شکاف | امنیت سایت - طراحی سایت - سئو سایت

آشنایی با حملات تغییر مسیرهای نامعتبر با توجه به اینکه حملات تغییر مسیرهای نامعتبر یا همان Invalidated Redirects And Forwards، ازنظر سازمان OWASP به‌عنوان یکی از خطرناک‌ترین حملات در امنیت سایت شناخته می‌شود. در این مقاله قصد داریم تا با موضوع این حملات و انواع گوناگون آن آشنا شویم. در فضای کنونی اینترنت که غالباً کاربران عادی و غیرمتخصص، مخاطب آن هستند و کمتر به تغییر مسیرهای توجه می‌کنند و این امر باعث شده است تا هکرها با استفاده از این نقطه‌ضعف کاربران، مشکلات امنیتی جدی را به وجود آورند. درصورتی‌که کاربری وارد وب‌سایت شود که ازلحاظ امنیتی، نتواند اعتبارسنجی‌های لازم را برای تغییر مسیرهای مناسب انجام دهد، هکر می‌تواند قربانیان را به وب‌سایت‌های مخرب هدایت کرده و یا حتی آسیب‌های جدی را به کاربران وارد نماید. در حالت کلی می‌توان بیان کرد که حملات تغییر مسیرهای نامعتبر، با اجازه دادن به داده‌های نامطمئن از یک URL، برای تصمیم‌گیری صفحه مقصد کاربر ایجاد می‌شوند. حملات تغییر مسیرهای نامعتبر در ترکیب با حملات مهندسی اجتماعی برای اهداف خطرناک و مخربی مانند فریب دادن کاربران برای دانلود نر

آشنایی با حملات CSRF یا حملات جعل درخواست فرا وبگاهی با توجه به اینکه، حملات CSRF به‌عنوان یکی از خطرناک‌ترین حملات در امنیت سایت شناخته می‌شود، در این مقاله قصد داریم تا با انواع گوناگون این حملات آشنا شویم. ازآنجایی‌که حملات CSRF مخفف عبارت Cross-Site Request Forgery است و به‌عنوان یکی از شناخته‌شده‌ترین نوع حملات سایت در بین هکرها محسوب می‌شود؛ منابع و مقالات بسیار زیادی در این زمینه ارائه‌شده است و هدف ما از ارائه‌ی این مقاله آشنایی اصولی و پایه‌ای با مفاهیم و انواع این نوع حملات در سطح وب‌سایت‌ها می‌باشد. [caption id="attachment_687" align="aligncenter" width="300"] انواع حملات CSRF[/caption] حملات جعل درخواست فرا وبگاهی یا همان حملات CSRF که گاهی Sea-Surf نیز تلفظ و بیان می‌گردد بانام‌هایی همچون One-Click Attack، Session Riding و یا XSRF نیز شناخته می‌شود. حملات CSRF از یک اعتماد اشتباه به وجود می‌آید. در این اعتماد اشتباه، یک وب‌سایت به کاربر خود و مرورگرش، اعتماد می‌نماید و کاربر، قربانی حملات CSRF می‌گردد. برای درک بهتر این نوع حملات به مثال زیر

آشنایی با مفاهیم هویتی، مجوزی و بازرسی در سیستم‌های کامپیوتری قبل از آشنایی با حملات نقض احراز هویت و مدیریت نشست نیاز است تا با چندین اصطلاح و مفهوم خاص آشنا شویم. زمانی که درباره‌ی ورود کاربر یا کامپیوتر به سیستم‌ها بحث می‌کنیم، باید با سه مفهوم حسابرسی یا Accounting، صدور مجوز یا Authorization و احراز هویت یا Authentication آشنایی داشته باشیم و تفاوت این سه اصطلاح را در مبانی و فرایند انجامشان، درک نماییم. [caption id="attachment_663" align="aligncenter" width="300"] نقض احراز هویت و مدیریت نشست[/caption] احراز هویت یا Authentication کاربر، کامپیوتر یا هر دستگاه دیگر، برای آنکه بتواند نقش خود را در یک سیستم شبکه یا وب اجرا نماید، باید ابتدا فرایند احراز هویت را برای تشخیص هویت خود انجام دهد. ازآنجایی‌که احراز هویت یکی از مهم‌ترین بخش‌های هر وب‌سایت است، باید به این مسئله اهمیت فراوانی در طراحی وب داده شود. برای درک بهتر مسئله احراز هویت یک مثال ساده و کاربردی را در ادامه بیان می‌نماییم. فرض کنید شما کارمند یک سازمان هستید، زمانی که شما می‌خواهید وارد س