یه مطلب خوب درباره امنیت که دیدم گفتم براتون بذارم....منبعش هم فروم تیم امنیتی دنجر هست دلایل اصلی هک شدن وب سایتها: هكرها معمولا از نواقص و عدم رعايت نكات امنيتى توسط طراحان سايتها و برنامه نويسان جهت نفوذ به سايتها استفاده ميكنند مواردى كه با كمى دقت قابل پيش بينى و رفع هستند. در ادامه به برخى از مهمترين نواقص و موارد رايج در هك سايتها در سالهاى اخير اشاره شده است. 1.Cross site scripting اين مشكل زمانى ايجاد مى شود كه اطلاعات ارسالى بين كاربران و سايت بدون بررسى و اعتبار سنجى لازم توسط نرم افزار سايت صورت گيرد. در اين حالت هكرها ميتوانند اسكريپتهايى را همراه اطلاعات به نرم افزار سايت تزريق كنند و اين اسكريپتها هنگام نمايش اطلاعات در مرورگر ديگر كاربران سايت اجرا شده و مشكلاتى همچون سرقت اطلاعات نشست (Session) و دسترسى به اختيارات و اطلاعات ديگر كاربران و يا تغيير در صفحات سايت را ايجاد كند. 2.Injection flaws در اين شيوه هكر به همراه بخشى از اطلاعات يا پارامترهاى ارسالى به سايت دستورات غير مجازى كه امكان خواندن،تغيير يا حذف يا درج اطلاعات جديد را فراهم ميكند نيز تزريق ميكند.يكى از معمول ترين اين روشها SQL Injection است كه امكان تغيير در اطلاعات و جداول بانك اطلاعاتى يا تغيير در درخواستها از بانك اطلاعات (مانند تعيين اعتبار كاربر و كلمه) را امكان پذير ميكند. 3.Malicious file execution اين مسئله به هكر ها اجازه اجراى برنامه يا كدى را ميدهد كه امكاناتى در تغييرات يا مشاهده اطلاعات يا حتى تحت كنترل گرفتن كل نرم افزار سايت يا سيستم را ميدهد. اين مشكل در سايتهايى كه امكان ارسال فايل را به كاربران بدون بررسى ماهيت اطلاعات را مى دهد اتفاق مى افتد (مثلا ارسال يك اسكريپ PHP يا ASP به جاى فايل تصويرى توسط كاربر) Insecure direct object reference اين مشكل عموما در تغييرات پارامترهاى ارسالى به صفحات يا اطلاعات فرمهايى هست كه بصورت مستقيم به فايل، جداول اطلاعاتى،فهرستها يا اطلاعات كليدى اتفاق مى افتد و امكان دسترسى يا تغيير فايلهاى اطلاعاتى ديگر كاربران را ايجاد مى كند. (مانند ارسال كد كاربر يا نام فايل مخصوص او بصورت پارامتر در آدرس صفحه كه با تغيير آن امكان دسترسى يا تغيير در اطلاعات كاربر ديگرى وجود خواهد داشت) Cross site request forgery در اينگونه حملات هكر كنترل مرورگر قربانى را به دست آورده و زمانى كه وى وارد سايت (login) شده درخواستهاى نادرستى را به سايت ارسال مى كند. (نمونه آن چندى پيش در سايت myspace اتفاق افتاده بود و هكرى با استفاده از يك كرم اينترنتى پيغامى را در ميليونها صفحه كاربران اين سايت نمايش داد) Broken authentication and session management اين مشكل در زمانى كه نشست كاربر (Session) و كوكى اطلاعات مربوط به ورود كاربر به دلايلى به سرقت مى رود يا به دليلى نيمه كاره رها مى شود ايجاد مى شود. يكى از شيوه هاى جلوگيرى از اين مشكل رمز نگارى اطلاعات و استفاده SSL است.. Failure to restrict URL access برخى از صفحات سايتها (مانند صفحات بخش مديريت سايت) بايد تنها در اختيار كاربرانى با دسترسى خاص باشند.اگر دسترسى به اين صفحات و پارامترهاى ارسالى آنها به شكل مناسبى حفاظت نشده باشد ممكن است هكرها آدرس اين صفحات را حدس بزنند و به نحوى به آنها دسترسى پيدا كنند.
Posted on: Thu, 15 Aug 2013 19:21:45 +0000
Trending Topics
Recently Viewed Topics
© 2015