چطور می تونم کمکتون کنم؟

امنیت در طراحی سایت های اینترنتی

 وب سایت اینترنتی یک شرکت یا سازمان، در واقع هویت آن واحد حقوقی در دنیای مجازی محسوب می شود ، این بدان معناست که همانگونه که شناسنامه یک فرد مبین هویت فردی وی در دنیای واقعی است و او را به این نام می شناسند، در دنیای مجازی نیز وب سایت یک سازمان یا شرکت، مبین هویت مجازی ایشان است و آن شخصیت حقوقی را به آن نام می شناسند. همانطور که اگر نام یک شخصیت حقیقی در دنیای واقعی لکه دار شود و آبروی وی دستخوش تهدید گردد، به اعتبار فرد در بازار تجارت لطمه خواهد زد، به همان شکل نیز چنانچه وب سایت اینترنتی یک شخصیت حقوقی هک شود و مورد تهدید امنیتی واقع شود، تجارت الکترونیکی ایشان دچار مشکلات زیادی خواهد شد. به عنوان نمونه با نگاه به آمار و ارقام موجود، می بینیم که با هربار هک شدن یا انتشار ویروس بر روی وب سایت اینترنتی شرکتهای بزرگی همچون یاهو یا گوگل ، ارزش سهام ایشان در بازار جهانی به شدت کاهش خواهد یافت.
 اما چرا این اتفاق می افتد ، علت این امر این است که دیگر آنچه از طریق این سایت ها به مشتریان خود ارائه می  گردد از قابلیت اطمینان برخوردار نیست. به دیگر سخن کاربران و مشتریان تجارت الکترونیک نمی توانند به این سیستم اطمینان نمایند و مبالغی را در این عرصه هزینه کنند . فرض کنید که کسی به شما می گوید که در بانکی سرمایه گذاری کن که سود بسیاری دارد ولی احتمال دارد پول تو را بدزدند !!!! هر چقدر هم که این سرمایه گذاری سود آور باشد باز هم شما در چنین بانکی سرمایه گذاری نخواهید کرد. تجربیات زیادی نشان می دهد که بیشتر افراد سرمایه گذاری های کم بازده و مطمئن را بر سرمایه گذاری های پربازده و خطرناک ترجیح می دهند.از این جهت است که اینقدر بر امنیت وب سایت اینترنتی تاکید می شود.

هکر
انواع هک:

هک سمت کاربر

یعنی از خود کاربر، برای هک کردن او استفاده کنیم. مثلا هنگام ورود به میل باکس، پسورد وی را به دست آوریم، یا هنگامی که در حال وارد کردن اطلاعات کارت بانکی اش برای خرید اینترنتی است، به طریقی اطلاعات وی را به دست آورده و ذخیره کنیم. اما چگونه!؟ رایج ترین این نوع هک فیشینگ می باشد. فیشینگ یعنی ساختن یک صفحه کاملا شبیه صفحه ورود به ایمیل یا بانک و ... و کشاندن کاربر با ترفندهای خاص به آن صفحه. کاربر که نمی داند آن صفحه صفحه بانک یا یاهو میل نیست، براحتی اطلاعات خود را در اختیار هکر قرار می دهد.

راهکار جلوگیری از این شیوه هک : می بایست آموزش های لازم را به کاربران ارائه کرد تا به سطحی از آگاهی و هوشمندی برسند که هنگام وارد کردن اطلاعات شخصی خود مانند ایمیل و یا اطلاعات بانکی، حتما آدرس بار را چک کرده و از صحت آن اطمینان حاصل نمایند.

هک سمت سرور

رایج ترین سبک هک سایت ها بوده و راهکارهای متعدد و انعطاف بیشتری دارد. این هک خود انواع مختلف دارد که مهمترینشان عبارتند از:
Xss-
-استفاده از شل
sql Injection- 
Lfi-
Rfi-

 
طبق آمار 69 درصد وبسایت ها، به این باگ دچار می باشند و بنابراین یکی از مرسوم ترین باگ های موجود می باشد. البته باید گفت که از نظر امنیتی باگ مهمی به حساب نمی آید. اما کار این باگ این است که به کمک آن می توان بر روی کامپیوتر بازدیدکنندگان، کدهای JavaScript را اجرا کرد و کنترل برخی از اجزای کامپیوتر قربانی را در دست گرفت.

استفاده از شل
Shell، یک فایل حاوی کدها و اسکریپت های مخرب است که هکر، آن را بر روی سرور یک سایت آپلود و اجرا می کند! آپلود این فایل از راه های مختلفی امکان پذیر است. مرسوم ترین راهکار آپلود شل در سایت ها، از طریق قسمت browse و آپلود فایل است که معمولا در سایت ها برنامه نویسی می شوند تا کاربران فایل ها یا تصاویر و عکس های شان را بارگزاری نمایند.
راهکار پیشگیری: یکی از کارهایی که می توانید جهت جلوگیری از اینگونه حملات انجام دهید، این است که فایل هایی که آپلود می شود را چک کرده و مثلا برای عکس ها فقط اجازه فایل های از نوع png,jpg,bmp,gif را بدهید.
روش دیگر آپلود فایل شل به این شکل است که:هکر  با یک جستجوی ساده، نام هاست یا میزبان سایت را به دست آورده که مثلا شرکت X است. سپس بررسی می کند که علاوه بر سایت شما، چه سایت های دیگری بر روی سرور، میزبانی می شوند. هم اینک، عملیات هک آغاز می گردد، اما نه به وسیله سایت شما. بلکه سایت همسایه! چرا که برخی از سایت های موجود بر روی سرورهای هاست، بسیار غیر امن بوده و به راحتی نفوذپذیر است. نهایتا بعد از هک سایت همسایه ی شما، فایل شل را که از قضا کدگذاری شده (نا خوانا توسط آنتی ویروس) بر روی سرور آپلود کرده و دسترسی روت (کامل) اخذ می کند. (یعنی به تمام سایت های موجود بر روی سروری که میزبانی سایت شما را بر عهده دارد، دسترسی پیدا می کند) و آن ها را هک می کند.
شیوه پیشگیری : تنها راه قطعی پیشگیری از اینگونه حملات، استفاده از سرور اختصاصی می باشد که البته هزینه زیادی در بر خواهد داشت.
 
Sql Injection:
این نوع هک، عموما از طریق آدرس بار مرورگر انجام می شود. این نیز یکی از رایج ترین و قدیمی ترین روش های نفوذ در وب سایت های اینترنتی است که با چند دستور ساده تمام اطلاعات پایگاه داده را به دست هکر خواهد انداخت. برای انجام این نفوذ، از تزریق کد های sql استفاده می شوند. این نوع هک، از طریق صفحاتی از سایت صورت می پذیرد که دارای query string هایی می باشند. انجام می شود. اکثر برنامه نویسان به این نوع هک آگاهی داشته و معمولا مانع از استفاده هکر ها از این راه های نفوذ می گردند. اما هنوز هم وب سایت های فراوانی هستند که از این حفره بزرگ امنیتی رنج می برند.
راه جلوگیری از این شیوه : برای ممانعت از این روش، از stored procedure استفاده می شود و یا تمامی query string ها با استفاده از الگوریتم های خاص برنامه نویسی سنجیده شده و از تزریق کدهای SQL ممانعت خواهد شد.

Lfi و Rfi:
این باگ با بی احطیاتی برنامه نویس در استفاده از توابع Include و ... به وجود میاد. در اصل این توابع (include , require ... ) فایل یا صفحه ای را فراخوانی می کنند که عدم اعمال صحیح کنترل های لازم بر روی این توابع موجب بروز باگ Rfi یا حتی Lfi می شود.
هک Lfi یا Local File Inclusion یک نوع دسترسی Local به هکر برای مشاهده ی فایل های سرور می دهد ( یعنی به همه چیز بر روی سایت و "نه سرور" دسترسی حاصل می گردد!). همانگونه که بیان گردید باگ Lfi ریشه در اشتباهات برنامه نویسان در استفاده از توابعی همچون (Include ,require) دارد.
با استفاده یا به عبارت بهتر، سوء استفاده از این باگ، می توان اقدامات زیر را انجام داد :
اجرای دستورات مختلف از راه دور، با استفاده از لوگ های Apache
خواندن فایل های مهم سیستمی و اطلاع از config های سرور

عوامل رایج هک شدن سایتها:
 
1.استفاده از نرم‌افزارهای قدیمی
معمولاً نرم‌افزارهای قدیمی دارای انواع اشکالات امنیتی می‌باشند و به دلیل قدیمی بودن این اشکالات شناخته‌شده هستند و توسط نفوذ گران استفاده می‌شود.

2.استفاده از رمز عبور ضعیف و ساده
یکی از رایج‌ترین عوامل هک شدن یک سایت پیدا کردن یکی از رمزهای عبور مانند رمز عبور کنترل پنل ، FTP ، دیتابیس ، admin، ایمیل ، بخش مدیریت سایت و یا یکی از رمز عبورهای سایت توسط هکر می‌باشد.

3. ویروسی شدن کامپیوتر مورد استفاده در مدیریت سایت
یکی از روش‌های رایج نفوذ گران انتشار ویروس و تروجان در سطح اینترنت می‌باشد. معمولاً این نرم‌افزارهای مخرب بدون اطلاع مدیران سایت که در حال استفاده از کامپیوتر ، تبلت و یا کافی نت آلوده می‌باشند تمامی رمز عبورها را مخفیانه برای نفوذگر ارسال می‌نمایند و نفوذگر به راحتی و بدون اطلاع مدیر سایت از اینکه در زمانی رمز وی لو رفته سایت را هک می‌نمایند.

4.عدم رعایت موارد امنیتی مربوط به سیستم مدیریت محتوای مورد استفاده مورد استفاده مانند تنظیم سطح دسترسی‌ها و موارد دیگر
تمامی سیستم های مدیریت محتوای معروف و شناخته‌شده مانند جوملا ، ورد پرس و غیره که دارای کیفیت و امنیت قابل قبولی می‌باشد دارای یک راهنمای امنیتی می‌باشد که توسط تولیدکننده ارائه‌شده است که باید در هنگام نصب و استفاده از آن نرم‌افزار تمامی موارد به صورت دقیق و 100 درصد رعایت گردد. معمولاً یکی از رایج‌ترین عوامل هک شدن سایت های که از سیستم های مدیریت محتوای شناخته‌شده استفاده می‌نمایند عدم رعایت موارد امنیتی ارائه‌ شده توسط آن نرم‌افزار می‌باشد.

5. نصب ماژول ، قالب ، کامپاننت و یا پلاگین قدیمی و یا دارای مشکلات امنیتی
معمولاً هسته (بخش مرکزی - core) سیستم ها دارای امنیت مناسبی می‌باشد اما ماژول‌ها ، قالب‌ها، کامپاننت ها و یا پلاگین ها دارای امنیت بسیار پایینی می‌باشد. نفوذ از طریق هسته بسیار سخت تر از نفوذ از طرق ماژول‌ها ، قالب‌ها، کامپاننت ها و یا پلاگین ها می‌باشد به همین دلیل بیش از 90 درصد نفوذ به سیستم های از طریق ماژول‌ها ، قالب‌ها، کامپاننت ها و یا پلاگین های ناامن و یا قدیمی می‌باشد. این اشکالات معمولاً شناخته‌شده هستند و توسط نفوذ گران مورد استفاده قرار می‌گیرند.

6. نصب نرم‌افزار ، ماژول ، قالب ، کامپاننت و یا پلاگین قفل شکسته
معمولاً نفوذگر ها اقدام به شکستن قفل نرم‌افزارها می‌نمایند و سپس در آن نرم‌افزار یک در ورود پنهانی(back door)، ویروس مخفی (trojan) و یا کد مخرب قرار می‌دهند و سپس آن را به رایگان در اینترنت منتشر می‌نمایند و شما نیز ممکن است به دلیل رایگان بودن از آن استفاده نمایید. این روش یکی از رایج‌ترین روش‌های نفوذگرها برای نفوذ می‌باشد زیرا این امر موجب می‌شود پس از نصب آن نرم‌افزار، ماژول ، قالب ، کامپاننت و یا پلاگین سایت شما عملاً در اختیار هکر قرار می‌گیرد تا در زمان مناسب به آن نفوذ نماید . معمولاً این موارد در محل‌هایی بسیار مخفی قرار داده می‌شوند و پیدا کردن آن‌ها بسیار سخت و پیچیده بوده و تنها افراد دارای تخصص بسیار بالا در موضوع امینت ممکن است بتوانند این موارد مخفی را پیدا نماید.

7. لو رفتن رمز عبور شما و مورد سوءاستفاده قرار گرفتن توسط شخص ثالث
روش‌های لو رفتن رمز عبور بسیار متعدد می‌باشند برای نمونه دیدن تایپ رمز عبور توسط شخص دیگر و حفظ کردن آن، لو رفتن توسط کارمندان و یا همکاران ناراضی، قرار دادن نرم‌افزار جاسوس بر روی کامپیوتر فرد، ساده بودن رمز عبور و پیدا کردن آن با استفاده از روش‌های bruteforce ، حدس زدن رمز عبور مانند شماره تلفن و شماره شناسنامه و یا هر نوع رمز قابل حدس دیگر. ویروس‌ها و تروجان ها، قرار دادن رمزها در محل ناامن مانند فلش دیسک یا ایمیل که در صورت لو رفتن رمز ایمیل تمام رمزهای دیگر نیز لو می روند ، مهندسی اجتماعی و ده‌ها روش دیگر که توسط نفوذگر ها مورد استفاده قرار می‌گیرد و فرد بدون اینکه خودش اطلاع داشته باشد رمزش لو رفته است و بعد ها در زمانی مناسب رمز مورد سوءاستفاده قرار می‌گیرد.

8.استفاده از کدها و یا اسکریپت های ناامن و یا دارای امنیت پایین
یکی از رایج‌ترین عوامل هک شدن استفاده از کدهای ناامن می‌باشد زیرا نفوذ از طریق کد صدها برابر ساده‌تر از نفوذ از روش‌های دیگر مانند سرور ، شبکه و یا هاست می‌باشد.


9.در صورت استفاده از سیستم های مدیریت محتوای قدیمی مانند جوملای ۱.۵ و یا دیگر سیستم های قدیمی احتمال هک شدن سایت شما بسیار بالا خواهد بود .
باید تمامی نرم‌افزارها و یا سیستم های مدیریت محتوای سایت خود را به آخرین نسخه به‌روزرسانی نمایید.

راه حل‌های پیشنهادی

 1. توصیه می شود در صورتی که شما مطنئن هستید بسیاری از موارد بالا را رعایت ننموده اید، موقتاً سایت خود را تا رفع مشکلات امنیتی متوقف نموده و از کار بی اندازید.

2. از امن بودن کامل کامپیوتر شخصی خود مطمئن شوید و یک نرم‌افزار ضد ویروس قوی بر روی آن نصب نمایید و در صورت نیاز سیستم‌عامل و تمامی اطلاعات آن را حذف و مجدد سیستم‌عامل نصب نمایید.

3. تمامی رمزهای کنترل پنل هاست و ناحیه کاربری و ایمیل‌های خود را به یک رمز بسیار قوی و غیرقابل حدس تغییر دهید.

4. تمامی ماژول‌ها ، قالب‌ها، کامپاننت ها و یا پلاگین های سایت خود را کامل حذف نمایید.

5. شما باید از عدم وجود ویروس و یا کدهای مخرب مخفی بر روی سایت خود مطمئن شوید. این مرحله بسیار سخت و پیچیده می‌باشد زیرا معمولاً هکر ها از کدهای مخرب مخفی ، شل‌ها و ویروس‌هایی استفاده می‌نمایند که بسیار پیچیده و مخفی می‌باشند. نرم‌افزارهای رایج آنتی ویروس و سیستم های ضد ویروس موجود در سرور و شبکه تنها توانایی تشخیص ویروس‌های شناخته‌شده و معروف را دارند و هکر ها هم با آگاهی از این موضوع و جهت جلوگیری از شناخته شدن کدهای خود معمولاً از شل‌ها ، ویروس‌ها و کدهای مخرب مشهور و شناخته‌شده که در اینترنت منتشرشده‌اند و شما می‌توانید آن‌ها را دانلود نمایید استفاده نمی‌نماید بلکه از کدهای تغییریافته و اختصاصی و مخفی استفاده می‌نماید که معمولاً توسط هیچ نرم‌افزار ضد ویروسی شناسایی نمی‌گردند.

6. تمامی نرم‌افزارها و یا سیستم های مدیریت محتوای سایت خود را به آخرین نسخه به‌روزرسانی نمایید. برای نمونه آخرین نسخه سیستم مدیریت محتوای جوملا و یا وردپرس.

7. کدهای خود را به صورت دقیق و کامل از لحاظ امنیت و توسط یک فرد متخصص بررسی نموده و آن را امن کنید.

8. معمولاً یکی از رایج‌ترین عوامل هک شدن ضعف امنیتی کدهای سایت می‌باشد. در صورتی که شما از یکی از سیستم های مدیریت محتوای معروف استفاده نمی‌نمایید و کدهای شما توسط یک برنامه‌نویس تهیه شده است باید کدهای خود را از لحاظ امینت به طور کامل و دقیق بررسی نمایید. زیرا نفوذ از طریق کد صدها برابر ساده‌تر از نفوذ از طرق دیگر مانند سرور ، شبکه و یا هاست می‌باشد و تنها هکر های بسیار حرفه‌ای توان نفوذ از روش‌های دیگر را دارند و معمولاً این هکر ها تنها اقدام به نفوذ به سایت های بزرگ جهانی و دولتی می‌نمایند و به سایت های متوسط و کوچک نفوذ نمی‌نمایند ).

9. معمولاً هسته (بخش مرکزی - core ) سیستم ها دارای امنیت مناسبی می‌باشد اما ماژول‌ها ، قالب‌ها، کامپاننت ها و یا پلاگین ها دارای امنیت بسیار پایینی می‌باشد.تا حد ممکن هرگز از ماژول ، قالب ، کامپاننت و یا پلاگین اضافی بر روی سایت خود استفاده ننمایید.

10. در صورت نیاز حتمی به استفاده از ماژول ، قالب ، کامپاننت و یا پلاگین اضافی بر روی سایت خود از بروز بودن و امن بودن آن‌ها اطمینان حاصل نمایید و هرگز از سیستم های قدیمی و یا ناامن استفاده ننمایید زیرا در آن حالت احتمال هک شدن شما تقریباً 100 درصد خواهد بود اما به طور کل این مورد توصیه نمی‌شود.

11. هرگز از نرم‌افزار ، ماژول ، قالب ، کامپاننت و یا پلاگین قفل شکسته استفاده ننمایید زیرا با استفاده از آن‌ها احتمال مورد نفوذ قرار گرفتن شما تقریباً 100 درصد خواهد بود.

در نهایت توصیه می‌شود استانداردهای امنیتی کدهای خود را به وسیله یک کارشناس امنیت مورد مطالعه قرار دهید تا بتوانید یک سایت امن و پایدار در اختیار داشته باشید شرکت مهندسی نرم افزار وب رند در این زمینه متخصص است و تلاش می کند وب سایتی با امنیت بالا برای کاربران ایجاد کند.

هک,امنیت سایت,امنیت اینترنتی,راه های پیشنهادی جلوگیری از هک,انواع هک,هک از سمت کاربر,هک ازسمت سرور,هکر,طراحی سایت,طراحی سایت جاوا,وب رند,وبرند,webrend,عوامل رایج هک شدن,هک شدن سایت,استانداردهای امنیتی,سایت امن,وب سایت با امنیت بالا