5 نکته مهم و غیرقابل چشم پوشی در امنیت سایت ها برای جلوگیری از حمله هکرها

برای بسیاری از مدیران سایت ها امنیت سایت از اهمیت بسیاری برخوردار است. آیا شما هم نیز به عنوان مدیرسایت برای امنیت وب سایت خود فکری کرده اید؟ چگونه امنیت سایت خود را تامین میکنید؟ علت پرسیدن این سوال ها این است که همه وب سایت ها در معرض حمله هکرها قرار دارند. به همین دلیل امنیت سایت ها امروزه بسیار مورد توجه قرار گرفته است. با پارمونت همراه باشید.

بسیاری از مردم تصور میکنند هدف هکر ها از نفوذ امنیتی، سرقت اطلاعات و یا از دسترس خارج نمودن وب سایت است اما در واقع اینطور نیست. بلکه عموما و در اغلب موارد هدف هکر ها سوء استفاده از وب سرور برای منافع خود می باشد. همچنین یک هکر ممکن است با استفاده از وب سرور شما یک سیستم Email Relay ساخته و ایمیل های انبوه تبلیغاتی ارسال کند و یا از سرور شما به عنوان منبع فایل سرور برای بارگذاری فایل های آلوده و غیر قانونی استفاده کنند.

این مدل نفوذها عموما اتوماتیک وار و توسط اسکریپت های از قبل آماده شده انجام می شوند. این اسکریپت ها تمامی اینترنت را برای یافتن سایت هایی با حفره های امنیتی تعریف شده، جستجو کرده تا طعمه را پیدا کنند. در این مقاله به 5 روش برای جلوگیری از نفوذ هکر ها و حفظ امنیت سایت ها خواهیم پرداخت.

• محتوا نمایش عناوین

  1 وب سایت نرم افزارها را آپدیت کنید !

  2 SQL Injection

  3 امنیت وب سایت با XSS

  4 بررسی error

  5 اعتبار سنجی سمت سرور و اعتبار سنجی فرم ها (Server side/Form Validation)

  وب سایت نرم افزارها را آپدیت کنید !

اهمیت این مساله برای همه واضح است، اما توضیح دوباره و تاکید بر آن نیز خالی از لطف نیست؛  آپدیت نگه داشتن تمامی نرم افزارها برای حفظ امنیت سایت بسیار مهم و اساسی است. این مساله برای سیستم عامل سرور میزبان و هم برای نرم افزارهای مورد استفاده در وب سایت و پلاگین ها صادق است. زمانی که حفره های امنیتی هرچند کوچک در یک نرم افزار به وجود بیایند، هکر ها به سرعت از طریق آن ها به سرور یا سایت شما نفوذ می کنند. از این رو همه توسعه دهندگان نرم افزارها سعی می کنند تا اشکالات امنیتی موجود را با آپدیت ازبین ببرند و نرم افزار خود را در مقابل نفوذهای امنیتی مقاوم تر کنند.

اگر از نرم افزارهای ثالث  مانند CMS ها و Forum ها برای مدیریت وب سایت بهره میبرید، از نصب آخرین بسته های بروز رسانی و Patch های امنیتی حتما مطمئن شوید. اکثر تولید کنندگان نرم افزار دنیا دارای لیست ایمیل یا خبرنامه های RSS هستند که آخرین اخبار خود مبنی بر ارایه Patch های امنیتی را به این طریق منتشر کنند.

• SQL Injection

زمانی که هکرها از پارامترهای URL با فرم تحت وب برای دسترسی به دیتابیس شما استفاده کنند حملات SQL Injection رخ می دهد. هنگامی که شما از قالب استاندارد Transact SQL استفاده می کنید، کدهای مخرب به کدهای شما به سادگی افزوده شده و ریسک هک افزایش می یابد. هکرها با افزودن چنین کدهایی می توانند جدول کدهای شما را تغییر دهند، اطلاعات سرور شما را دریافت کنند و یا دیتای وب سایت شما را حذف کنند. اما شما با استفاده از کوئری های پارامتردار می توانید از این مساله جلوگیری کنید. اکثر زبان های برنامه نویسی وب از این قابلیت پشتیبانی نموده و به سادگی قابل انجام است.

• امنیت وب سایت با XSS

عملیات Cross site scripting  به حالتی میگوییم که هکر تلاش میکند؛ با افزودن کدهای اسکریپت JavaScript به فرم وب، کدهای مخرب خود را برای کاربران وب سایت شما اجرا کند. بنابراین در هنگام طراحی و ساخت فرمهای خود همیشه مطمئن شوید تا اطلاعات خود را به درستی کدنویسی کرده و ارسال نمایید و تا جای ممکن از ارسال کدهای ساده HTML خودداری کنید.

• بررسی error

بسیار دقت کنید که پیام خطای وب سایت شما چه اطلاعاتی را به کاربران می دهند. به عنوان نمونه اگر از یک فرم لاگین برای ورود به قسمت مدیریت استفاده می کنید، دقت کنید که در صورت اشتباه وارد کردن اطلاعات کاربری، پیغام های خطای ساده ای مانند “نام کاربری یا رمز عبور اشتباه است” به کاربر نمایش داده شود. هرگز در پیام خطای خود دقیقا مشخص نکنید که چه بخشی از اطلاعات نادرست است زیرا از آن طریق،  کار را برای هکرهایی که سعی در پیدا کردن این اطلاعات دارند، بسیار آسان خواهید کرد.

برای مثال فرض کنید هکر سعی می کند تا انجام عملیات Bruteforce نام کاربری و پسورد مدیریت سایت شما را به دست آورد. پس از تلاش، می تواند از پیغام خطای نمایش داده شده، متوجه شود که نام کاربری را به درستی حدس زده و تنها رمز عبور اشتباه است، پس تمام تمرکز خود را برای پیداکردن پسورد گذاشته و در مدت زمان کوتاه تری اطلاعات شما را به سرقت ببرد.

• اعتبار سنجی سمت سرور و اعتبار سنجی فرم ها (Server side/Form Validation)

عملیات اعتبار سنجی در وب سایت ها همیشه باید در هردو سمت مرورگر و سرور انجام شود. مرورگر قادر است تا برخی از اشتباهات ساده و رایج مانند عدم وارد کردن اطلاعات در فیلدهای ضروری یا وارد کردن متن در فیلد شماره تلفن را شناسایی و به کاربر اعلام نماید. البته اعتبارسنجی هایی بدین شکل ممکن است به زودی منسوخ شوند، اما پیشنهاد می‌کنیم تمام تمام این موارد را توسط مرورگر اعتبار سنجی کرده و تایید اعتبار موارد پیچیده تر مانند توقف عملیات به دلیل وجود کدهای مخرب وارد شدن اسکریپت های اضافی به دیتابیس یا وجود احتمال بروز نتایج نامناسب در برنامه را بر عهده سرور قرار دهید.