อภิธานศัพท์นี้ครอบคลุมกลุ่มคำศัพท์ทางเทคนิคที่มีการกล่าวถึงในเอกสารประกอบด้านความปลอดภัยของเรา
- สิทธิ์ของผู้ดูแลระบบ
- การตั้งค่าบัญชีสิทธิ์ระดับสูงสุดในระบบ สิทธิ์เหล่านี้อนุญาตให้ดำเนินการต่างๆ เช่น ลบทั้งเว็บไซต์ รีเซ็ตรหัสผ่าน หรืออัปโหลดไฟล์
- ประตูหลัง
- โปรแกรมที่ติดตั้งในระบบเพื่อข้ามการควบคุมการตรวจสอบสิทธิ์และรักษาสิทธิ์เข้าถึงระบบของแฮ็กเกอร์
- การปิดบังหน้าเว็บจริง
การนำเสนอเนื้อหาหรือ URL ที่แตกต่างกันให้แก่ผู้ใช้ที่เป็นมนุษย์และเครื่องมือค้นหา
เช่น สคริปต์แบบไดนามิกและกฎ
.htaccessสามารถแสดงรหัสสถานะตามคำขอที่กำลังดำเนินการ แฮ็กเกอร์ใช้การปิดบังหน้าเว็บจริงเพื่อซ่อนแทร็กของตนโดยการแสดงรหัสข้อผิดพลาด 404 หรือ 500 ไปยังที่อยู่ IP หรือเบราว์เซอร์บางรายการ ขณะที่แสดงสแปมไปยังที่อยู่ IP หรือเบราว์เซอร์อื่น- ไฟล์การกำหนดค่า
ไฟล์ที่จัดเก็บข้อมูล เช่น ตำแหน่งฐานข้อมูลและข้อมูลเข้าสู่ระบบสำหรับเว็บไซต์แบบไดนามิก
- ระบบจัดการเนื้อหา (CMS)
แพ็กเกจซอฟต์แวร์ที่ช่วยให้ผู้ใช้สร้างและแก้ไขเว็บไซต์ ตัวอย่างเช่น WordPress, Drupal และ Joomla! แต่ก็มีเบราว์เซอร์อื่นๆ อีกจำนวนมาก รวมถึงซอฟต์แวร์ที่สร้างขึ้นเองโดยเฉพาะ
- ผู้เชี่ยวชาญด้านการตรวจพิสูจน์พยานหลักฐานดิจิทัล
ผู้คนหรือทีมที่สามารถช่วยคุณทำความสะอาดไซต์และระบุว่าไซต์ถูกบุกรุกได้อย่างไร
- หน้าเว็บแบบคงที่
หน้าเว็บที่ประกอบด้วยไฟล์เดียวที่ไม่มีการเปลี่ยนแปลงซึ่งแสดงเนื้อหาสำหรับเว็บไซต์
- หน้าเว็บแบบไดนามิก
หน้าเว็บที่ใช้สคริปต์และเทมเพลตในการสร้างเนื้อหาในเว็บไซต์ และจะสร้างแต่ละหน้าอีกครั้งทุกครั้งที่มีการขอหน้าเว็บนั้น
eval()ฟังก์ชัน PHP และ JavaScript ที่ประเมินสตริงและแสดงผลลัพธ์ ไม่แนะนำให้ใช้ฟังก์ชัน Eval เมื่อเว็บไซต์ต้องจัดการกับข้อมูลที่ผู้ใช้ป้อน เนื่องจากเปิดช่องโหว่ที่ทำให้ผู้โจมตีสามารถแอบดูโค้ดที่เป็นอันตราย (เช่น ด้วยการแทรกคำสั่ง PHP ที่เป็นอันตราย)
- โปรโตคอลการถ่ายโอนไฟล์ (FTP)
โปรโตคอลที่ใช้ในการโอนไฟล์จากเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง
- ไฟล์ที่ซ่อนไว้
ไฟล์ที่ไม่แสดงในไดเรกทอรีโดยค่าเริ่มต้น โดยปกติแล้ว ไฟล์ต่างๆ เช่น
.htaccessจะซ่อนไว้เพื่อป้องกันข้อมูลสำคัญจากการแก้ไขโดยไม่ได้ตั้งใจ คุณต้องกำหนดค่าระบบไฟล์เพื่อให้ดูและแก้ไขไฟล์ที่ซ่อนอยู่ได้- รหัสสถานะ HTTP
การตอบกลับแบบมาตรฐานที่เว็บเซิร์ฟเวอร์จะส่งกลับมาพร้อมกับเนื้อหาเมื่อผู้ใช้พยายามโต้ตอบกับหน้าเว็บ เช่น เมื่อโหลดหน้าเว็บหรือส่งความคิดเห็น โค้ดเหล่านี้ช่วยให้ผู้ใช้เข้าใจวิธีที่เว็บไซต์ตอบสนองหรือระบุข้อผิดพลาด โปรดดูหน้ารหัสสถานะของ World Wide Web Consortium เพื่อดูรายการรหัสสถานะทั้งหมดและความหมาย
- iFrame
โค้ดที่ช่วยให้หน้าเว็บแสดงเนื้อหาจากหน้าหนึ่งในอีกหน้าหนึ่งได้ iframe ที่ซ่อนอยู่เป็นกลยุทธ์ทั่วไปที่แฮ็กเกอร์ใช้เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ของตน
- ไฟล์บันทึก
ไฟล์ที่เว็บเซิร์ฟเวอร์บันทึกคำขอของผู้ใช้เพื่อติดตามกิจกรรมทั้งหมดที่เกิดขึ้นบนเซิร์ฟเวอร์ คุณสามารถระบุความพยายามในการแฮ็กหรือการเข้าชมที่น่าสงสัย โดยดูที่ไฟล์บันทึก
- มัลแวร์
ซอฟต์แวร์ที่ออกแบบมาเพื่อทำอันตรายต่อคอมพิวเตอร์ ซอฟต์แวร์ที่คอมพิวเตอร์ใช้ หรือผู้ใช้คอมพิวเตอร์ ดูข้อมูลเพิ่มเติมได้ที่มัลแวร์และซอฟต์แวร์ไม่พึงประสงค์
- การสร้างความสับสน
แฮ็กเกอร์ที่มีกลยุทธ์ใช้เพื่อทำให้ผู้ที่ตีความโค้ดของตนสับสน โดยทำให้โค้ดอ่านยากขึ้น วิธีการสร้างความสับสนที่แฮ็กเกอร์มักใช้ ได้แก่ การแทนที่อักขระ ชื่อตัวแปรที่มีเจตนาสร้างความสับสน การใช้การเข้ารหัส เช่น
base64,rot13,gzip, การเข้ารหัส URL, การเข้ารหัสเลขฐานสิบหก หรือทั้ง 2 แบบนี้ นอกจากนี้ ยังใช้วิธีการสร้างความสับสน เช่นbase64และgzipเพื่อบีบอัดและซ่อนโค้ดจำนวนมาก เช่น Web Shell ทั้งหมด- ฟิชชิง
วิศวกรรมสังคมรูปแบบหนึ่งที่หลอกให้ผู้ใช้เปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้หรือรหัสผ่าน โดยแสร้งว่าเป็นแหล่งที่มาที่เชื่อถือได้ ตัวอย่างเช่น นักฟิชชิงอาจส่งอีเมลหาเหยื่อที่แอบอ้างว่าเป็นธนาคารและขอข้อมูลเข้าสู่ระบบบัญชีธนาคาร ดูข้อมูลเพิ่มเติมได้ที่ป้องกันและรายงานการโจมตีแบบฟิชชิง
- Search Console
บริการฟรีจาก Google ที่จะช่วยคุณตรวจสอบและบำรุงรักษาให้เว็บไซต์ของคุณปรากฏในผลการค้นหาของ Google นอกจากนี้ Google ยังใช้ Search Console เพื่อสื่อสารกับเจ้าของเว็บไซต์เกี่ยวกับปัญหาต่างๆ ของเว็บไซต์อีกด้วย ดูข้อมูลเพิ่มเติมได้ที่เกี่ยวกับ Search Console
- แผนผังเว็บไซต์
ไฟล์ที่มีรายการหน้าเว็บในเว็บไซต์ซึ่งแจ้งเครื่องมือค้นหาเกี่ยวกับการจัดเนื้อหาในเว็บไซต์ ดูข้อมูลเพิ่มเติมได้ที่ดูข้อมูลเกี่ยวกับแผนผังเว็บไซต์
- วิศวกรรมสังคม
เทคนิคในการเข้าถึงหรือควบคุมข้อมูลที่ละเอียดอ่อนโดยพยายามหลอกให้ผู้ใช้ให้สิทธิ์เข้าถึงแทนการโจมตีโค้ดโดยตรง ฟิชชิงเป็นวิศวกรรมสังคมรูปแบบหนึ่งที่พบบ่อยที่สุด ดูข้อมูลเพิ่มเติมได้ที่วิศวกรรมสังคม (ฟิชชิงและเว็บไซต์หลอกลวง)
- การเข้าชมที่เพิ่มขึ้นมากอย่างฉับพลัน
การเข้าชมเว็บไซต์ที่เพิ่มขึ้นอย่างกะทันหันหรือไม่คาดคิด
- การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA)
กลไกการรักษาความปลอดภัยสำหรับปกป้องบัญชีการเข้าสู่ระบบโดยกำหนดให้มีโทเค็นเพื่อพิสูจน์อย่างน้อย 2 โทเค็น เช่น ผู้ใช้ที่ใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยอาจต้องใช้ทั้งรหัสผ่านและรหัสความปลอดภัยที่ SMS ได้รับเพื่อเข้าถึงบัญชี
- บริการเว็บโฮสติ้ง
บริการที่ให้พื้นที่แก่ผู้ใช้ในการโฮสต์เว็บไซต์ของตนในเว็บเซิร์ฟเวอร์ เช่น Google Sites อาจมีฟีเจอร์หรือเครื่องมือเพิ่มเติม ทั้งนี้ขึ้นอยู่กับบริการ
- ภาษาสคริปต์สำหรับเว็บ
ภาษาการเขียนโค้ดที่มักใช้ควบคู่กับ HTML เพื่อเพิ่มฟีเจอร์พิเศษลงในเว็บไซต์ เช่น การประมวลผลแบบฟอร์ม การกลั่นกรองความคิดเห็น หรือเอฟเฟกต์ภาพพิเศษ คู่มือการกู้คืนจะใช้ภาษาสคริปต์เพื่ออ้างถึง PHP หรือ JavaScript
PHP เป็นภาษาสคริปต์ฝั่งเซิร์ฟเวอร์ ซึ่งหมายความว่าเว็บเซิร์ฟเวอร์จะตีความและเรียกใช้คำสั่งต่างๆ ของภาษานี้ JavaScript เป็นภาษาฝั่งไคลเอ็นต์เป็นหลัก ซึ่งหมายความว่าเบราว์เซอร์ของผู้ใช้จะตีความและเรียกใช้คำสั่งต่างๆ ของภาษานี้
- เว็บเซิร์ฟเวอร์
เครื่องและซอฟต์แวร์ที่โฮสต์และควบคุมหน้าเว็บ รวมถึงไฟล์อื่นๆ ที่เกี่ยวข้องกับเว็บไซต์
- Web Shell
สคริปต์ประตูหลังที่ช่วยให้ผู้โจมตีรักษาสิทธิ์เข้าถึงเซิร์ฟเวอร์ไว้ได้
- เว็บสแปม
กลยุทธ์การปรับแต่งเว็บไซต์ให้ติดอันดับบนเครื่องมือการค้นหา (SEO) ที่เป็นการหลอกลวงหรือเนื้อหาสแปมที่พยายามเพิ่มอันดับหรือความนิยมของเว็บไซต์โดยการหลอกลวงและบิดเบือนเครื่องมือค้นหา