انواع حملات به وبسایت ها

داشتن یک سایت و برنامه ریزی برای فروش برای همه ی کسب و کار ها رکن اساسی و مهم تبدیل شده و است و همه کسب و کارها به دنبال این هستند که بتوانند بهترین وبسایت و بهترین استراتژی را برای افزایش فروش و جذب مشتری داشته باشند. در کنار تمام این توسعه ها برای افزایش فروش بخشی به نام امنیت سایت مطرح میشود که ازقضا بخشی مهم و ضروری است که باید به آن توجه ویژه ای شود. شما باید در ابتدا انواع حملات به وبسایت ها را بشناسید سپس با توجه به آنها به ایجاد امنیت برای وبسایت خود بپردازید، اگر با امنیت سایت آشنایی ندارید در ابتدا به توضیح مختصری از آن میپردازیم. در ادامه با برتر آموز همراه باشید تا به توضیح مفصل و کامل در این زمینه بپردازیم.

آنچه که شما در این مقاله می آموزید:

• امنیت سایت چیست؟
• انواع حملات به وبسایت ها

امنیت سایت چیست؟

هانطور که در قسمت بالاتر گفتیم لازمه شناسخت انواع حملات به وبسایت ها این است که اصلا شما با مفهوم امنیت سایت آشنایی داشته باشید و تا حدودی این مفهوم را بشناسید. برای اینکه به صورت کامل بحث امنیت را آموزش ببینید، پیشنهاد میشود مقاله امنیت سایت چیست؟ را مطالعه نمایید.

به انجام مجموع دستورالعمل ها و فرآیند هایی که یک کسب و کار برای بالا بردن امنیت و به حداقل رساندن نفوذ هکر ها انجام میدهد، برقراری امنیت سایت گفته میشود. امنیت سایت به تنهایی بیان نمیشود بلکه زیرشاخه های زیادی دارد که اگر امنیت هرکدام به خوبی تامین شود در نهایت میتوان گفت سایت از امنیت خوبی برخورددار است. این زیر شاخه ها شامل امنیت سرور، امنیت اینترنت، امنیت شبکه، امنیت سیستم عامل و….میشود. به این نکته توجه کنید که برقراری امنیت سایت نباید تجربه کاربری را به هم بریزد. برای مثال کاربر وقتی وارد سایت شمت میشود و میخواهد خرید انجام دهد هر 5 دقیقه یک بار یاید ثابت کند که ربات نیست و یا وقتی کاربر در صفحه کاربری خود است هر چند لحظه ای از سایت بیرون میافتد تا دوباره رمز خود را وارد کند. تمامی این موارد برای برقراری امنیت بسیار خوب هستند اما رضایت کاربری را تا حد زیادی کاهش میدهند.

پیشنهاد میشود مقاله تکنیک های موثر در طراحی سایت را مطالعه نمایید.

انواع حملات به وبسایت ها

در این بخش میخواهیم انواع حملاتی که برای وبسایت ها رخ میدهد را بررسی کنیم و راجب به آنها صحبت کنیم. دانستن این دانش برای تمامی طراحان وبسایت ضروری است زیرا این افراد میتوانند راهکار های خوبی را برای جلوگیری از هک شدن و آسیب به وبسایت ارائه دهند.

نفوذ تزریق یا injection

injection یکی از شیوه های رایج برای حمله و نفوذ به وبسایت ها است که هکر با حمله کننده در ابتدا درگاه های مختلفی در وبسایت شما پیدا میکند که از طریق آن میتواند به سایت شما نفوذ کرده و اطلات ارسال نماید. خوب پس از اینکه این درگاه ها شناسایی شد، یکسری از دستورات مخرب و از پیش تعیین شده به این درگاه ها ارسال میشود که هدف از آن فقط این است که به پایگاه داده دسترسی ایجاد کنند که در این مرحله فعلا روی کاربران سایت تاثیر ندارند. حالا این دستورات به چه صورت به سرور ارسال میشود؟

1. 1. از طریق متغیرهای تعریف شده در آدرس URL وب سایت ارسال انجام می پذیرد.
2. از طریق عناصر HTML که در تولید یک فرم استفاده شده این انتقال انجام می پذیرد. این عناصر شامل باکس متن و منوهایی است که در وب سایت ها برای گرفتن اطلاعات و تکمیل بانک اطلاعاتی از کاربر قرار داده می شوند، تا کاربران اطلاعات را ایجاد یا ویرایش کنند و از این طریق بتوانند دسترسی داشته باشند.
3. انتقال توسط فایل هایی انجام می شود که نرم افزار آنها را پردازش می کند، مثلا فایل های XML که ساختاری محتوایی دارند و اطلاعات را به سرور انتقال می دهند.

تمام حملات injection بر این باورند که ساختار امنیتی وبسایت ها را دور بزنند و زیر ساخت ها و پایگاه داده یک وبسایت را بدست آورند. میدانیم که پایگاه داده مهمترین رکن در هر وبسایتی است و تمامی مسائل امنیتی از جمله رمز عبور ادمین ها، اطلاعات کاربران و… در آن ذخیره میشود و اگر هر کدام از این اطلاعات دستخوش تغییر شوذ مشکلات زیادی را به وجود میآورد.

نفوذ injection یا تزریق 3 حمله مهم دارد. SQL Injection: برای تزریق کد به پایگاه داده. Command Injection: برای تزریق کد های مخصوص سیستم عامل بر روی وب یا پایگاه داده. XML Injection: برای تزریق کدهایی که در ساختار معتبر استاندارد XML ایجاد می شوند.

نفوذ تزریق اسکریپت یا XSS

همانطور که از نام این حمله پیداست از طریق کد های اسکریپتی صورت میگیرد. در نفوذ injection همانطور که گفتیم هکر با پایگاه داده سر و کار داشت و روی کاربر تاثیر خاصی نمی گذاشت ولی در تزریق اسکریپت هدف اصلی روی کاربر است به صورتی که هدف آن اجرای کد بر روی مرورگر کاربرانی که میخواهند وارد وبسایت شما شوند است. در این حمله کدها روی سرور اجرا نمی شوند، اما زمانی که بعد از درخواست کاربر، این کدها به مرورگر منتقل می شوند، مرورگر این کدها را اجرا می کند و اطلاعات کاربر از طریق آن به هکر می رسد. به XSS رایج ترین حمله وردپرس هم گفته میشود.

پیشنهاد میشود مقاله انواع ارور های گوگل به چه معناست؟ را مطالعه نمایید.

نفوذ شکسته شدن session و احراز هویت

هر کاربری که میخواهد وارد وبسایت شما شود مرحله ای به نام احراز هویت که شامل رمز عبور و نام کاربری است را طی میکنند که در همین مرحله ساده میلیون هکر قرار دارند که با تشخیص رمز عبور میخواهند وارد وبسایت شده و آثار مخرب کننده ای را پیاده سازی کنند. این موارد نه تنها به کاربران بلکه ادمین های سایت هم در معرض همچین نفوذی قرار دارند. یکی از مواردی که باعث میشود هکر ها به سرعت به اطلاعات کاربران دسترسی داشته باشند استفاده از رمز های سست و آسان و قابل حدس است. برای اینکه بتوانید در همین مرحله اول با چنین حمله ای مقابله کنبد پیشنهاد میشود از افزونه های ثبت نام با شماره موبایل استفاده کنید. بدین صورت که با استفاده از افزونه ثبت نام شما فرآیند ثبت نام و ورود کاربر را در اندازه استفاده از یک شماره تماس فعال راحت میکنید. کاربر با وارد کردن شماره تماس خود منتظر پیامک کد خواهد ماند که این کد فقط یک تایم مشخصی اعتبار دارد که پس از گذشتن این تایم کاربر باید درخواست ارسال کد جدید را داشته باشد. در این صورت احتمال نفوذ هکر ها را به حداقل میرسانید! گواهی امضای الکترونیکی هم یکی از مواردی است که میتوانید برای جلوگیری از نفوذ هکر ها اعمال کنید، بدین صورت که کاربر تنها با داشتن گواهی امضای الکترونیکی میتواند وارد سایت شود و درج نام کاربری و رمز عبور به تنهایی کافی نمیباشد. سرور نیز برای اینکه متوجه شود تا کدام کاربر وارد می شود، یک نشست برای آن کاربر ایجاد می کند که هکر به دنبال نشست معتبر می گردد تا بتواند  به سایت مورد نظر خود نفوذ کند. هر بار که کاربر به سیستم درخواست می دهد یک نشست برای آن شخص ایجاد می شود که با یک شناسه شناخته می شود. این شناسه به عنوان متغیر در آدرس URL ارسال می شود و یا در کوکی مرورگر ذخیره می شود. (کوکی ها در واقع یک فایل حاوی متن هستندو این کوکی ها آنقدر کم حجم هستند که از سمت وبسایت ها ارسال شده و در حافظه مروگر گوشی و سیستم شما ذخیره میشود. این فایل متنی میتواند شامل اطلاعاتی همچون ورود و…. باشد.پس کوکی ها همواره در حال تعامل بین مرورگر شما و سایت های کسب و کار ها هستند.) حمله کننده با بدست آوردن این شناسه نشست می تواند خود را به عنوان کاربر مجاز تعریف کند. روشهای مختلفی برای بدست آوردن این شناسه وجود دارد که حمله کننده به دنبال الگوریتم های خاص میگردد تا بتواند شناسه های معتبر را پیدا کند و با استفاده از این شناسه به سایت مورد نظر دسترسی پیدا کند. اگر دقت کرده باشید در سیستم های بانکی شما تنها یک زمان مشخصی را برای نشست دارید و پس از طی شدن این زمان نشست شما باطل شده و دوباره باید وارد وبسایت شوید که این دلیل هم به مسائل امنیتی برای جلوگیری از نفوذ هکر ها بازمیگردد. میتوان این کار را به گونه ای انجام داد که این شناسه در کوکی ها و URL ذخیره نشود.

پیکربندی اشتباه امنیت

در پیکر بندی اشتباه امنیت ، هکر با هدف حمله به اکانت های پیش فرض، نقص های اصلاح نشده در سایت ها، فایل هایی که امنیت ندارد و… پیش میرود. زمانی که لیست دایرکتوری روی سرور غیر فعال نشده باشد و همچنان فعال باشد، هکر به این فایل ها دست پیدا می کند، آن ها را به اصطلاح decompile می کند و با دسترسی به کد ها نواقص کنترل های دسترسی را می فهمد و از طریق همین نواقص به وبسایت شما حمله میکند. در نتیجه هم تولید کننده و هم استفاده کننده نرم افزار باید اقدامات امنیتی لازم را انجام دهند و نقشه ای از پیکر بندی امن تهیه کرده و آن را در مکان نرم افزار اجرا کنند تا چنین مشکلاتی به وجود نیاید.

انتشار داده های حساس

در این روش همانطور که از نام آن پیداست هک از طریق منتشر شدن داده های حساس صورت میگیرد. بدین صورت که هکر به داده های حساس و مهم دسترسی دارد. در این روش هکر داده های در حال انتقال و کلید ها را سرقت میکند. هر داده ای که بین سرور و کاربر در حال حرکت است باید با امنیت کامل برقرار شود مانند درگاه های بانکی در وبسایت ها که اگر تدابیر امنیتی در آن رعایت نشود به سادگی اطلاعات محرمانه بانکی کاربران لو میرود که همین منظور باید از گواهینامه امنیتی SSL استفاده نمایید.

پیشنهاد میشود مقاله چگونه از هک شدن سایت جلوگیری کنیم؟ را مطالعه نمایید.

سخن آخر :

سعی کرده ایم به طور کامل درباره ی انواع حملات به وبسایت ها صحبت کنیم و کمی هم مسائل امنیت سایت را شرح دهیم. مسائل امنیتی جزو مهم ترین مسائل هستند که حتما باید به آن توجه کنید، نیروی کار و زمان و بودجه کافی را برای رسیدگی به این کار اختصاص دهید زیرا اگر سایت شما بهترین سئو و طراحی را داشته باشد اما اگر از لحاظ امنیتی ضعف داشته باشد کاربران به هیچ وجه وارد سایت شما نخواهند شد. اگر در زمینه هک شدن وبسایتتان و امنیت سایت تجربه ای دارید لطفا در قسمت کامنت با دوستان برتر آموزی به اشتراک بگذارید.  شما میتوانید بهترین دوره های آموزشی در ایران همانند آموزش دیجیتال مارکتینگ ، آموزش سئو و… را در برتر آموز مطالعه نمایید. ممنون از توجه شما.