چگونه امنیت وب سایت خود را تامین کنیم؟

امنیت وب سایت چیست؟

تدابیر امنیت سایبری به یک سری کار ها گفته می شود که با انجام آن ها ضریب امنیت به بیشترین حد خود رسیده و امکان نفوذ به سیستم را به حداقل می رساند. توجه کنید که امنیت اول تابع موارد زیر ساختی است که تمامی آن ها نقش بسیار اساسی در تامین امنیت وب سایت دارند.

امنیت سرور، امنیت شبکه، امنیت اینترنت، امنیت سیستم عامل، امنیت نرم افزار و بسیاری از موارد دیگر نقش کلیدی در تامین زیر ساخت امنیت سایت دارند و اگر این اقدامات امنیتی برای زیر ساخت های یک وب سایت انجام نشود برقراری امنیت وب نمی تواند موثر واقع شود. امنیت وب سایت به وضعیتی گفته می شود که سایت بتواند کارهای عادی و معمول خود را بدون کندی و ایجاد خللی انجام بدهد. و کسی نتواند نفوذی در آن انجام دهد.

اهمیت برقراری امنیت در وب سایت

امنیت سایت از اهمیت بسیار زیادی برخوردار است و باید گفت موثر ترین عامل فعالیت، ثبات و اعتبار یک سایت با توجه به موارد دیگر، موضوع مهم امنیت وب سایت است. با بررسی وضعیت سایت های عادی و حتی بزرگ و حساس به این نتیجه می رسیم که بسیاری از مسئولان سایت ها اهمیت کمی به امنیت وب سایت خود می دهند.

هک نشدن سایت، دلیلی بر امن بودن سایت نیست. به این معنی که ممکن است بر روی یک سایت با ضعف های امنیتی، تا حالا تلاشی برای هک و نفوذ به آن انجام نشده است و در صورت انجام سایت مورد نظر آسیب پذیر خواهد بود. اهمیت امنیت سایت زمانی مشخص می شود که سایت تحت حمله قرار بگیرد که دو نتیجه می تواند به دنبال داشته باشد.

واکنش سایت به حمله سایبری

اگر امنیت سایت بصورت صحیح تامین شده باشد حمله ناموفق خواهد بود و سایت آسیبی نخواهد دید اما اگر موارد امنیتی تامین نشده باشد ضریب آسیب پذیری سایت بسیار بالا خواهد بود و امکان هک سایت و نفوذ به آن وب سایت برای فرد هکر فراهم است. این نکته نیز قابل توجه است که حتی با وجود انجام و پوشش موارد امنیتی هر سایتی در هر موقع مستعد دریافت آسیب پذیری ناشی از حملات است. نوع، تعداد و روش های هک و نفوذ بسیار زیاد است و مقابله در برابر تمامی آن ها اقدامات بسیار جدی را طلب می کند. علاوه بر پوشش و رفع موارد امنیتی بحث مراقبت نیز در امنیت بسیار حائز اهمیت است.

انواع روش های هک و نفوذ به وب سایت ها

مهندسی اجتماعی

اولین روش هایی که یک فرد هکر می تواند برای نفوذ به وب سایت شما انجام دهد و کنترل خود در بیاورد روش مهندسی اجتماعی است که متداول ترین روش هک و نفوذ در جامعه امروزی است. در این روش فرد هکر با توجه به هوش و توانایی های شخصیتی خود به وب سایت شما نفوذ می کند و کار فنی انجام نمی دهد. به این صورت که اطلاعات شما را به دست می آورد و یا شما را وادار به کاری می کند.

یک مثال در دنیای واقعی: عجیب ترین سرقت از بانک بنگلادش توسط گروه هکری لازاروس در فوریه 2016 اتفاق افتاد. آن ها در قسمتی از مرحله هک خود به جایی رسیدند که باید یک پرینتر را خاموش می کردند و نباید خودشان در آن جا حضور می داشتند. مهندسی اجتماعی به کارشان آمد و این به ذهنشان رسید که با هک پرینتر و چاپ تعداد زیاد برگه خام نگهبان را فریب بدهند تا خود نگهبان با پای خودش برود و پرینتر را خاموش کند تا آن ها بتوانند به ادامه کار خود بپردازند.

حملات DDos دی داس

سروری که وب سایت شما روی آن فعالیت می کند ظرفیت خاصی دارد مثلا توانایی گرفتن درخواست همزمان صد کاربر را دارد و اگر یک دفعه در آن واحد دویست درخواست به سرور ما زده شود. سرور ما به اصطلاح دان می شود و دیگر از دسترس خارج می شود و باید آن را سریعا درست کرد.

متدهای مورد استفاده در حملات DOS و DDos

• ICMP flood
  
• SYN flood
  
• Teardrop attacks
  
• Low-rate Denial-of-Service attacks
  
• Peer-to-peer attacks
  
• Asymmetry of resource utilization in starvation attacks
  
• Permanent denial-of-service attacks
  
• Application-level floods
  
• Nuke
  
• R-U-Dead-Yet
  
• Distributed attack
  
• Reflected / Spoofed attack
  
• Unintentional denial of service
  
• Denial-of-Service Level II
  
  

تفاوت حملات DOS و DDOS
در هر دو این حملات سرور هدف از ادامه فعالیت باز می ماند اما تفاوت این دو در منبع حمله می باشد. در حمله DOS مهاجم برنامه را از یک کامپیوتر اجرا نموده، در حالی که در حمله DDOS برنامه مهاجم از چندین سیستم یا سیستم هایی که در حیطه یک شبکه گسترش یافته اند اجرا می شود. در DDOS مهاجم از کامپیوترهای دیگر نیز جهت حمله استفاده می نماید.

​

بد افزارها

برنامه هایی که شما روی سیستم خود خود نصب می کنید شاید ظاهرا برنامه ایی آسیب زا نباشد اما پشت ظاهر عادی که دارد یک سری دسترسی ها از شما می گیرد و می تواند با آن دسترسی ها سیستم شما را کنترل کند شما باید حواستان باشد که چه برنامه ایی را از کجا دانلود می کنید و این دسترسی هایی که می خواهد را برای چه کاری نیاز دارد. برای مثال برنامه ایی که کار ادیت عکس می کند به چه دلیل باید به بخش اس ام اس شما دسترسی داشته باشد.

یک مثال داستانی: در یکی از جنگ ها یکی از دو طرف جنگ اعلام شکست می کند و برای صلح کردن به قبیله مقابل خود می گویند که ما شکست خود را اعلام می کنیم و برایتان هدیه ایی می فرستیم. آن ها که در حال مراسم شادی از برد خود در جنگ بودند. ناگهان در قبیله به صدا درآمد و رفتند در را باز کردند و دیدند هدیه قبیله ی شکست خورده برایشان آمده و یک مجسمه اسب خیلی بزرگ است و آن را وارد قبیله آوردند و در خیال خودشان این فکر را می کردند که هدیه با ارزشی گرفتند اما به محض این که مجسمه بزرگ اسب وارد قبیله شد و فضا آرام بود. صدای شکستن مجسمه آمد و افراد زیادی شمشیر به دست از داخل مجسمه بیرون آمدند و تمامی افراد قبیله مقابل را کشتند. این تشبیهی از یک بد افزار است.

فیشینگ

در این روش فرد هکر صفحه ایی تقلبی و بسیار مشابه با صفحه اصلی سایت مورد نظر می سازد و کاربر گول ظاهر مشابه آن سایت مورد نظر خود را می خورد و اطلاعات خود را وارد آن می کند قافل از اینکه اطلاعات برای فرد هکر فرستاده می شود. مثلا فرد هکر می خواهد رمز و آدرس اکانت اینستاگرام شما را به دست آورد. لینکی برای شما می فرستد که با بازکردن آن صفحه ایی مانند فرم لاگین اینستاگرام باز می شود و کاربر آدرس سایت را چک نمی کند و گول ظاهر صفحه را می خورد و اطلاعات خود را در اختیار هکر قرار می دهد.

روش های جلوگیری از حملات سایبری

گواهی امنیت SSL

یکی از روش های جلوگیری از دزدیده شدن اطلاعات سایت که در حال ارسال به سرور است، استفاده از گواهینامه اس اس ال SSL است. اگر این گواهی را نداشته باشیم سایت ما از لحاظ امنیتی به ضعیف شده و اطلاعات ما در مسیر ارسال به سرور در خطر دزدیده شدن است. برای مطالعه بیشتر درباره SSL وارد مقاله SSl چیست شوید. برای خرید ssl می توانید به این سایت های ایران سرور و ایران هاست مراجعه کنید.

وب فایروال WAF

WAF مخفف Web Application Firewall است. WAF ترافیکی که به سمت وب سایت شما می آید را مانیتور کرده و بخشی که مخرب شناخته می شود را فیلتر و مسدود می کند. بنابراین وظیفه WAFها این است که قبل از رسیدن ترافیک مشکوک به وب سرور، با تشخیص آن از دسترسی اش جلوگیری کنند. این فایروال بصورت نرم افزاری و سخت افزاری است که مدل های سخت افزاری آن در سرور و هاست فعال می شود.

می تواند از حملات دی داس که در بالاتر توضیح داده شد جلوگیری کند. یک ابزار امنیتی بسیار تخصصی است که به طور خاص برای محافظت از برنامه های کاربردی تحت وب طراحی شده است، بنابراین استفاده از آن در کنار برخورداری از کدنویسی ایمن و اقدامات امنیتی دیگر، امنیت سایت شما را تضمین می کند.

استفاده از GUID

یک شناسه یکتای جهانی یا شناسه منحصر به فرد جهانی (انگلیسی: Universally unique identifier) (مخفف: UUID) یک عدد 128-بیتی است که برای شناسایی اطلاعات در سیستم های کامپیوتری استفاده می شود. به جای این اصطلاح، اصطلاح انگلیسی Globally unique identifier (مخفف: GUID) نیز به کار می رود. احتمال اینکه یک UUID تکراری باشد، صفر نیست، اما آن قدر به صفر نزدیک است که می توان از آن چشم پوشی کرد.

در یک مثال ساده؛ لازم است ID ها، لینک های سایت و نرم افزار قابل پیش بینی نباشد. اگر صفحه یک کالا به نام Product 30 است و احتمالا می توان حدس زد که کالای دیگری Product 31 است، نیاز است آن را تغییر دهید. این کار به کمک GUID انجام خواهد شد و هر لینک غیر قابل پیش بینی می شود.

رمز ها

بهتر است رمز ها را در Table ها نگه ندارید. رمز ها نباید قابل بازیابی باشد. می توانید رمز ها را Hash کنید. علاوه بر این رمز های قوی شامل عدد و حروف، سیمبل هایی مثل @، * ، ! و ... باشد. تعداد حداقل 6 تایی به قوی شدن رمز ها کمک می کند. درباره رمز عبور امن را بخوانید. بهتر است این شرایط را در دریافت رمز کاربر لحاظ کنید.

محدودیت زمان حضور غیر فعال

بهتر است زمان حضور غیر فعال کاربر در صفحه را محدود کنید. مثلا اگر 10 دقیقه کاربر فعالیتی نکند، او را از صفحه خارج کنید. می توان این خروج را در زمانی که IP کاربر تغییر کرد نیز اجرا کنید.

امنیت فیلد

بهتر است در فیلد ها محدودیت هایی لحاظ کنید. یکی از محدودیت ها دریافت فایل ها با فرمت های خاص است. مثلا فقط فرمت های PDF و JPEG را قبول کنید. مورد بعدی محدودیت حجم است، ممکن است حجم بالایی آپلود کرده و تمام سرور را درگیر کند و یا فایلی با دستورهای غیر مجاز آپلود کند. همچنین می توانید کلمات غیر مجاز و خطرناک را محدود کنید که در فیلدها نتوان آن ها را نوشت.

بستن IP

می توانید دستورهایی لحاظ کنید که در صورت رفتار مشکوک، مسدود شود. مثلا اگر تعداد درخواست ها در 1 ثانیه 100 تا بود، آن IP بسته شود. طبیعتا کاربر نمی تواند با این سرعت فعالیت کند، پس حتما یک ربات یا برنامه نوشته شده برای هک است.

مقابله با SQL injection

تزریق به پایگاه داده (به انگلیسی: SQL injection) نوعی فن تزریق کد است که نقص امنیتی نرم افزار وب سایت را اکسپلویت می کند. به این صورت که نفوذگر با یک سری دستورهای اس کیوال، عملیاتی را (متفاوت با عملیات عادی موردنظر طراح وبسایت) در پایگاه داده وب سایت آسیب پذیر انجام می دهد.
این آسیب پذیری جزو ده آسیب پذیری رایج نرم افزارهای وب در سال 2007 و 2010 برشمرده شده است. تزریق SQL یک روش حمله است که هدف آن داده های ساکن در پایگاه داده ای است که از طریق Firewall محافظت می شود. حمله معمولاً به علت مدیریت ضعیف در اعتبار سنجی کدها یا ورودی های برنامه (وب سایت) اتفاق می افتد.

حمله تزریق SQL زمانی اتفاق می افتد که یک مهاجم قادر به قرار دادن یک سری از عبارت های SQL در یک Query (پرس و جو) با دستکاری داده های ورودی کاربر در یک برنامه مبتنی بر وب می باشد. البته این مسئله نیز مستقیماً با نحوه مدیریت کدها و ورودی های وب سایت رابطه مستقیم دارد. یک حمله کننده می تواند از نقص های برنامه نویسی یا حفره های امنیتی وب سایت یا نرم افزار به راحتی برای دستیابی به اطلاعات یک پایگاه داده استفاده نماید.

Query های معمول دارای چند بخش مختلف به شرح ذیل می باشد:

• دستور Select: با استفاده از این دستور ستون هایی که مورد نظرمان است را انتخاب می نمائیم.
  
• From: که مشخص می نماید که ستون های مورد نظر ما از کدام جدول انتخاب شوند.
  
• Where: که در آن شروطی را مشخص می نمائیم.
  

و یک سری دستورات و عبارت ها و متدهای دیگر . . .
حملات تزریق از طریق SQL بیشتر در بخش شرطی Where اتفاق می افتند.

سخن پایانی

از اطلاعات خود درست و در مکان های امن نگهداری کنید و خودتان اطلاعات اضافه ایی را به کسی منتقل نکنید و در گام بعد برای امنیت سایت خود از تکنیک های امنیتی اشاره شده استفاده کنید.
محافظت سایت در برابر اسپمر ها: ربات های اسپمر با جستجو در سایت ها و پیدا کردن نقطه ضعف هایی در آن ها مخصوصا فرم های محافظت نشده که تکمیل آن ها بصورت ماشینی امکان پذیر بوده است اقدام به حملات انبوه اسپم می کنند که اگر محافظتی در برابر اینکار انجام نشده باشد بسیار محتمل است که در سرور اختلال ایجاد شود. یکی از چیزی هایی که می تواند جلوی این حملات را بگیرد سوال های تشخیص ربات از انسان به کمک کپچا است.