شکاف | امنیت سایت - طراحی سایت - سئو سایت

آشنایی با حملات پیکربندی نادرست امنیتی حملات پیکربندی نادرست امنیتی که به‌عنوان یکی از ده آسیب‌پذیری خطرناک در سطح وب شناخته می‌شود، غالباً از نصب و پیکربندی پیش‌فرض سرورها، برنامه‌های کاربردی وب، پایگاه‌های داده و یا سیستم‌عامل‌ها ایجاد می‌گردد. نصب و پیکربندی هرکدام از قسمت‌ها به‌صورت پیش‌فرض، باعث وقوع رخدادهای امنیتی می‌گردد که ممکن است باعث خطرات بسیار جدی برای وب‌سایت و یا حتی کل شبکه گردد. غالباً قسمت‌ها و برنامه‌ها هنگام نصب دارای حالت‌های پیش‌فرض خود می‌باشند و این حالت‌ها باید حتماً به‌صورت سفارشی توسط مدیران امنیت و برنامه نویسان، با دید امنیتی طراحی و آماده بکار گردند. برای درک بهتر این موضوع به مثال زیر توجه نمایید. [caption id="attachment_821" align="aligncenter" width="300"] انواع حملات پیکربندی نادرست امنیتی[/caption] زمانی که مدیر سرور در فایل php.ini وب سرور آپاچی، گزینه‌ی expose_php = On را به‌صورت پیش‌فرض باقی بگذارد و تغییراتی را در آن ایجاد ننماید، هکر یا تستر نفوذ می‌تواند با چند دستور ساده، نسخه‌ی PHP مورداستفاده توسط وب سرور آپ...

آشنایی با حملات ارجاع مستقیم ناامن به اشیاء داخلی برنامه یا حملات IDOR عبارت یا اصطلاح ارجاع مستقیم به اشیاء داخلی برنامه یا Direct Object Reference، یک رویکرد در طراحی صفحات وب را توصیف و بیان می‌کند که در آن کلیدهای واقعی و نام‌های موجود، برای شناسایی منابع تحت کنترل برنامه، استفاده می‌شوند. اگر طراح یا برنامه‌نویس وب‌سایت، در برنامه خود یک مقدار متفاوت را به‌اشتباه، برای کلیدها و نام‌ها جایگزین نماید و از طریق آن، برنامه به منابع مختلفی که قصد و تصمیم طراح نیست و یا کاربر مجاز به دسترسی در آن منابع نبوده است، دسترسی پیدا نماید، یک آسیب‌پذیری ارجاع مستقیم ناامن به اشیاء دخلی برنامه صورت می‌پذیرد. به بیان ساده‌تر، این نوع از حملات زمانی رخ می‌دهد که طراح یا برنامه‌نویس، دسترسی ارجاع یک منبع، به Object های داخلی برنامه را باز بگذارد و یا سطح دسترسی‌ها را به‌درستی پیکربندی نکرده باشد. به‌عنوان‌مثال می‌توان به فایل‌ها، دایرکتوری‌ها و یا بانک‌های اطلاعاتی اشاره نمود. زمانی که کنترل دسترسی بر روی یک دایرکتوری یا فایل به‌صورت صحیح پیکربندی نشده باشد، هکر می‌تواند منابع را در جهت استفاده خ...

آشنایی با حملات تغییر مسیرهای نامعتبر با توجه به اینکه حملات تغییر مسیرهای نامعتبر یا همان Invalidated Redirects And Forwards، ازنظر سازمان OWASP به‌عنوان یکی از خطرناک‌ترین حملات در امنیت سایت شناخته می‌شود. در این مقاله قصد داریم تا با موضوع این حملات و انواع گوناگون آن آشنا شویم. در فضای کنونی اینترنت که غالباً کاربران عادی و غیرمتخصص، مخاطب آن هستند و کمتر به تغییر مسیرهای توجه می‌کنند و این امر باعث شده است تا هکرها با استفاده از این نقطه‌ضعف کاربران، مشکلات امنیتی جدی را به وجود آورند. درصورتی‌که کاربری وارد وب‌سایت شود که ازلحاظ امنیتی، نتواند اعتبارسنجی‌های لازم را برای تغییر مسیرهای مناسب انجام دهد، هکر می‌تواند قربانیان را به وب‌سایت‌های مخرب هدایت کرده و یا حتی آسیب‌های جدی را به کاربران وارد نماید. در حالت کلی می‌توان بیان کرد که حملات تغییر مسیرهای نامعتبر، با اجازه دادن به داده‌های نامطمئن از یک URL، برای تصمیم‌گیری صفحه مقصد کاربر ایجاد می‌شوند. حملات تغییر مسیرهای نامعتبر در ترکیب با حملات مهندسی اجتماعی برای اهداف خطرناک و مخربی مانند فریب دادن کاربران برای دانلود نر...

آشنایی با حملات CSRF یا حملات جعل درخواست فرا وبگاهی با توجه به اینکه، حملات CSRF به‌عنوان یکی از خطرناک‌ترین حملات در امنیت سایت شناخته می‌شود، در این مقاله قصد داریم تا با انواع گوناگون این حملات آشنا شویم. ازآنجایی‌که حملات CSRF مخفف عبارت Cross-Site Request Forgery است و به‌عنوان یکی از شناخته‌شده‌ترین نوع حملات سایت در بین هکرها محسوب می‌شود؛ منابع و مقالات بسیار زیادی در این زمینه ارائه‌شده است و هدف ما از ارائه‌ی این مقاله آشنایی اصولی و پایه‌ای با مفاهیم و انواع این نوع حملات در سطح وب‌سایت‌ها می‌باشد. [caption id="attachment_687" align="aligncenter" width="300"] انواع حملات CSRF[/caption] حملات جعل درخواست فرا وبگاهی یا همان حملات CSRF که گاهی Sea-Surf نیز تلفظ و بیان می‌گردد بانام‌هایی همچون One-Click Attack، Session Riding و یا XSRF نیز شناخته می‌شود. حملات CSRF از یک اعتماد اشتباه به وجود می‌آید. در این اعتماد اشتباه، یک وب‌سایت به کاربر خود و مرورگرش، اعتماد می‌نماید و کاربر، قربانی حملات CSRF می‌گردد. برای درک بهتر این نوع حملات به مثال زیر ...

آشنایی با مفاهیم هویتی، مجوزی و بازرسی در سیستم‌های کامپیوتری قبل از آشنایی با حملات نقض احراز هویت و مدیریت نشست نیاز است تا با چندین اصطلاح و مفهوم خاص آشنا شویم. زمانی که درباره‌ی ورود کاربر یا کامپیوتر به سیستم‌ها بحث می‌کنیم، باید با سه مفهوم حسابرسی یا Accounting، صدور مجوز یا Authorization و احراز هویت یا Authentication آشنایی داشته باشیم و تفاوت این سه اصطلاح را در مبانی و فرایند انجامشان، درک نماییم. [caption id="attachment_663" align="aligncenter" width="300"] نقض احراز هویت و مدیریت نشست[/caption] احراز هویت یا Authentication کاربر، کامپیوتر یا هر دستگاه دیگر، برای آنکه بتواند نقش خود را در یک سیستم شبکه یا وب اجرا نماید، باید ابتدا فرایند احراز هویت را برای تشخیص هویت خود انجام دهد. ازآنجایی‌که احراز هویت یکی از مهم‌ترین بخش‌های هر وب‌سایت است، باید به این مسئله اهمیت فراوانی در طراحی وب داده شود. برای درک بهتر مسئله احراز هویت یک مثال ساده و کاربردی را در ادامه بیان می‌نماییم. فرض کنید شما کارمند یک سازمان هستید، زمانی که شما می‌خواهید وارد س...

استاندارد حملات سایت در این مقاله قصد داریم تا شما را با استانداردی برای انجام روند حملات سایت آشنا نماییم و در ادامه کار، این استاندارد روش کاری می‌شود تا بتوانید بر اساس یک متد و روش خاص مراحل یادگیری هک سایت، امنیت سایت و تست نفوذ سایت‌ها را یاد بگیرید. وب‌سایت شکاف با استناد به این متدولوژی و استاندارد بین‌المللی آن، کلیه آموزش‌های خود را از ابتدا تا انتهای با آرمانی برای متخصص شدن شما در برقراری امنیت سایت خودتان همراهی خواهد کرد. در مقاله قبلی که با عنوان -امنیت سایت یا تست نفوذ در برنامه‌های کاربردی وب ، با استفاده از استانداردهای بین‌المللی- معرفی‌شده بود، با استانداردی آشنا شدیم که سازمان ایجادکننده آن OWASP است. [caption id="attachment_613" align="aligncenter" width="300"] انواع حملات سایت[/caption] ده آسیب‌پذیری مهم وب‌سایت‌ها سازمان OWASP با تکیه‌بر بررسی آخرین تهدیدات، خطرات و شکاف‌های امنیتی در وب‌سایت‌ها و برنامه‌های کاربردی وب، یک پروژه بانام OWASP Top Ten دارد که معروف به ده آسیب‌پذیری مهم و حیاتی وب‌سایت‌ها است. پروژه OWASP Top Ten به‌صو...

امنیت سایت یا برنامه کاربردی وب و اهمیت آن امنیت سایت را از آنجا شروع می کنیم که در مقاله قبلی درباره تفاوت واژگان وب‌سایت و برنامه‌های کاربردی وب صحبت کردیم، اکنون وقت آن رسیده است که درباره امنیت در وب‌سایت و برنامه‌های کاربردی وب بپردازیم. امروزه کلیه‌ی کسب‌وکارها و فروشگاه‌ها، با توجه به بازخوردهایی که از جامعه دریافت می‌نمایند، سعی بر این دارند تا برای کالا و خدمات خود وب‌سایتی را راه‌اندازی نمایند و محصولات خود را برای درآمد بیشتر و فروش بهتر ارائه دهند. همان‌گونه که در مقاله‌های قبلی با اهمیت امنیت در دنیای امروزه آشنا شدیم. در اینجا می‌خواهیم از اهمیت امنیت در صفحات وب و برنامه‌های کاربردی وب آشنا شویم. [caption id="attachment_541" align="aligncenter" width="300"] امنیت سایت بر اساس استاندارد[/caption] در دنیای امروزه که کسب‌وکارها به سمت‌وسوی آنلاین شدن در فضای مجازی را پیش گرفته‌اند، صفحات وب بستری مناسب و قابل‌اعتماد برای انسان گشته تا بتوانند کالا و خدمات موردنیاز خود را یا ارائه دهند و یا به فروش برسانند. با توجه به تجارت الکترونیکی که از طر...

تست نفوذ را به‌عنوان یک فرآیند بشناسیم تست نفوذ با رویکردی بر ارزیابی امنیت سازمان‌ها و سیستم‌ها می‌تواند به‌عنوان یک بازرسی سامانمند و قانونی، سطح امنیتی را مشخص نماید. در فرایند تست نفوذ، یک گروه متخصص و کارآمد با استفاده از فن‌ها و شگردها، شروع به شبیه‌سازی حمله به سازمان و سیستم‌ها را انجام می‌دهند و در انتها گزارش کاملی را به سازمان‌ها ارائه داده و نحوه اصلاح ضعف‌های امنیتی شبکه و ساختار سازمان را مورد تجزیه‌وتحلیل قرار می‌دهند. این سلسله‌مراتب باید برای سازمان‌ها و سیستم‌ها به‌صورت فرایندی چرخه‌ای همیشه و در بازه‌های زمانی مختلف انجام گیرد تا امنیت را در سازمان برقرار نماید. باید به این نکته توجه داشته باشیم که تست نفوذ یک فرایند است و نباید آن را به‌عنوان یک فعالیت در نظر بگیریم که پس از پایان آن امنیت برقرارشده باشد و دیگر نیازی به تست نفوذ نباشد. بلکه این، یک تفکر اشتباه درباره تست نفوذ است که بخواهیم آن را به‌عنوان یک فعالیت بنامیم و بعد از اتمام کار دیگر آن را انجام ندهیم. تست نفوذ باید برای سازمان‌ها و سیستم‌های مختلف به‌صورت یک فرایند بازه‌ای انجام پذیرد تا امنیت اطمینان ...