספאם אינטרנט
טקטיקות מטעות של אופטימיזציה למנועי חיפוש (SEO) או תוכן ספאם שמנסים לשפר את הדירוג של האתר או את הפופולריות שלו על ידי הטעיה ומניפולציה של מנועי חיפוש.