امنیت سایت چیست؟

امنیت سایت چیست؟

بارها شنیده ایم که می گویند این سایت امن است؟ آگاهی سازی گسترده ای در زمینه امنیت اپلیکیشن های وب ایجاد شده است، امنیت از مشکلات اصلی اپلیکیشن های وب می باشد. صفحه سوالات پرتکرار یک اپلیکیشن وب را مطالعه کنید و اطمینان بدست می آورید که این اپلیکیشن امن است.
بیشتر اپلیکیشن های وب ادعا می کنند که دارای امنیت هستند چرا که از SSL استفاده می کنند. در نتیجه امنیت سایت برقرار است.

SSL یک تکنولوژی فوق العاده می باشد که از محرمانگی و یکپارچگی داده ها در حین انتقال بین مرورگر کاربر و وب سرور حفاظت می کند. این فناوری از داده ها در مقابل شنودغیرمجاز جلوگیری به عمل می آورد و می تواند این اطمینان را به کاربر بدهد که هویت سایتی که با آن در تعامل هستیم جعلی نیست و معتبر است.

ولی نکته مهم این است که SSL از اپلیکیشن در برار حملات محافظت نمی کند! به علاوه اینکه تمام آسیب پذیری هایی که  بیان می کنیم با وجود SSL بدون هیچ مانعی بکارگیری خواهند شد.

کاربران اغلب اصرار بر تایید گواهینامه سایت دارند و با اطمینان این تکنولوژی پیشرفته امنیت سایت خود را برقرار تصور کنند. علاوه بر این موضوع سازمان ها با استناد به استانداردهای PCI از امنیت کاربران اطمینان حاصل می کنند.

واقعیت این است که با وجود استفاده گسترده از تکنولوژی SSL و سازگاری با استانداردهای PCI اکثریت اپلیکیشن های وب ناامن هستند. بین سال های ۲۰۰۷ تا ۲۰۱۱ صدها اپلیکیشن وب تست شده اند .

در زیر آمار درصد آسیب پذیری های موجود در این اپلیکیشن ها بر اساس دسته بندی نشان می دهد :

 احرازهویت شکسته (۶۲ درصد) : این دسته بندی از آسیب پذیری ها شامل نواقص مختلف در مکانیزم ورود اپلیکیشن ها می باشد که به موجب آن توانایی حدس پسوردهای ضعیف و یا اجرای حملات بروت فورس و عبور از فرم ورود را فراهم می آورد.

کنترل های دسترسی شکسته (۷۱ درصد) : شامل مواردی که اپلیکیشن دارای عملکرد ضعیفی در دسترسی به داده ها و حفاظت از آنها دارد. این عملکرد ضعیف هکر را قادر ساخته تا داده های حیاتی دیگر کاربران موجود در سرور قابل دسترسی باشند.

تزریق اسکیوال (۳۲ درصد) : این آسیب پذیری هکر را قادر ساخته تا ورودی های دستکاری شده را از طریق رابط کاربری وارد کرده و بر روی پایگاه داده سرور در پس زمینه اجرا کند . هکر به این شیوه می تواند داده های اختیاری را از اپلیکیشن وب استخراج کند و یا دستورات دلخواه خود را بر روی پایگاه داده سرور اجرا نماید.

اسکریپت نویسی بین سایتی (۹۴ درصد) : این آسیب پذیری هکر را قادر ساخته تا به صورت بالقوه به داده های دیگر کاربران استفاده کننده از اپلیکیشن , دسترسی پیدا کرده و کارهای مختلفی را از جانب آنان انجام دهند.

درز اطلاعات (۷۸ درصد) : شامل مواردی که یک اپلیکیشن اطلاعات حیاتی را فاش کرده و هکر با کمک همین اطلاعات بدست آمده شرایط بکارگیری و نفوذ به اپلیکیشن را فراهم می کند. این اطلاعات معمولا از طریق پیام های خطا افشا می شوند.

جعل درخواست بین سایتی (۹۲ درصد) : این آسیب پذیری موجب شده تا کاربران اپلیکیشن به صورت ناخواسته درگیر کارهای مختلف بر روی اپلیکیشن شوند.به موجب این آسیب پذیری کاربر دارای مجوز از یک صفحه وب بازدید می کند و هکر درخواست ایجاد شده در صفحه را جعل کرده و در همان سطوح مجوز دسترسی کاربر مجاز فعالیت های مختلفی را بر روی اپلیکیشن انجام می دهد. به زبان ساده اینکه درخواست کاربر به سرور توسط هکر جعل شده و مورد سواستفاده قرار می گیرد

نکته : این آمارها و درصدهای بیان شده در شرایط مکانی و زمانی مختلف متغیر خواهد بود.

چند راه برای افزایش امنیت وب سایت شما حملات هکرها به سایت های اینترنتی هر روز پیچیده و پیچیده تر می شود، بالاخره با پیشرفت مسائل امنیتی باید هم این طور باشد. با افزایش پیچیدگی های امنیتی آنتی ویروس ها، فایروال ها ، و برنامه های مبتنی بر به روزرسانی دوره ای، هکرها هم که منبع درآمدشان را در خطر می بینند، نیاز به راه های خلاقانه و جدیدتری دارند. در نتیجه آنها در پاسخ به افزایش امنیت سایت با حملات فزاینده و پیچیده به جنگ صنعت امنیت رفته و فعالان این عرصه را به کار و تلاش دائمی برای مبارزه در این نبرد بی پایان وا می دارند.

اما چگونه هکرها همواره یک گام جلوتر از کارشناسان امنیتی قدم بر می دارند؟ یکی از این جواب ها آشکار است – آنان مجبورند از ابتکار بیشتری برخوردار باشند در غیر این صورت باید این حرفه را کنار بگذارند. یکی دیگر از جواب ها به ساختار تشکیلاتی هکرها بر می گردد- یک هکر تنها که در زیرزمین خانه اش کار می کند خلاقانه تر و سریعتر اهداف خود را تامین می کند، تا یک شرکت نرم افزاری بزرگ و پر پیچ و خم . بنابراین احتمال موفقیت هکر حرفه ای مطمئنا بیشتر است.

با این حال ، می توان گفت عاملی که بزرگترین نقش را در موفقیت مداوم هکرها دارد، فقدان آگاهی و هوشیاری لازم از سوی کاربران نرم افزار و صاحبان وب سایتها است

با عرض پوزش از شما کاربر حرفه ای ، باید بگوییم افراد زیادی هستند که رمزعبور خود را همین کلمه «رمز عبور»( یا معادل انگلیسی اش password) قرار داده اند و برای همه رمزهای عبور خود از این کلمه استفاد میکنند. کسانی هستند که از نرم افزار آنتی ویروسی آپدیت نشده ۲ ساله استفاده می کنند! اگر هر کسی متعهد به حافظت از داده های خود بود، هکرها مجبور به صرف زمان بسیار طولانی تر و شیوه های پیچیده تری برای نفوذ بودند و خیلی از آنها هم از عهده چنین کارهایی بر نمی آمد. اما با وضعیت کنونی، به لطف اینکه بسیاری از مردم، غافل از آسیب پذیری خود هستند، برای هکرها نفوذ و حمله مانند بازی با اعداد آسان است.

حال ۹ روش موثر برای خنثی کردن تلاش هکرها شرح داده شده است:

۱- نرم افزارها را به روز نگه دارید؛ همه نرم افزارها را!

این یکی از ساده ترین راهها برای امنیت سایت یکی دو گام جلوتر ایستادن از هکرها است. با دانلود جدیدترین و به روز ترین بسته های آپدیت ویندوز، وردپرس و نسخه آنتی ویروس خود، می توانید سیستم یا وب سایت خود را در مقابل هر گونه حمله احتمالی به اندازه کافی سخت و نفوذ ناپذیر کنید. به این ترتیب ، هکرها هیچ وقت با حمله به چنین موردی خود را به زحمت نمی اندازند و ترجیح می دهند و به جای سایت شما به سایت های دیگر که مالک آن به هوشیاری شما نبوده است حمله کنند. در خط مقدم آن به روز کردن تمام وب اپلیکیشن ها ماژول ها و کامپوننت ها قرار دارد

۲- رمزهای عبور قوی و مطمئن انتخاب کنید

خب ، الان سال ۲۰۱۰ است. مدت ها از عمر وب می گذرد. الان دیگر زمانی نیست که شما رمز عبور خود را از نام همسر، اعداد تابلو ۱۲۳۴۵۶، یا کلمه مرگبار « password» انتخاب کنید. اگر چه ممکن است خیلی از ماها به این رمزهای عبور بخندیم و سری به نشانه تاسف تکان دهیم، اما این یک واقعیت شگفت آور است که مردم حتی زمانی مجبور به انتخاب کلمه عبور برای حساس ترین حساب های خود هم می شوند، تا حدودی سهل انگاری کرده و اسامی انتخاب می کنند که آسان کشف می شوند.

پس یادتان باشد رمزهای عبور قدرتمند(که به راحتی نشود کشفشان کرد) و متفاوتی، برای اطلاعات بانکی، ایمیل، cPanel سایت و کارت های اعتباری خود انتخاب کنید- در غیر این صورت ، اطلاعات شما و سایت تان آسیب پذیر خواهد بود.

‏۳- permission فایلهای سایت را محدود و قفل کنید

آیا می دانید پرمیشن دسترسی به فایل و پوشه ها روی چه عددی تنظیم شده؟ بعضی از برنامه برای نصب نیاز به تنظیم پرمیشن بر روی عدد «۷۷۷» دارند. اما بیشتر ما فراموش می کنیم آنها را به عدد «۷۵۵» برای پوشه ها یا «۶۴۴» برای فایل های برگردانیم. حتما یادتان باشد بررسی کنید تا اطمینان یابید که دسترسی ها برای برنامه هایی که ناشناس هستند قفل شده باشد.

۴- به لینک ها دقت کنیدآیا واقعا می دانید به چه نوع سایت هایی لینک می دهید؟

برخی لینک ها به سایتی که به نظر می رسد ختم نمی شوند و کاربر را به آدرس دیگری می فرستند. این یکی از دام های مهم هکرها برای حمله از طریق مرورگرهای مختلف به شمار می رود. احتمالا می دانید زمانی که بر روی لینک خطرناک کلیک می کنید، چه اتفاقی می افتد. حالا تصور کنید زمانی که شما یک آدرس خطرناک را در سایت خود لینک می کنید، نتیجه چه خواهد بود. بنابراین همیشه باید به هر سایتی که لینکی از آن را در سایت خود قرار می دهید اعتماد کامل داشته باشید

۵- برای ارسال ایمیل ها حتما از اس اس ال استفاده کنید

با توجه به وجود میلیون ها ایمیل غیر قابل اطمینان و خطرات مرتبط با آن، اگر مجبور هستید اطلاعات مهمی را از طریق ایمیل ارسال کنید، حداقل از این شیوه استفاده کنید.

۶- از امنیت میزبان وب (Web Host) سایت خود با اجرای suPHP اطمینان حاصل کنید

در حال عادی زبان پی اچ پی ، اسکریپت ها معمولی اجرا می شوند و دسترسی به اسکریپت ها توسط «هر کسی» مجاز است، اما با استفاده از suPHP، دسترسی به آنها محدود به کاربران مجاز خواهد بود. هنوز تمام میزبان ها از suPHP استفاده نمی کنند، بنابراین اطمینان یابید میزبان شما از ان استفاده کرده و سد بالقوه دیگری سر راه هکرها بگذارید!

۷- میزبان ها

در مورد میزبان هاست زمانی که صحبت ازحصول اطمینان از امنیت وب سایت می شود، همه میزبان ها در این زمینه مانند هم نیستند و هر یک امکانات و محدودیت های خودشان رادارند. همه آنها دارای امکان کنترل سرور فعال به صورت شبانه روزی ، و یا حتی suPHP (به بالا رجوع کنید)نیستند ، پس انتخاب یک میزبان که امنیت شما را جدی می گیرد و در این زمینه امکانات خوبی دارد کاملا ضروری است.

۸- سرویس میزبانی

نگاهی به سرویس میزبانی مشترک اگر وب سایت شما وسیله امرار معاش تان است ، پس ممکن است برای شما این تصور پیش بیاید که هیچ حدی از بحث امنیت رمز عبور نخواهد توانست باعث احساس امنیت شما شود. اگر سایت برای شما اهمیت حیاتی دارد و به خصوص کسب و کار شما به ان گره خورده است ، پس باید به سمت استفاده از سرور مجازی (VPS) بروید تا بتوانید با آرامش خاطر بیشتری از وب سایت خود استفاده نمایید. سرور مجازی به علت جدایی از سایت های دیگر، ذاتا امن تر از هاست های معمولی است. شما می توانید روی آن فایروال را سفارشی کرده و به نصب تدابیر امنیتی دیگر که اکثر میزبان ها اجازه استفاده از آن را در هاست های معمولی نمی دهند، بپردازید. در واقع ، سرور مجازی اجازه می دهد تا شما نقش فعال تری در زمینه امنیت وب سایت خود ایفا کنید.

۹-  فایل های لاگ

باید زرنگ بود! و حواستان به فایل های لاگ باشد اگر دقیقا بدانید دنبال چه چیزی هستید، کار هکر را سخت تر کرده اید. اکثر هکرها، اگر با سایتی روبه رو شوند که شدیدا محافظت می شود، به سرعت از خیر نفوذ به آن گذشته و راه خود را به سمت سایت های دیگر که روش های ساده تری برای هک شان وجود دارد کج می کنند. به طور مرتب با کنترل فایل های لاگ(logfiles) کدهایی را که متعلق به سایت نیست شناسایی کنید، پلاگین های مشکوک و خطرساز را نصب نکنید، مواظب ورودهای غیرمجاز و ناشناس به بخشهای ویژه سایت تان باشید.

این ۹ راهنمایی، تنها مختصری از اصول امنیت سایت بود. در واقع – آنها راه را برای فکر کردن عمیق روی تمام عواملی که می تواند در داشتن یک سایت امن به ما کمک کند باز می کنند. اگر شما عادت کنید همواره مراقب همه چیز باشید و همه چیز را مرتب آپدیت کنید، انگاه به نسبت بسیاری از سایت های دیگر دنیای وب، هیچ جذابی برای هکرها نخواهید داشت.

ملاحظات امنیتی در نظر گرفته شده برای طراحی سایت چیست ؟

کاربران در ابتدای ورود به سایت اعتبارسنجی می شوند و پس از ورود به سایت جهت دسترسی به بخشهای مختلف با توجه به سطح دسترسی که دارند هدایت میگردند. » تدابیر اتخاذ شده در طراحی سایت برای جلوگیری از هرگونه دسترسی غیرمجاز که ممکن است منجر به دستکاری، خرابکاری یا سرقت اطلاعات شود؛ در سه دسته زیر قرار میگیرند:

۱- تدابیری جهت جلوگیری از ورود خرابکاران به بانکهای اطلاعاتی و پنلهای مدیریتی یا تلاش برای بدست آوردن گذرواژه .کلیه گذرواژه ها بصورت رمز شده با یک الگورتیم مناسب در بانک اطلاعاتی نگهداری می شوند. (یک طرفه یا دو طرفه)

۲- تدابیری جهت جلوگیری برای تزریق دستور به کارگزار بانک اطلاعاتی. شامل : » ممانعت از ارسال دستورات SQL از طریق مبادی ورودی اطلاعات » ممانعت از ارسال دستورات SQL از طریق پارامترهای GET 3- تدابیری جهت جلوگیری از سرقت اطلاعات در هنگام نقل و انتفال در شبکه در صورت لزوم شامل :

 هنگام ورود کاربر به صفحه ورود به سایت یک مسیر و باند حفاظت شده بوسیله SSL بین رایانه کاربر و کارگزار ایجاد می شود که کلیه نقل و انتقال اطلاعات از این مسیر حفاظت شده بین این دو رایانه رد و بدل خواهد شد و این تکنیک دسترسی به اطلاعات ارسالی و دریافتی را برای کسانی که استراق سمع می کنند را ناممکن خواهد کرد.

ویژگیهای عمومی در نظر گرفته شده برای طراحی سایت چگونه است ؟

۱- وب سایت منطبق با فن آوری موتورهای جستجو به ویژه Google طراحی خواهد شد.

۲- در طراحی سایت حداکثر کارایی با بهره گیری از فناوری های عرضه شده بوسیله شرکت مایکروسافت برای عملکردهای وب سایت از دید کاربر در نظر گرفته خواهد شد.

به عنوان مثال زمان لود صفحات به طور متوسط و در شرایط معمول ارتباطی با یک خط ۵۶ کیلوبایتی ۲۰ ثانیه خواهد بود.

۳-دسترسی آسان و دقیق کاربر به اطلاعات در طراحی گرافیکی صفحات الویت خواهدداشت.تامین نظر کارفرما در طراحی گرافیکی از A تا Z در اولویت خواهد بود.

۴- سرعت و سهولت در به روز رسانی و سهولت توسعه در طراحی سایت در آینده در نظر گرفته خواهد شد.

۵- ملاحظات حفاظتی و امنیتی در تولید بسترهای نرم افزاری و طراحی سایت در نظر گرفته خواهد شد.

۶– استفاده بهینه از منابع سخت افزاری در ساخت نرم افزارها در نظر گرفته خواهد شد.

۷-امکانات عمومی مانند : آمار بازدیدکنندگان ، نقشه سایت، فرم نظرخواهی، افزودن به آدرس های برگزیده، ارسال صفحه به دوستان، خروجی چاپ و RSS نیز در صورت لزوم به امکانات سایت افزوده خواهد شد.

۸- موتور جستوجوی انعطاف ناپذیر: بسیاری از موتورهای جستو جو کاربر را ملزم به ورود پارامترهای زیادی می کنند.

۹- متن زیاد: معمولا سایت های حاوی متن های حجیم , خسته کننده هستند.

۱۰-اندازه فونت ها و متون: به خصوص افرادی بالای ۴۰ سال با حروف نازک یا کوچک مشکل دارند و باید ترتیبی اتحاذ شود تا از طریق مرورگر امکان تغییر اندازه فونت ها فراهم شود.

۱۱-رابط گراافیکی (GUI) برداشت غیر استاندارد: برداشت کاربر از عناصر و اشیای موجود در برنامه ها تثبیت شده.

۱۲- ضعف آرشیو: در اغلب مواقع اطلاعات قدیمی هم مورد استفاده کاربران قرار میگیرد.

۱۳-انیمیشن و متون متحرک: تمرکز بازدید کنندگان از سایت را بر هم می زند.

۱۴- پیوند به سایت های دیگر: به دلیل فلسفه و ساختار متفاوت طراحی در سایتهای مختلف , نباید تعداد پیوندهای خارج از سایت زیاد باشد.

خدمات امنیت سایت

امروزه کمتر کسی است که به اهمیت وب سایت و تاثیر مستقیم آن بر اهداف سازمانی از قبیل فروش بیشتر ، اطلاع رسانی و دیگر موارد واقف نشده باشد. هم اکنون بخش عمده ای از مباحث بازاریابی ، فروش ، ارتباطات و اطلاع رسانی بسیاری از شرکت ها در جهان و حتی ایران بر پایه وب سایت می باشد و این میزان همواره و به صورت بسیار شتابنده ای رو به رشد است.

همه ما که از رایانه های شخصی استفاده می کنیم علاوه بر امکانات متعددی که رایانه در اختیار ما قرار می دهد همواره با تهدیدهای متعددی از قبیل ویروس ها ، کرم های اینترنتی ، جاسوس افزارها و به طوری تمام بدافزارها آشنا هستیم که بعضی از آن ها آسیب های بسیار جدی به اطلاعات و ساختار سازمان ها زده اند.

البته همواره تهدیدها نیز از نظر تنوع و شدت در این زمینه رو به رشد می باشند. که طبعا وب سایت با توجه به این که همواره در دسترس تمام کاربران جهان ( از جمله هکرها ، سارقان اطلاعات و دیگر تهدیدها) می باشد این مشکل بسیار جدی تر مطرح می شود.  تهدیدات امنیتی متعدد از قبیل هک شدن وب سایت ، سرقت اطلاعات و از کار انداختن وب سایت و دیگر تهدیدات هم اکنون به عنوان اتفاقاتی بسیار رایج در جهان امروز می باشند.

هر چقدر تجارت شما به اینترنت و وب سایت شما بستگی دارد طبعا اهمیت سرمایه گذاری در زمینه امنیت سایت نیز مهمتر و حیاتی تر است.

این که فکر کنیم صرفا با یک طراحی خوب و قوی یا یک نرم افزار امنیتی، امنیت سایت ما تامین است باید دوباره فکر کنیم وب سایت های بسیار مهمی در جهان که متعلق به سازمان های امنیتی با تیمهای کارشناسی امنیتی شبانه روزی ده ها بار تا کنون مورد حمله موفقیت آمیز هکرها واقع شده اند.