🔐 សាធារណះក្នុងន័យនេះសំដៅទៅកាន់ Application Level
- 👤 Authenticated user. គណនីប្រេីប្រាស់ហេីយចូលទៅកាន់កម្មវិធី
- 👥 UnAuthenticated user. អ្នកដែលគ្មានគណនីប្រេីប្រាស់តែអាចទាញយកទិនិ្នន័យពីកម្មវិធីអ្នក
- 🤖 Bot agent
- 👨💻 Developer access
❓ ហេតុអ្វីបានជាគ្រាន់តែ ID មួយអាចធ្វេីឲកម្មវិធីអ្នកមានចន្លោះប្រហោង? ហេីយធ្វេីឲកម្មវិធីអ្នកមានការវាយលុកច្រេីនពីអ្នក Hacker? តាមដែលខ្ញុំធ្លាប់លឺកន្លងមកពីអ្នកធ្លាប់ជួបបទពិសោធន៍មកនោះគឺនិយាយថាគេអាចប្រេីប្រាស់វាជាមួយ Hacker Tools ជាច្រេីន ហេីយអាចយកទៅបំផ្លាញទិន្និន័យ(record in db)ផ្សេងៗនៅក្នុងកម្មវិធីដោយសារតែ Id មានសិទ្ធិធំនៅក្នុងកម្មវិធី(Write permission)
ចំណុចទី១៖
🎯 បង្កេីត ID ឲបានច្រេីនប្រភេទនៅក្នុងកម្មវិធីរបស់អ្នក
💳 អ្នកត្រូវគិតថា Id ច្រេីនគឺដូចអ្នកមានកាតច្រេីននៅក្នុងកាបូបរបស់អ្នក ហេីយលេខកូតរបស់កាតនីមួយៗប្រេីក្នុងគោលបំណងខុសៗគ្នា។ អ្នកប្រហែលជាចាប់ផ្តេីមគិតថាបេីអ្នកមាន Id មួយតំណាងឲគ្រប់កាតធនាគាររបស់អ្នក អ្នកចាប់ផ្តេីមគិតបន្ទាប់មកទៀតថាបេីគេទាយលេខ CVV បីខ្ទង់នោះគេ..។ ហេីយវាក៏មិនខុសគ្នាអីដែរយេីងប្រេីប្រាស់តែអ៊ីម៉ែលមួយ ហេីយយកទៅប្រេីប្រាស់គ្រប់សាច់រឿងដូចនឹងខ្ញុំពីមុន។
ខាងក្រោមនេះគឺជាការបំបែក Id ហេីយត្រូវទៅប្រេីប្រាស់តាមកាលះទេសះផ្សេងៗក្នុងកម្មវិធី:
📌 Primary Database Id:
ឧទាហរណ៍៖ ថតរូបអត្តសណ្ណាញប័ណ្ណដាក់បង្ហាញលេី Facebook
១. វាដូចជាលេខអត្តសណ្ណាញប័ណ្ណរបស់យេីង
២. យេីងមិនគួរថតបង្ហាញវាដាក់លេី Facebook ឬ ដាក់ Story ទោះបីគោលការណ៍យេីងកំណត់តែមិត្តភ័ក្កក៏ខ្លួនក៏ដោយ
៣. វាគួរតែត្រូវបានប្រេីប្រាស់ជាមួយ Database តែមួយគត់
🔑 UUID (Universal Unique Identifier):
ឧទាហរណ៍៖ លិខិតឆ្លងដែន
១. វាដូចជាលេខលិខិតឆ្លងដែនរបស់យេីង
២. វាជាលេខគេក្រឡុកឲមានតែមួយគត់ក្នុងកម្មវិធី
៣. វាមានសុវត្ថិភាពប្រសិនបេីយេីងបង្ហាញទៅភ្នាក់ងារ
៤. វាមិនងាយស្រួលដោយឲអ្នកផ្សេងទាយលេខបន្ទាប់។
ឧទាហរណ៍៖ លេខរបស់អ្នក "123e4567-e89b-12d3-a456-426614174000"
លេខបន្ទាប់លេខអ្នកផ្សេង "123e4567-e89b-12d3-a456-426614174001"
🏷️ Slug:
ឧទាហរណ៍៖ គេដាក់ងារឲយេីងស្រួលហៅហេីយខ្លី វាងាយស្រួលយកទៅប្រេីប្រាស់ ហេីយអាចហៅបាន។
ពីមុន https://ngl.link/user/1
តែពេលនេះ https://ngl.link/long9000
🌐 Public ID:
យេីងបង្កេីតលេខគោលមួយគ្រាន់តែតំណាងឲលេខពិតពី Database ID
១. យេីងធ្វេីការកូដនីយកម្ម(Encrypted)ពីលេខកូតពិតពី Database ID
២. វានឹងត្រូវបានកម្មវិធីកំណត់ក្រុកចេញលេងថ្មីក្រោយរយះពេលណាមួយ
៣. លេខដែលបានបង្កេីតនោះនឹងមិនត្រូវបានងាយស្រួយឲទាយថាលេខបន្ទាប់ថាជាអ្នកមួយផ្សេងទៀត
🎟️ Access Token:
១. វាដូចលេខកូតកាតមួយបណ្តោះអាសន្ន
២. វាត្រូវបានប្រេីប្រាស់ពេលដែលអ្នកបង្កេីត API ហេីយបង្ហាញទៅទិនិ្នន័យទៅកាន់កម្មវិធីផ្សេងៗ
៣. កម្មវិធីយេីងយេីងអាចធ្វេីការក្រឡុកលេខកូតថ្មីមួយទៀត។ ប្រសិនបេី Hacker ដឹងលេខកូតនោះឬក៍វាបានផុតរយះពេលន័យការប្រេីប្រាស់ក្នុងរយះពេលណាមួយ
៤. ការធ្វេីបែបនេះវាជួយបង្កេីនសុវត្តិភាពសំរាប់អ្នកប្រេីប្រាស់នឹងថែមទាំងកម្មវិធីរបស់អ្នកមួកំរិតទៀត
⚠️ កុំភ្លេចយកវិធីសាស្ត្រទាំងនេះយកទៅប្រេីប្រាស់ក្នុងវិធីរបស់អ្នក:
🔐 ប្រេីសិនបេីគេដឹងលេខកូតមួយយេីងនៅសល់កំរិតការពារផ្សេងៗទៀត
🚫 ធ្វេីយ៉ាងណាកុំយកលេខ Public ID ឲគេទាយត្រូវនឹងលេខពិត
✨ បង្កេីន Security stamps (រង់ចាំភាគ២ ភាគ៣)
🔄 ធ្វេីការក្រឡុកលេខថ្មី កុំទុកវាចោលរាប់ខែឆ្នាំជៀសវាងទិនិ្នន័យក្នុងកម្មវិធីអ្នកបែកធ្លាយ ហេីយជាច្រេីន Hacker បានដឹងយូរ
🎟️ បង្កើតជាមុខងារតាមដានសកម្មភាពរបស់អ្នកប្រេីប្រាស់ Activity Log ហេីយផ្តល់របាយការណ៍បេីសិនជាមានសកម្មភាពណាបានដំណេីរខុសប្រក្រតី
ចំណុចទី២៖
🛡️ Security stamps រង់ចាំភាគបន្ទ
Top comments (1)
សំរាប់អ្នកចូលចិត្តដាក់អ៊ីម៉ែលមួយ pentester.com