ده دليل اصلي هك شدن وبسايت ها

29/10/1390

هكرها معمولا از نواقص و عدم رعايت نكات امنيتي توسط طراحان سايتها و برنامه نويسان جهت نفوذ به سايتها استفاده ميكنند مواردي كه با كمي دقت قابل پيش بيني و رفع هستند. در ادامه به برخي از مهمترين نواقص و موارد رايج در هك سايتها در سالهاي اخير اشاره شده است.

------------------------------------------------

1 -  Cross site scripting يا XSS

    اين مشكل زماني ايجاد مي شود كه اطلاعات ارسالي بين كاربران و سايت بدون بررسي و اعتبار سنجي لازم توسط نرم افزار سايت صورت گيرد. در اين حالت هكرها ميتوانند اسكريپتهايي را همراه اطلاعات به نرم افزار سايت تزريق كنند و اين اسكريپتها هنگام نمايش اطلاعات در مرورگر ديگر كاربران سايت اجرا شده و مشكلاتي همچون سرقت اطلاعات نشست (Session) و دسترسي به اختيارات و اطلاعات ديگر كاربران و يا تغيير در صفحات سايت را ايجاد كند.

2 - Injection flaws

    در اين شيوه هكر به همراه بخشي از اطلاعات يا پارامترهاي ارسالي به سايت دستورات غير مجازي كه امكان خواندن،تغيير يا حذف يا درج اطلاعات جديد را فراهم ميكند نيز تزريق ميكند.يكي از معمول ترين اين روشها SQL Injection است كه امكان تغيير در اطلاعات و جداول بانك اطلاعاتي يا تغيير در درخواستها از بانك اطلاعات (مانند تعيين اعتبار كاربر و كلمه) را امكان پذير ميكند.

3- Malicious file execution

    اين مسئله به هكر ها اجازه اجراي برنامه يا كدي را ميدهد كه امكاناتي در تغييرات يا مشاهده اطلاعات يا حتي تحت كنترل گرفتن كل نرم افزار سايت يا سيستم را ميدهد. اين مشكل در سايتهايي كه امكان ارسال فايل را به كاربران بدون بررسي ماهيت اطلاعات را مي دهد اتفاق مي افتد (مثلا ارسال يك اسكريپ PHP يا ASP به جاي فايل تصويري توسط كاربر)

4- Insecure direct object reference

    اين مشكل عموما در دستكاري پارامترهاي ارسالي به صفحات يا اطلاعات فرمهايي هست كه بصورت مستقيم به فايل، جداول اطلاعاتي،فهرستها يا اطلاعات كليدي اتفاق مي افتد و امكان دسترسي يا تغيير فايلهاي اطلاعاتي ديگر كاربران را ايجاد ميكند. (مانند ارسال كد كاربر يا نام فايل مخصوص او بصورت پارامتر در آدرس صفحه كه با تغيير آن امكان دسترسي يا تغيير در اطلاعات كاربر ديگري وجود خواهد داشت)

5 - Cross site request forgery

    در اينگونه حملات هكر كنترل مرورگر قرباني را يدست آورده و زماني كه وي وارد سايت (login) شده درخواستهاي نادرستي را به سايت ارسال مي كند. (نمونه آن چندي پيش دز سايت myspace اتفاق افتاده بود و هكري با استفاده از يك كرم اينترنتي پيغامي را در ميليونها صفحه كاربران اين سايت نمايش داد)

6 - Information leakage and improper error handling

    همانطور كه از نام اين مشكل مشخص است زماني كه در خطاهاي نرم افزار سايت به شكل مناسبي مديريت نشوند در صفحات خطا اطلاعات مهمي نمايش داده شود كه امكان سوء استفاده از آنها وجود داشته باشد.(نمونه اي از همين مشكل چندي پيش براي يكي از سايتهاي فارسي نيز بوجود آمد و اطلاعات كاربري و كلمه عبور اتصال به بانك اطلاعات در زمان خطا نمايش داده مي شد و باعث سوء استفاده و تغيير اطلاعات كاربران اين سايت شد )

7 - Broken authentication and session management

    اين مشكل در زماني كه نشست كاربر (Session) و كوكي اطلاعات مربوط به ورود كاربر به دلايلي به سرقت مي رود يا به دليلي نيمه كاره رها مي شود ايجاد مي شود. يكي از شيوه هاي جلوگيري از اين مشكل رمز نگاري اطلاعات و استفاده SSL است.

8 - Insecure cryptographic storage

    اين مشكل نيز چنانچه از عنوان آن مشخص است بدليل اشتباه در رمزنگاري اطلاعات مهم (استفاده از كليد رمز ساده يا عدم رمز نگاري اطلاعات كليدي) است.

9 - Insecure communications

    ارتباط ناامن نيز مانند مشكل قبلي است با اين تفاوت كه در لايه ارتباطات شبكه است.هكر در شرايطي ميتواند اطلاعات در حال انتقال در شبكه را مشاهده كند و از اين طريق به اطلاعات مهم نيز دست پيدا كند. همانند مشكل قبلي نيز استفاده از شيوه هاي رمزنگاري و SSL راه حل اين مشكل است.

10 - ٫Failure to restrict URL access

    برخي از صفحات سايتها (مانند صفحات بخش مديريت سايت) مي بايست تنها در اختيار كاربراني با دسترسي خاص باشند.اگر دسترسي به اين صفحات و پارارمترهاي ارسالي آنها به شكل مناسبي حفاظت نشده باشد ممكن است هكرها آدرس اين صفحات را حدس بزنند و به نحوي به آنها دسترسي پيدا كنند.

مرجع :   

 www.p30net.com
 www.pc-article.ir