معرفی 10 دلیل اصلی هک شدن وب سایتها
هکرها معمولا از نواقص و عدم رعايت نکات امنيتي توسط طراحان سايتها و برنامه نويسان جهت نفوذ به سايتها استفاده ميکنند مواردي که با کمي دقت قابل پيش بيني و رفع هستند. در ادامه در سايت سرزمين دانلود به برخي از مهمترين نواقص و موارد رايج در هک سايتها در سالهاي اخير اشاره مي کنيم .اميدواريم با مطالعه اين مقاله آموزشي بتوانيد از سايت خود در برابر هکر ها محافظت کنيد. طراحي سايت
1) Cross site scripting يا XSS
اين مشکل زماني ايجاد مي شود که اطلاعات ارسالي بين کاربران و سايت بدون بررسي و اعتبار سنجي لازم توسط نرم افزار سايت صورت گيرد. در اين حالت هکرها ميتوانند اسکريپتهايي را همراه اطلاعات به نرم افزار سايت تزريق کنند و اين اسکريپتها هنگام نمايش اطلاعات در مرورگر ديگر کاربران سايت اجرا شده و مشکلاتي همچون سرقت اطلاعات نشست (Session) و دسترسي به اختيارات و اطلاعات ديگر کاربران و يا تغيير در صفحات سايت را ايجاد کند.
2) Injection flaws
در اين شيوه هکر به همراه بخشي از اطلاعات يا پارامترهاي ارسالي به سايت دستورات غير مجازي که امکان خواندن،تغيير يا حذف يا درج اطلاعات جديد را فراهم ميکند نيز تزريق ميکند.يکي از معمول ترين اين روشها SQL Injection است که امکان تغيير در اطلاعات و جداول بانک اطلاعاتي يا تغيير در درخواستها از بانک اطلاعات (مانند تعيين اعتبار کاربر و کلمه) را امکان پذير ميکند.
3) Malicious file execution
اين مسئله به هکر ها اجازه اجراي برنامه يا کدي را ميدهد که امکاناتي در تغييرات يا مشاهده اطلاعات يا حتي تحت کنترل گرفتن کل نرم افزار سايت يا سيستم را ميدهد. اين مشکل در سايتهايي که امکان ارسال فايل را به کاربران بدون بررسي ماهيت اطلاعات را مي دهد اتفاق مي افتد (مثلا ارسال يک اسکريپ PHP يا ASP به جاي فايل تصويري توسط کاربر)
4) Insecure direct object reference
اين مشکل عموما در دستکاري پارامترهاي ارسالي به صفحات يا اطلاعات فرمهايي هست که بصورت مستقيم به فايل، جداول اطلاعاتي،فهرستها يا اطلاعات کليدي اتفاق مي افتد و امکان دسترسي يا تغيير فايلهاي اطلاعاتي ديگر کاربران را ايجاد ميکند. (مانند ارسال کد کاربر يا نام فايل مخصوص او بصورت پارامتر در آدرس صفحه که با تغيير آن امکان دسترسي يا تغيير در اطلاعات کاربر ديگري وجود خواهد داشت)
5) Cross site request forgery
در اينگونه حملات هکر کنترل مرورگر قرباني را يدست آورده و زماني که وي وارد سايت (login) شده درخواستهاي نادرستي را به سايت ارسال مي کند. (نمونه آن چندي پيش دز سايت myspace اتفاق افتاده بود و هکري با استفاده از يک کرم اينترنتي پيغامي را در ميليونها صفحه کاربران اين سايت نمايش داد)
6) Information leakage and improper error handling
همانطور که از نام اين مشکل مشخص است زماني که در خطاهاي نرم افزار سايت به شکل مناسبي مديريت نشوند در صفحات خطا اطلاعات مهمي نمايش داده شود که امکان سوء استفاده از آنها وجود داشته باشد.(نمونه اي از همين مشکل چندي پيش براي يکي از سايتهاي فارسي نيز بوجود آمد و اطلاعات کاربري و کلمه عبور اتصال به بانک اطلاعات در زمان خطا نمايش داده مي شد و باعث سوء استفاده و تغيير اطلاعات کاربران اين سايت شد )
7) Broken authentication and session management
اين مشکل در زماني که نشست کاربر (Session) و کوکي اطلاعات مربوط به ورود کاربر به دلايلي به سرقت مي رود يا به دليلي نيمه کاره رها مي شود ايجاد مي شود. يکي از شيوه هاي جلوگيري از اين مشکل رمز نگاري اطلاعات و استفاده SSL است.
8) Insecure cryptographic storage
اين مشکل نيز چنانچه از عنوان آن مشخص است بدليل اشتباه در رمزنگاري اطلاعات مهم (استفاده از کليد رمز ساده يا عدم رمز نگاري اطلاعات کليدي) است.
9) Insecure communications
ارتباط ناامن نيز مانند مشکل قبلي است با اين تفاوت که در لايه ارتباطات شبکه است.هکر در شرايطي ميتواند اطلاعات در حال انتقال در شبکه را مشاهده کند و از اين طريق به اطلاعات مهم نيز دست پيدا کند. همانند مشکل قبلي نيز استفاده از شيوه هاي رمزنگاري و SSL راه حل اين مشکل است.
10) Failure to restrict URL access
برخي از صفحات سايتها (مانند صفحات بخش مديريت سايت) مي بايست تنها در اختيار کاربراني با دسترسي خاص باشند.اگر دسترسي به اين صفحات و پارارمترهاي ارسالي آنها به شکل مناسبي حفاظت نشده باشد ممکن است هکرها آدرس اين صفحات را حدس بزنند و به نحوي به آنها دسترسي پيدا کنند.
منبع: سرزمين دانلود