حملات سایبری تهدید بزرگی در دوران مدرن است. شما می توانید ناخواسته از اطلاعات شخصی خود به دور بیفتید اگر در اقداماتتان روی وب سایت خود، محتاط نباشید. بنابراین امنیت سایبری در اولویت اول است.
هدف هکرها این است که ویژگی های وب سایت یا سیستم شما را تغییر دهند، طوری که مطابق با اطلاعات شما نیست. بیشترین نقص امنیتی این است که از سرور شما به عنوان یک Email relay برای اسپم استفاده شود یا راه اندازی یک وب سرور به طور موقت برای آپلود محتوای مخرب. بانکها و کمپانی های بزرگ، اهداف مهم برای هک کردن هستند، ولی گاهی اوقات کمپانی های کوچکتر یا یک کامپیوتر شخصی اهداف حمله هستند.
صرف نظر از اینکه شما یک طراح وب، نماینده ی فروش یا صاحب یک کسب و کار الکترونیکی باشید، امنیت سایبری معیاری برای امن نگهداشتن شماست. هیچ کسی نمی خواهد وب سایت خود را به خطر بیندازد. در اینجا چند سواستفاده ی عادی و معمول که هکرها از آن استفاده می کنند را توضیح می دهیم که شما باید احتیاط کنید.
1-
SQL Injection چیست؟ SQL Injection توسط هکرها برای سرقت اطلاعات از سازمان ها استفاده می شود. دستورات SQL توسط هکرها تزریق می شود به دلیل برنامه نویسی نامناسب برنامه های کاربردی وب که اهرمی برای انجام این کار فراهم می کند. اطلاعات می توانند در طول پایگاه داده شما در دسترس قرار بگیرند اگر هکر، دستورات SQL را به عنوان مثال به یک فرم لاگین تزریق کند.
2- دقیقا چه کاری انجام می دهد؟
کاربران وب سایت از طریق برنامه های کاربردی وب خود، مجاز به انتخاب و بازیابی داده ها از یک پایگاه داده هستند. پایگاه داده قطب مرکزی یک وب سایت است. اطلاعات مربوط به مشتریان، کارمندان و تامین کنندگان را ذخیره می کند. آمارهای اعتبار کاربر، اطلاعات مالی و پرداخت همگی ممکن است در یک پایگاه داده باشد و توسط کاربران مختلف در دسترس باشد. حملات SQL Injection به هکرها اجازه می دهد تا اطلاعات را از پایگاه داده مشاهده کنند یا حتی آنها را پاک کنند. این یک تهدید بزرگ برای کسب و کار شما است.
3- چگونه می توانم از حملات SQL Injection جلوگیری کنم؟
صرف نظر از اینکه آیا یک هکر می تواند و قادر است اطلاعات ذخیره شده روی دیتابیس شما را ببیند یا خیر، واقعا بستگی به این دارد که وب سایت شما چگونه کد شده است؟ آنچه مسلم است این است که حمله ی مهاجمان قادر به اجرای دستورات دلخواه SQL روی یک سیستم آسیب پذیر است. پچ های امنیتی برای سرورها، دیتابیس ها و زبانهای برنامه نویسی تان و سیستم عامل شما بایستی دفاع خود را در مقابل حملات SQL مربوطه تقویت کنند.
آپلود فایل خطرناک:
اینکه شما اجازه دهید اطلاعات در سایتتان از طرف کاربر آپلود شود، ریسک بالایی دارد. ولی این مورد بستگی دارد به اینکه دقیقا چطور سایت طراحی شده ی شما کار می کند؟ اینکه به کاربران اجازه دهید فایلها را روی سایتتان آپلود کنند می تواند ریسک بالایی داشته باشد. در اینجا نمونه های چندی وجود دارد از آنچه یک مهاجم ممکن است به منظور آسیب رساندن به شما روی سایتتان آپلود کند:
آپلود نرم افزار های مخرب: اگر مهاجم بتواند مالوری روی سایت شما آپلود کند و آن مالور دانلود شده و توسط کاربران شما اجرا شود مشکل عمده ای پیش خواهد آمد.
آپلود محتوای فعال:
به عنوان مثال اگر سایت شما از PHP استفاده می کند هکرها می توانند یک اسکریپت PHP آپلود کرده در سایت شما برای اجرا به عنوان بخشی از برنامه ی شما و در نهایت کنترل سرور.
محتوای غیر قانونی:
اگر شما به کاربر اجازه برای تولید محتوا بدهید، شما به احتمال زیاد دیر یا زود ناچار به مقابله با آن خواهید شد.
یک مهاجم می تواند html یا فایلهای جاوااسکریپت آپلود کند.
برای جلوگیری از دسترسی مستقیم برای آپلود فایلها همه با هم، راه حل هایی توصیه شده است هم چنین اطمینان حاصل کنید که شما فایروال راه اندازی کرده باشید. اگر شما می خواهید اجازه دهید فایلها از اینترنت آپلود شود بایستی از متدهای انتقال به سرور امن مثل SSH یا SFTP استفاده کنید.
کلمات عبور خود را تقویت کنید.
مسلم است در جهان امروز، ملزم به حفظ رمز عبور خود برای جلوگیری از جملات سایبری هستید. بارزترین ایده ی نگه داشتن آنها به مدت طولانی، یک الگوی آلفا-عدد است. در کوتاه مدت از ترکیب حروف بزرگ و کوچک و علائم و اعداد استفاده نمایید. شما نمی خواهید مجرمان اینترنتی در زندگی اعضای خانواده یا اطلاعات مالی تان کنجکاوی و تعرض کنند. درست است؟ پس 1- مطمئن شوید که پسوردهایتان را به طور منظم تغییر می دهید.
2- از اسامی و شماره هایی که وابسته به شماست مثل تاریخ تولد، سالگرد و غیره استفاده نکنید.
3-معمولا پسوردهای طولانی تر بهتر است.
گواهینامه های SSL:
SSL مخفف secure sockets layer می باشد که یک ارتباط رمز شده بین مرورگر وب، بازدید کنندگان و صفحه ی وب شما ایجاد می کند. بنابراین اجازه ی تبادل رایگان و بدون هیچ زحمتی از اطلاعات خصوصی را می دهد. مهاجمان از اینکه تبادل اطلاعات امن نباشد سود می برند. بیشتر گواهینامه های SSL فقط یک دامین را امن می کنند یا زیر دامنه را. ولی گواهینامه های Wildcard به شما کمک می کنند تا چندین دامنه و یا زیر دامنه را امن کنید.
ابزارهای امنیتی وب سایت:
بعد از اینکه به موارد ذکر شده در بالا توجه کردید، امنیت وب سایت خود را هم چک کنید. انواع مختلفی ابزارهای امنیتی وب سایت وجود دارد که شما می توانید استفاده کنید تا آسیب پذیری برنامه های کاربردی وب خود را چک کنید. در اینجا چند ابزار رایگان اپن سورس وجود دارد که می توانید استفاده نمایید.
Grabber : اسکنر برنامه ی وب است که می تواند آسیب پذیری امنیتی متعدد در برنامه های کاربردی وب را تشخیص دهد. اسکن را انجام داده و اعلام می کند که آسیب پذیری کجاها وجود دارد. این کمک می کند در SQL Injection،تست Ajax، XSS و … برای استفاده ساده و راحت است ولی نه به همان سرعت اسکنرهای امنیتی دیگر.
Open VAS: به عنوان یکی از پیشرفته ترین اسکنرهای امنیتی اپن سورس مورد توجه قرار گرفته است.
Netsparker: پشتیبانی کاملی از AJAX و برنامه های مبتنی بر جاوااسکریپت ارائه می دهد. هم چنین کمک می کند به کشف نقص که می تواند وب سایت را از قرار گرفتن در معرض خطر نجات دهد.
Zed attack: که با نام ZAP هم شناخته می شود برای ویندوز، یونیکس/لینوکس و سیستم عامل های مکینتاش استفاده می شود. این ابزار بسیار ساده برای استفاده است.ZAP در درجه ی اول روی متوقف کردن پروکسی تمرکز دارد. گواهینامه های اس اس ال پویا، پشتیبانی احراز هویت، پشتیبانی Plug-n-hack و غیره.
این دستورالعمل ساده را برای کمک به امن نگه اشتن وب سایتتان دنبال کنید. هم چنین اگر شما یک فراهم کننده ی سرویس وب هاستینگ هستید برای مشتریان خود که وب سایتهایی را بالا دارند، انجام دهید. این موارد را دنبال کرده و افکار خود را با ما در میان بگذارید.