در این مقاله بطور کلی در رابطه با موارد زیر توضیح داده شده است:

• عواملی که باعث آسیب پذیری سایتها می شوند.
• هکر ها چگونه از حفره های امنیتی جهت نفوذ استفاده می کنند.
• آیا امکان بستن تمامی راههای نفوذ هکرها هست؟
• روش های کلی ایمن نمودن وب سایت

عواملی که باعث آسیب پذیری سایت ها می شوند :

قابلیت هایی نظیر امکان گذاشتن نظر ویا پست ها در بلاگ ها، فرم هایی که از کاربران اطلاعاتی نظیر ایمیل گرفته و برای آن ایمیل ها، خبرنامه (newsletters) ارسال می کنند، صفحات ورود به بخش های مختلف سایت که نیاز به نام کاربری و پسورد جهت لاگین می باشد و در کل هر قسمتی از وب سایت ها که امکان درج اطلاعات از سمت کاربران را فراهم میکند، از نقاط آسیب پذیر سایت می یاشند.

در برخی موارد حتی کدهای بکار رفته جهت منوهای کشویی (Drop Down Menu) و سایر کدهای جاوا اسکریپت نظیر تغییر اندازه عکس های پویا (Dynamic Image Resize) می توانند عامل بروز آلودگی سایت شوند.

هکر ها چگونه از حفره های امنیتی جهت نفوذ استفاده می کنند:

هکر های مخرب با کشف حفره های امنیتی موجود در برنامه های از پیش طراحی شده، جهت بهره برداری، برداشتن اطلاعات مهم و حیاتی شرکت ها و تخریب روند کاری سایت ها سوء استفاده می کنند.

بطور نمونه هکر ها با استفاده از روش های SQL injection و Cross Site Scriptingکدهای مخرب و ناخواسته را در وب سایت شما تزریق نموده و در صورتی که کدهای مربوط به بررسی داده های ورودی کاربران، بقدری ضعیف و آسیب پذیر باشند، در نتیجه این کدها روی سایت اجرا شده و در نتیجه امکان نفوذ هکر ها به سایت شما میسر می شود.

همچنین ویروسی شدن کامپیوتر مورد استفاده در مدیریت سایت یکی دیگر از روش‌های رایج نفوذ گران انتشار ویروس و تروجان در سطح اینترنت می‌باشد.

معمولاً این نرم‌افزارهای مخرب بدون اطلاع مدیران سایت که در حال استفاده از کامپیوتر ، تبلت و یا دستگاه آلوده می‌باشند، تمامی رمز عبورها را مخفیانه برای هکر ارسال می‌نمایند و نفوذگر به راحتی و بدون اطلاع مدیر سایت سایت را هک می‌نمایند.

در ادامه در رابطه با روش های فوق توضیحات مختصری آورده شده است:

تزریق به پایگاه داده (SQL injection) :

نوعی فن تزریق کد است، به این صورت که هکر با استفاده از دستورهای SQL عملیاتی را جهت نفوذ در پایگاه داده وب‌سایت آسیب ‌پذیر انجام می‌دهد.

بعنوان مثالی ساده از حملات SQL Injection ، فرض کنید برای بخشی از سایت امکان لاگین به پنل را در نظر گرفته باشید. در این صورت کاربران با وارد کردن نام کاربری و پسورد مربوطه، امکان ورود به پنل مربوطه را خواهند داشت.

لذا می بایست نام کاربری و پسورد وارد شده توسط کاربر با اطلاعات موجود در دیتابیس مطابقت داده شده و در صورتی که بطور صحیح وارد شده باشند، امکان دسترسی به پنل مربوطه برای کاربر فراهم شود.

کد مربوطه می تواند به صورت زیر باشد که بدین معناست که در دیتابیس مورد نظر نام کاربری و پسورد را پیدا کرده:

;’SELECT * FROM databasename WHERE name=’$username’ AND pass=’$password

ظاهرا همه چیز صحیح به نظر می آید و یک کد استاندارد می باشد. حال حالتی را در نظر بگیرید که هکر بجای پسورد، از عبارات هوشمندانه ای نظیر ‘ OR ‘1’=’1′ استفاده نماید که بدین معناست که پسورد مربوطه خالی بوده و یا در صورتی که نتیجه محاسبه عبارت ۱=۱ صحیح باشد.

با توجه به اینکه نتیجه عبارت همواره صحیح می باشد، لذا دستور SQL به شکل صحیح پردازش می گردد، در نتیجه هکر به راحتی وارد بخش مورد نظر شده و اطلاعات مورد نیاز را دریافت می نماید:

;SELECT * FROM admin WHERE name=’$username’ AND pass=” OR ‘1’=’1′

این در حالی است که میتوان براحتی با بکار بردن توابعی نظیر ()mysql_escape_string ، از این حملات جلوگیری نمود.

(Cross Site Scripting (XSS :

در حملات (Cross Site Scripting (XSS ، زمانی که کاربران معمولی وارد سایتی می شوند، هکر ها با کمک کد نویسی در حفره های امنیتی وب سایت ، صفحه ای دیگر را بدون اینکه کاربر متوجه شود، در همان صفحه بارگزاری کنند، سپس با سود بردن از کدهای جاوا اسکریپت، داده های کاربر نظیر نام کاربری، پسورد و یا کوکی ها (Cookies) را بدزدند.

هدف اصلی این نوع حمله بدست آودن اطلاعات از کاربران و کلاینت هایی است که به سرور متصل می شوند . اگر نرم افزار تحت وبی دارای مشکل باشد و هکر بتواند اسکریپت مخرب خود را در فرم های نرم افزار وارد کند ، کاربر به محض متصل شدن به سرور آلوده، کد مخرب مورد نظر هکر را از طریق مرورگر اجرا کرده و سیستم خود را آلوده می کند.

همچنین توجه نمایید که مرورگرها توانایی تشخیص آلوده بودن اسکریپتی که بر روی آنها اجرا می شود را ندارند. بعد از اینکه اسکریپت مخرب بر روی کامپیوتر هدف اجرا شد، مرورگر کلاینت آلوده تابع دستوراتی خواهد بود که هکر صادر می کند، بنابراین هکر هر دستوری را که بخواهد می تواند به مرورگر آلوده ارسال و اطلاعات مورد نیاز خود را دریافت کند .

آیا امکان بستن تمامی راه های نفوذ هکرها هست؟

در واقع از لحاظ تئوری این امر امکان پذیر می باشد، اما در عمل هیچ گاه تمامی این حفره های امنیتی برطرف نخواهند شد. این بدان دلیل است که هر هفته نقاط آسیب پذیری جدیدتری در نرم افزار های مربوطه کشف می شوند. در نتیجه هیچ گاه نمی توان با قطعیت اعلام نمود که تمام نقاط آسیب پذیر سایت بررسی شده اند.

عملا تنها با این فرض که وب سایت شما توسط تیم حرفه ای و متخصصین امنیت طراحی شده باشد، احتمال نفوذ هکر ها کاهش می یابد.

لذا می بایست با بکارگیری اقدامات لازم و ابزار های مناسب می بایست همواره در صدد کاهش عوامل نفوذ بوده و تا جایی که ممکن است امکان دسترسی هکر ها به وب سایت را محدود نمود.

روش های کلی ایمن نمودن وب سایت :

جهت داشتن سایتی ایمن، می بایست همواره از پسورد های قوی استفاده نموده و نیز از ابزارهای کد نمودن (نظیر MD5 )، مخصوصا جهت پسورد های دیتابیس ها استفاده نمایید.

مجوز های دسترسی فایل ها و فولدر ها را تغییر داده و با استفاده از ابزار های مانیتوریگ و اسکن، وب سایت خود را بطور مرتب و دوره ای بررسی نموده و هر گونه حفره امنیتی را حذف نمایید.

با استفاده از پروتکل SSL ، در مواقعی که نیاز به انتقال اطلاعات شخصی و محرمانه کاربران بین وب سایت و وب سرور یا دیتابیس وجود دارد، می تواند موجب افزایش امنیت انتقال داده ها گردد.

همواره با استفاده از جدیدترین ورژن های نرم افزار های متن باز (Open Source) و آپدیت نمودن مرتب و دائمی پلاگین ها و افزونه های مربوطه، امکان نفوذ هکر ها به سایت خود را محدود نمایید.

همچنین استفاده از آنتی ویروس های معتبر جهت بررسی و پاکسازی محیط ها و کامپیوتر مورد استفاده، اکیدا توصیه می گردد.

نتیجه گیری:

با توجه به موارد ذکر شده و امکان وجود حفره های امنیتی و هک شدن وب سایت ها، امروزه نه تنها تمام نقاط آسیب پذیر سایت شناسایی نشده اند، بلکه در آینده نیز ممکن است این حفره ها وجود داشته باشد و یا حتی با گسترش نرم افزار ها و ارائه ورژن های جدیدتر آنها و یا نرم افزار های پیشرفته تر، ممکن است عوامل آسیب پذیری بیشتری نیز توسط هکر ها ویا نفوذگر ها شناسایی شوند.

لذا می بایست با بکارگیری نکات امنیتی و استفاده از ابزار های مانیتورینگ و اسکن نمودن سایت ها بطور مرتب، نسبت به ایمن نمودن هرچه بیشتر سایت خود اقدام نمایید.

برچسپ ها : یک وب سایت چگونه هک میشود ؟ + راه جلوگيري از هك شدن