ضرورت رفع ضعف های امنیتی وب سایت ها
وقتی صحبت از امنیت وب سایت می شود، رفع ضعف های امنیتی وب سایت ها یک اقدام ضروری به نظر می رسد که بخاطر تعداد حملات سایبری متعددی است که میزان آن سال به سال در حال افزایش است. معمولا صاحبان طراحی سایت ها بعد از اینکه مورد حمله قرار می گیرند به این مسأله می پردازند اما شاید خیلی دیر باشد. ضمنا بخاطر داشته باشید که ضعف های امنیتی وب سایت ها آنها را همیشه در خطر قرار می دهد.
هر روز، مجرمین سایبری حملاتی را در سراسر اینترنت روی وب سایت ها ترتیب می دهند و جرایم سایبری به صنعت بسیار پردرآمدی تبدیل شده است. طبق بررسی که توسط شرکت HP صورت گرفت، حمله سایبری به یک شرکت می تواند 7.7 میلیون دلار در سال هزینه در پی داشته باشد.
در سال 2017 طبق بررسی که توسط شرکت نورتون (Norton) صورت گرفت مشخص شد که 978 میلیون کاربر از 20 کشور بخاطر جرایم سایبری حدود 172 میلیارد دلار سرمایه از دست دادند که انتظار می رود این رقم در ابتدای سال 2021 به عدد 6 تریلیون دلار برسد.
مطالعه ای که هم توسط دانشگاه مریلند آمریکا صورت گرفت نشان داد که تقریبا هر 39 ثانیه یک وب سایت هک می شود.
به همین دلیل اگر برای ضعف های امنیتی وب سایت، اقدام پیشگیرانه ای انجام ندهید، شاید وب سایتی که دفعه بعدی مورد حمله قرار گیرد سایت شما باشید. به همین دلیل اطلاع پیدا کردن از ضعف های امنیتی وب سایت اولین اقدام محسوب می شود که در این مطلب به شما آموزش می دهیم.
8 مورد از مهمترین ضعف های امنیتی وب سایت ها
قطعا نقاط ضعف و ضعف های امنیتی هر وب سایتی بیشتر از 8 مورد است که هکرها می توانند از طریق آنها حمله خود را انجام دهند اما مهمترین و رایجترین آنها 8 موردی است که در این مطلب به شما معرفی می کنیم:
1- Injection Flaws
به بیان ساده این نوع هک یعنی وقتی داده های غیر مجاز و فیلتر نشده ای از SQL سرور به مرورگر و سپس به سرور LDAP وجود داشته باشد. در این فرایند، هکرها می توانند با تزریق برنامه های خود در این بخش ها اطلاعات شما را بدزدند.
به همین دلیل فیلتر کردن تمامی اطلاعاتی که از اپلیکیشن ها از منابع مختلف دریافت می کنید بسیار اهمیت دارد مخصوصا اطلاعاتی که قابل اعتماد نیستند. در این حالت چالش بوجود می آید چرا که باید در مورد قابل اعتماد بودن اطلاعات ورودی یا منبع 100% اطمینان کامل داشته باشید.
برای رفع ضعف های امنیتی وب سایت خود، بسترهای فیلتر کننده اطلاعات ورودی خود را منظم چک کنید و اگر لازم هست آنها را تقویت کنید چرا که حتی اگر 100 مورد اطلاعات ورودی داشته باشید و بتوانید 99 مورد را فیلتر کرده و 1 مورد را نتوانید فیلتر کنید، نمی توانید بگویید امنیت 100% دارید چون شاید 1 مورد گفته شده تروجان باشد و کل وب سایت شما را از بین ببرد.
2- تأیید هویت ناکارآمد
وقتی وارد وب سایتی می شوید شاید متوجه شوید که چنین وب سایتی کوکی هم دارد. این کوکی ها شاید حاوی اطلاعات بسیار مهمی نظیر نام کاربری، پسورد و شماره حساب ها باشد. لذا قبل از اینکه از سیستم خارج شوید، مطمئن باشید که کوکی ها غیر فعال باشند در غیر این صورت داده های آنها در سیستم باقی خواهد ماند.
مثلا اگر وارد کافی نت شوید و از یک سیستم برای اتصال به اینترنت استفاده کرده و وارد وب سایتی شوید که از کوکی بهره می برد، در نهایت اگر قبل از خروج از سیستم، کوکی ها را غیر فعال نکنید، در سیستم آن باقی مانده و با یک حمله سایبری کل اطلاعات شخصی شما دزدیده خواهد شد لذا از برخی جهات کوکی ها جزء ضعف های امنیتی وب سایت تلقی می شوند.
به همین دلیل همیشه قدرت سیستم تأیید هویت و مدیریت کوکی های وب سایت را چک کنید که چنین اتفاقی برای وب سایت شما رخ ندهد.
3- حملات XSS یا تزریق اسکریپت از طریق وبگاه
تزریق اسکریپت از طریق وبگاه مربوط به Injection Flaws از موارد ضعف های امنیتی وب سایت می شود. XSS کدی را به خروجی اپلیکیشن تزریق می کند تا مرورگر کاربر را دستکاری کند. XSS به هکرها امکان دسترسی به مرورگر کاربر و در نتیجه دزدیدن اطلاعات مهمی مثل پسوردها، نام های کاربری و شماره حساب ها را می دهد.
4- حملات ارجاع مستقیم ناامن به اشیاء داخلی برنامه یا IDOR
از ضعف های امنیتی وب سایت که وقتی یک فایل یا کلیدهای داده پایگاه سایت در اختیار کاربر وب سایت قرار می گیرد و این مشکل می تواند ناشی از یک هکر یا نماینده شرکت با اهداف مخرب باشد. در صورتی که از فرایند تأیید هویت وب سایت شما رد شوند یا آن را هک کنند، هکرها می توانند وب سایت شما را دستکاری کنند.
برخی مواقع قابلیت بازنشانی رمز عبور می تواند برای این نوع از ضعف های امنیتی وب سایت نقش یک نقطه ورود را بازی کند. مثلا هکر می تواند فیلد username را در URL تغییر داده و کلمه کلیدی مثل admin را جایگزین آن کند.
5- پیکربندی اشتباه شبکه امنیتی
پیکربندی اشتباه شبکه امنیتی در اپلیکیشن ها و وب سرورها بسیار زیاد اتفاق می افتد چون چندین راه برای رخداد آن وجود دارند که عبارتند از:
- فعال کردن قابلیت دیباگ (debug) هنگام اجرای برنامه
- لیست دایرکتوری حاوی اطلاعات بسیار مهمی است که اگر بر روی سرور فعال شده باشد، به راحتی امکان دزدیده شدن آن وجود دارد
- وب سایت هنوز از نرم افزارهایی استفاده می کند که آپدیت نشده اند
- کامپیوتر شما حاوی اپلیکیشن ها و سایر خدماتی است که بندرت استفاده می شوند یا ضروری نیستند
- پسوردها و کلیدهای پیش فرض هنوز تغییر داده نشده اند
- خطای مدیریت و کنترل اطلاعات برای هکرها قابل مشاهده است
6- در دسترس قرار گرفتن داده های مهم
هر بار که فردی وارد دنیای اینترنت می شود در معرض حملات سایبری هستند و اگر شما وب سایت تجارت الکترونیک در اختیار دارید یا اینکه بسته به نوع فعالیت باید اطلاعات بسیار مهمی را آشکار کنید، بدون اما و اگر، همیشه باید این نوع اطلاعات رمزنگاری شده باشند.
ضعف های امنیتی وب سایت خود را رفع کنید مخصوصا اگر پسوردهای کاربران و اطلاعات کارت اعتباری آنها را در اختیار دارید، چنین اطلاعاتی به هیچ وجه نباید بدون رمزنگاری منتقل شوند و به همین دلیل گوگل در حال حاضر وب سایت هایی که گواهینامه SSL نداشته باشند را جریمه می کند.
7- حملات جعل درخواست فراوبگاهی یا CSRF
ضعف های امنیتی وب سایت که در بانک ها نیز دیده می شود، آنها در معرض خطر حملات CSRF یا جعل درخواست فراوبگاهی قرار می دهد که در طی آن هکر درخواست جعلی با هویت غلط به یک وب سایت می فرستد که می تواند به اطلاعاتی با ارزش پولی زیاد دسترسی پیدا کند.
مثلا از طریق ضعف های امنیتی وب سایت، هکر درخواستی را به وب سایت هدف مثلا بانک شما ارسال می کند که این ارسال درخواست می تواند از طریق استفاده از کوکی های مرورگر شما باشد.
اگر هم بانک دچار مشکل ضعف های امنیتی وب سایت باشد و شما وارد وب سایت مدنظر هکر شوید، می تواند با انجام یک حمله CSRF، تراکنش های شما را دستکاری کرده و سبب انتقال پول از حساب بانکی به حساب بانکی فرد هک کننده شود.
8- حفظ بخش های آسیب دیده وب سایت
ما به این فرم از ضعف های امنیتی وب سایت در مورد 5 اشاره کردیم و باز هم باید تأکید کنیم که حتما تمامی برنامه ها و اپلیکیشن هایی که برای وب سایت خود استفاده می کنید آپدیت نگه دارید.
وردپرس محبوب ترین سیستم مدیریت محتوا یا CMS در دنیاست. یکی از دلایلی که استفاده از این پلتفرم را بسیار زیاد کرده وجود صدها هزار پلاگینی است که به شما امکان آپدیت راحت ویژگی ها و قابلیت های وب سایت شما را می دهد تا ضعف های امنیتی وب سایت خود را رفع کنید.
جمع بندی مطالب
همیشه مجرمین سایبری از ضعف های امنیتی وب سایت ها استفاده خواهند کرد تا به اهداف شوم خود برسند. به همین دلیل لازم است که آنها را رفع کنید تا هیچ نقطه ورودی برای هکرها باقی نماند. در این مطلب به 8 مورد از مهمترین و رایج ترین آنها پرداختیم و خوشحال می شویم که نظرات خود را با ما به اشتراک بگذارید.