4 نکته برای جلوگیری از آسیب پذیری های مشترک در امنیت وب

امنیت وب این روزها عصبانیت دارد چندین مورد هک شدن که اخبار را می سازد.


اما بسیار ناامیدکننده این است که با وجود مقالات زیادی در این زمینه ، شرکت ها و وب سایت های کوچک به طور یکسان اشتباهات را به راحتی می پذیرند که هنگام انجام کارها به روشی صحیح انجام شود.

چند قدم در جهت صحیح تمام آنچه برای ایمن سازی سایت شما لازم است است.

بیایید نگاهی بیندازیم.

از کدهای تصادفی از افراد غریبه استفاده نکنید

کدهای تصادفی از مخازن ارسال شده عمومی ممکن است در سایتهایی مانند GitHub ، Sourceforge و Bitbucket کدهای مخرب را حمل کنند.

در اینجا نحوه صرفه جویی در خود با کمی تفکر هوشمندانه آمده است. می توانید کد را در حالت تعمیر و نگهداری مستقر کنید و ببینید که چگونه کار می کند قبل از زنده بودن.

به این ترتیب از صدها ساعت سر زدن جلوگیری می کنید.

عدم رعایت احتیاط ممکن است منجر به سوء استفاده از کد مخرب سایت شما شود و باعث شود شما از امتیازات اداری سایت خود صرف نظر کرده و کار سخت خود را از دست بدهید.

هرگز کدهای خمیری را از غریبه های تصادفی در اینترنت کپی کنید. برخی از تحقیقات را در مورد شخص انجام دهید و سپس به ممیزی کدی که بدست آورده اید ادامه دهید.

ممکن است احساس کنید که می توانید مقداری کپی کردن چسباندن برخی کدها را ذخیره کنید اما اشتباه کردن آن فقط یک بار برای یک بار مشکلی کافی است.

به عنوان مثال: افزونه های آسیب پذیر WordPress کدهای مخرب را کنترل می کنند که می توانند سایت شما را تحت کنترل خود درآورند یا سایت را به روش های کم اهمیتتری مانند وارد کردن لینک های پیگیری به سایت های شخص ثالث و سیفون کردن آب پیوند به سایت آسیب بزنند..

چنین پیوندهایی معمولاً فقط هنگام بازدید از Googlebot از سایت ظاهر می شود ، و برای کلیه بازدید کنندگان عادی ، پیوند نامرئی می ماند.

چارلز فلوت و کلمه با هم همکاری کردند تا بسیاری از نمونه های اخیر از آسیب پذیری های افزونه وردپرس را ذکر کنیم.

نحوه کار این کلاهبرداری برخی از SEO های مخرب است که ایمیل های دستیابی به دارندگان افزونه های WordPress ارسال می کنند که افزونه های آنها در مدتی به روز نشده است.

آنها پیشنهاد می کنند افزونه را خریداری کرده و به روزرسانی آن افزونه را اجرا کنید.

اکثر مردم هرگز زحمت نمی دهند بررسی کنند که در این افزونه به روز شده است. تعداد زیادی از آنها وجود دارد که به محض ظاهر شدن ، آن را به روز می کنند.

اما در این حالت ، این افزونه یک دسترسی عقب به وب سایت SEO یا سایت های مشتری ایجاد می کند. همه سایتهایی که از این افزونه استفاده می کنند ناخواسته بخشی از یک شبکه PBN می شوند.

برخی از این افزونه ها دارای بیش از 50000 نصب فعال هستند. در حقیقت ، یکی از افزونه های ذکر شده در سایت من استفاده شده است ، و من در مورد backdoor تا الان نمی دانستم.

این افزونه ها همچنین به آنها دسترسی اداری به سایت های آسیب دیده دادند.

آنها به خوبی می توانند با این روش یک سایت رقیب را به دست گیرند و آن را بدون فهرست نویسی کنند و به طور موثری ناپدید شوند.

رمزگذاری اطلاعات حساس

هنگامی که شما با داده های حساس سروکار دارید ، هرگز نباید آن را بصورت کامل تصور کنید.

همیشه رمزگذاری داده های حساس گزینه عاقلانه تر است. اطلاعات شخصی مربوط به مشتریان و رمزهای عبور کاربر در این گروه قرار می گیرند.

برای این منظور باید از یک الگوریتم قوی استفاده شود.

به عنوان مثال ، AES 256 یکی از بهترین ها است. دولت آمریكا خود بر این عقیده است كه می توان از AES برای رمزگذاری و محافظت از اطلاعات طبقه بندی شده استفاده كرد و رمزنگاری موجود در پشت هود توسط NSA تأیید عمومی شد..

AES شامل رمزهای زیر است: AES-128 ، AES-192 و AES-256. هر رمزگذار داده ها را در بلوک های 128 بیتی رمزگذاری و رمزگشایی می کند و امنیت پیشرفته ای را ارائه می دهد.

اگر در حال اجرای یک سایت مستقر ، تجارت الکترونیک هستید ، پرداخت را می پذیرید ، پس باید سایت خود را با یک سیستم امن کنید گواهی TLS.

داده های کاربر باید همیشه محافظت شود.

پذیرش داده های کاربر از طریق اتصالات نا امن همیشه به هکر این فرصت را می دهد تا داده های گرانبها را از بین ببرد.

رسیدگی به پرداخت

مشکل ذخیره اطلاعات کارت اعتباری این است که شما به هدف تبدیل می شوید.

صوتی درایو عمومی اعلام کرد که نقض سرورهای شرکت منجر به میلیون ها کارت اعتباری و بدهی دزدیده شده است.

سایر رستوران ها ، درایوهای مانند Chipotle و Arby نیز هک های مشابهی را تجربه کردند.

در بعضی مواقع لازم است که اطلاعات کارت اعتباری را بپذیرید و آن را برای تکرار صورتحساب ذخیره کنید. این امر مستلزم شکایت PCI است.

سازگار بودن با PCI کار سخت کوششی است.

نه تنها به شخصی PCI نیاز دارید بلکه به سایت و بانک اطلاعات نیز نیاز دارید تا مرتباً سازگار باشید.

انطباق یک مورد یکبار نیست و PCI آنها را مرتباً برای مقابله با تهدیدهای نوظهور تغییر می دهد.

در عوض ، شما ممکن است قسمت سخت را پرش کنید و یک پردازنده پرداخت مانند آن را انتخاب کنید نوار این عمل بالابر سنگین را برای شما انجام می دهد.

آنها بزرگ هستند ، آنها از پشتیبانی پشتیبانی می کنند که بطور شبانه روزی کار می کنند ، و شکایتی برای PCI دارند.

و اگر در حال راه اندازی فروشگاه آنلاین هستید ، ممکن است استفاده از آن را در نظر بگیرید خریدن.

اگر اطلاعات کارت اعتباری را ذخیره می کنید ، توجه ویژه ای داشته باشید که پرونده هایی که اطلاعات کارت اعتباری را ذخیره می کنند و سخت افزاری که در آن ذخیره شده اند ، هر دو باید رمزگذاری شوند..

فوراً آن را ببندید

در اینجا مثالی برای بیان نظر من آورده شده است.

منبع

سوءاستفاده روز صفر که با به خطر انداختن شاخه های آپاچی کار می کرد ، روشن شد 7 مارس 2017.

تا 8 مارس ، آپاچی برای رفع این مشکل تکه هایی را منتشر کرد. اما بین انتشار وصله و شرکتها زمان لازم است تا اقدامی انجام شود.

Equifax یکی از شرکت هایی بود که هک شد.

Equifax در بیانیه ای اعلام کرد که در 7 سپتامبر 2017 هکرها اطلاعات شخصی را در 143 میلیون مشتری به سرقت برده اند.

هکرها از همان آسیب پذیری کاربردی که در بالا بحث کردیم سوءاستفاده کردند تا داخل سیستم شوند.

این آسیب پذیری در Apache Struts بود ، چارچوبی برای ساخت برنامه های وب مبتنی بر جاوا.

هکرها هنگامی که Struts داده ها را به سرور می فرستد از این واقعیت سوء استفاده کردند و می توانند آن داده را به خطر بیاندازند. با استفاده از بارگذاری پرونده ، هکرها باگ هایی را ایجاد کردند که به آنها امکان ارسال کدهای مخرب یا دستورات را می داد.

طبق گفته این شرکت ، “نام مشتری ، شماره های تأمین اجتماعی ، تاریخ تولد ، آدرس ها و در برخی موارد ، شماره گواهینامه رانندگی” و همچنین “شماره کارت اعتباری برای تقریباً 209،000 مصرف کننده”. علاوه بر آن ، 182،000 اسناد اختلاف اعتباری ، که حاوی اطلاعات شخصی است ، نیز به سرقت رفت.

نتیجه گیری افکار

همانطور که مشاهده می کنید ، آگاهی از تغییرات فن آوری و به روز بودن در مورد تکه های نرم افزاری و کمی عقب ماندگی ، اغلب همیشه بیش از حد کافی است تا بیشتر مشکلات را برطرف کنید.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map