5.0 امتیاز از 5 - 2 رای

امنیت وب سایت

امنیت وب سایت

امنیت وب (Web Security)

متاسفانه وب سایت ها و تمام سیستم هایی که متصل به شبکه اند به نوعی مستعد خطرات امنیتی می باشند. بزرگترین وبسایت ها و سرورها روزانه مورد حمله هزاران هکر قرار می گیرد و در مواردی تنایج خطرناک و زیان باری برای صاحبان آن ها در بر دارد.

مساله امنیت وب، مساله ای است که عموماً در کشور ما زیاد به آن اهمیت داده نمی شود اما در سال های اخیر با بیشتر شدن حملات هکرها و محسوس شدن اهمیت امنیت وب کمی بیشتر از گذشته به این مساله بها داده می شود ولی همچنان تا رسیدن به نقطه مطلوب راه زیادی باقی مانده است.

 

امنیت وب به دو بخش کلی امنیت کد وبسایت و امنیت سرور تقسیم می شود.

امنیت وب سرور (Web Server Security)

سرور محیطی است که وبسایت روی آن قرار گرفته و در معرض دید کاربران اینترنتی قرار می گیرد. این بخش از امنیت معمولا با انتخاب یک سرویس دهنده معتبر بصورت نسبی تامین می گردد. تنها کاری که شما باید در این بخش انجام دهید این است که مطمئن شوید نرم افزارها و سرورها مرتب بروز رسانی می شوند.

اگر سرور وبسایت تان را خودتان راه اندازی کرده اید اکیداً به شما توصیه می کنیم یک متخصص امنیت شبکه در کنار شما امنیت سرورتان را تامین نماید.

 

امنیت کد وبسایت (Web Site Code and Web Security)

بخش قابل توجهی از حملات موفق هکرها عموما به بخش امنیت کد وبسایت مربوط است که اکثرا وبسایت های سطح متوسط و نه چندان بزرگ را گرفتار نتایج زیان بار آن می کند هر چند وبسایت های بزرگ هم از این قضیه مستثنی نیستند.

 

بیشترین آسیب پذیری ها در بخش امنیت کد عموما مربوط انواع Cross-site scripting, SQL injection, Other including code injection می شود.

 

Cross-site scripting (XSS)

XSS یک نوع آسیب پذیری امنیتی رایانه است که معمولا در برنامه های وب یافت می شود. XSS مهاجمین را قادر می سازد اسکریپت های سمت کلاینت را به صفحات مورد نظر سایر کاربران تزریق کنند. آسیب پذیری های اسکریپتی ممکن است توسط مهاجمین مورد استفاده قرار گیرد تا بتوانند کنترل های دسترسی وب سایت را دور بزند.

آسیب پذیری XSS طبق گزارشات سیمنتک در سال 2007 تقریبا 84% از حملات ثبت شده را شامل می شده و همچنین در سال 2017 شرکت هکروان اعلام کرده این آسیب پذیری همچنان بزرگترین تهدید امنیتی وب است.

 

SQL injection

تزریق کد sql روشی است که در آن مهاجم برای حمله به برنامه های مبتنی بر داده ها استفاده می کند. در این روش مهاجم عبارت های ناسازگار SQL شامل کاراکترها و عبارات خاص فیلتر نشده توسط برنامه نویس وب و کدهای sql هدف دار را از طریق یک فیلد ورودی به پایگاه داده تزریق می کند. نتایج این تزریق کد بسته به اهمیت داده ها ممکن است فاجعه بار باشد.

این روش ممکن است به مهاجم امکان جعل هویت، آلوده کردن داده های موجود، افشای تمام داده های سیستم، تخریب داده ها یا از کار انداختن وب و یا سرور را بدهد. بنابراین مانند هر حمله ی دیگری ممکن است نتایج آن جبران ناپذیر باشد.

 

including code injection

این نوع آسیب پذیری به نوعی هم آسیب پذیری سمت کد و هم آسیب پذیری سمت سرور محسوب می شود. در این روش مهاجم از باگ موجود در برنامه استفاده می کند تا قطعه کد خود یا به عبارت دیگر برنامه خود را وارد برنامه میزبان کند. برنامه هکر مانند انگل به میزبان خود می چسبد و سرور هم امکان تشخیص این انگل را نداشته و دستورات برنامه مهاجم را اشتباها مانند دستورات برنامه اصلی تفسیر و اجرا می کند.

در این روش ممکن است اطلاعات میزبان به کلی از بین برود و یا حتی به آدرس هکر فرستاده شود. ممکن است برنامه اصلی از کار بیفتد یا دسترسی کاربر به وبسایت رد شود و در شرایطی ممکن است منجر به تصاحب کامل میزبان شود.

گاهی نیز تزریق موفقیت آمیز کد می تواند فاجعه آمیز باشد مانند اجازه یافتن کرم های کامپیوتری برای انتشار.

 

جهت جلوگیری از بروز آسیب پذیری ها راه های متفاوتی وجود دارد.

بسیار اهمیت دارد برنامه نویس وب به حدی مسلط، حرفه ای و با تجربه باشد که بتواند راه های نفوذ هکرها را بطور معمول ببندد. البته امنیت صد درصد هیچگاه تامین نمی شود و حتی بزرگترین وب سایت ها هم هیچگاه ادعا نمی کنند امنیت وبسایتشان صد در صد تامین است اما مهم این است که دائما هشیار بوده تا بتوان هرگونه حمله ای را رصد کرده و با آن مقابله شود.

در هر صورت مهم است برنامه نویس روش های کدنویسی امن و صحیح و روش های فیلتر داده های ورودی بر اساس لیست سفید و لیست سیاه را در برنامه خود پیاده کند و  تا حد امکان امنیت برنامه را افزایش داده و راه های نفوذ را سد نماید.

 

تست امنیت وبسایت یکی دیگر از روش هایی است که می تواند به بالا رفتن امنیت وب و همچنین کشف و در نهایت رفع راه های نفوذ کمک کند.

تست های امنیت به دو دسته تست نفوذ جعبه سیاه و تست نفوذ جعبه سفید تقسیم بندی می شوند.

در تست نفوذ جعبه سیاه متخصص امنیت همانند یک هکر و کاربر خارجی از بیرون روش های نفوذ به وبسایت را بررسی می کند و در صورت پیدا کردن باگ اقدام به رفع آن می نماید.

اما در تست نفوذ جعبه سفید متخصص امنیت وب شروع به بررسی تمام کد وبسایت و قسمت های حساس وب کرده و در صورت مواجه شدن با کد دارای اشکال، اقدام به رفع مشکل از طریق راه های موجود می کند.

هر کدام از این روش ها می تواند مطابق سیاست های صاحبان وبسایت انجام شود چنانکه در شرایطی ممکن است کد وبسایت محرمانه بوده و فقط اجازه تست نفوذ جعبه سیاه به متخصص امنیت داده شود. همچنین در چنین اقداماتی معمولا قراردادی مابین صاحبان وب و شرکت امنیتی منعقد می شود که مشخص می کند اجازه تست نفوذ به کدام قسمت ها را داشته و در صورتی که شرکت امنیتی موفق شود به وبسایت نفوذ کند شرایط محرمانگی اطلاعات حفظ گردد. و یا تست نفوذ در حضور نماینده صاحبان وبسایت و تحت نظر آنان انجام شود و یا حتی در مواردی که امنیت داده ها بسیار بالاست، کامپیوتر و مکان مورد استفاده برای تست نفوذ را صاحبان وبسایت در اختیار متخصص امنیت بگذارند تا حتی الامکان از سوء استفاده های احتمالی جلوگیری شود.

 

امیدوارم این مطلب برای شما مفید بوده باشد.

منبع: طراح سایت نیشابور http://mrbco.ir

این قافله عمر عجـب می گذرد      دریاب دمی کـه با طرب می گذرد
ساقی غم فردای حریفان چه خوری      پیش آر پیاله را که شب می گذرد
خیام نیشابوری
امیدوارم این مطلب برای شما مفید بوده باشه.

- محمد رضا -

نظرات

 

ارسال نظر

 
کپچا
 redo

درخبرنامه ما عضو شوید

بالا