چند وقتی میشه که هر صفحه اینستاگرامی سلبریتی های ایرانی,از ورزشکار گرفته تا بازیگر و خواننده رو که باز میکنه آدم یک عبارت گنگ به اسم مسئول امنیت پیج : …@ رو میبینه توی بیوی پیج.
اما یک سوال مهم,آیا بدون داشتن مسئول امنیت پیج ,اکانت با مشکل مواجه میشود؟
در جواب این سوال باید بگم خدمتتون که در دنیا شغلی به نام مسئول امنیت پیج نداریم و در هیچ کجای دنیا هیچ سلبریتی اجازه دسترسی به پیج خودش رو به فرد دیگه ایی نمیده ! در واقع کاری که مسئول امنیت پیج (به اصطلاح خودشون) انجام میدن این هستش که یوزر نیم و پسورد اکانت مشتری رو دریافت میکنن و بعد ایمیلی که تنها خودشون بهش دسترسی دارند رو روی اکانت مشتری ست میکنند و تنها یک پسورد قوی (حداقل 12 کاراکتری) روی اکانت قرار میدن و در مرحله اخر تایید دو مرحله ایی اکانت رو روشن میکنند.همین.. در واقع اینستاگرام هیچ مکانیزم امنیتی دیگه ایی رو بجز موارد بالا برای امنیت اکانت ها در نظر نگرفته
بعد از انجام این مراحل از مشتری بعنوان دستمزد نگهداری پیج و برقراری امنیت !!! ماهیانه مبالغ هنگفتی دریافت میکنند.حتی دیده شده اخر شب ها استوری میزارن که زمانی که شماها خوابین من در حال سرکشی به اکانت هاتونم و دارم امنیتتونو تضمین میکنم .انگار که اکانت اینستاگرام یک پادگان هستش و مسئول امنیت پیج هم افسر شب هست و به پست ها سر میزنه که سربازی ترک پست نکرده باشه خدایی نکرده
اما جالب ترین قسمت ماجرا : هک شدن مشتری….
هک شدن مشتری!؟
در این قسمت معمولا چند ماه یکبار و در نیمه های شب تموم پست های اکانت مشتری رو ارشیو میکنند و بعد پروفایل اکانت رو تغییر میدن و در بیو معمولا مینویسن هک شده توسط گروه فلان یا هک شده توسط هکر های ترکیه ایی و دوتا پرچم ترکیه هم میزنن .و بعدش پسورد اکانت رو تعویض میکنن و منتظر تماس مشتریشون میمونن.در این مرحله مشتری به محض اینکه نمیتونه به اکانت خودش دسترسی داشته باشه با مسئول امنیتش تماس میگیره .
اما سناریوی احتمالی مکالمه:
+سلام
-سلام
+ببخشید من به اکانتم دسترسی ندارم .فکر میکنم اکانتم هک شده چون ایدیمو سرچ میزنم پست هام پاک شدن و در بیوم نوشته شده “این اکانت هک شده”
-من این اطمینان رو بهتون میدم که تیم متخصص ما در حال پیگیری هستش… لطفا صبر کنید بهتون خبر میدم
+کی بهم خبرشو میدین
-لطفا صبر کنید .خیلی زود…
+اوکی چشم
اما ادامه مراحل,چند ساعتی صبر میکنن و بعد تموم پست هارو از ارشیو بر میگردونن و پسورد اکانت رو به مشتری میدن و میگن با تلاش بی وقفه تیم امنیتی ما پیجتونو تونستیم از هکر ها پس بگیریم .
در اخر هم از مشتریشون یه چند میلیونی پول میگیرن !!!!
اما سوالی که پیش اومده واسم واقعا آیا ست کردن یک پسورد قوی و روشن کردن تایید دو مرحله ایی کار پیچیده یا سختی هستش که برای انجامش متوسل به یه سری ادم شیاد فیک با فالورای فیک میلیونی بشیم؟
اگر که فکر میکنید امنیت پیج اینستاگرام وابسته به اینجور اشخاص هستش در اینصورت اینستاگرام یک شبکه اجتماعی ضعیف محسوب میشه که کاربران به تنهایی نمیتونن تنظیمات امنیتی اکانتشونو انجام بدن و اصولا همچین شبکه اجتماعی محکوم به شکست هستش و اینستاگرامی که الان در اون فعالیت میکنید خیلی وقت پیش از هم میپاشید و از بین میرفت! .
سلبریتی های هر جامعه الگوی افراد اون جامعه هستن .واقعای جای تاسف داره که سلبریتی های ما با فالور میلیونی در حد بسیار ساده و ابتدایی بلد نیستن از یک اپ استفاده کنند و حتی حاضر نیستند که ده دیقه وقت بزارن و یه سرچ ساده در مورد “امنیت اکانت در اینستاگرام” رو در گوگل انجام بدن. کسی که دانش ابتدایی درک مکانیزم اینستاگرام رو نداره مستحق دیده شدن به این حجم وسیع نیست.لطفا در تعین الگو هاتون تجدید نظر کنید و ادم های باهوش رو بزرگ کنید که اینجور به شخصیت خودتون احترام میزارین….
سخن پایانی:
برای تامین امنیت پیج خودتون کار های زیر رو انجام بدین :
1-قرار دادن یک پسورد حداقل 12 کاراکتری متشکل از حروف کوچک و بزرگ,اعداد,علائم خاص روی اکانت
2-روشن کردن گزینه Two Factor Authentication در منوی تنظیمات امنیتی اکانتتون
3-ست کردن یک ایمیل و شماره تلفن روی اکانتتون
4-عدم استفاده از اپ های مشکوک به بد افزار مثل انفالویاب ها و فالوربگیر و اپ هایی از این قبیل
5-استفاده از اپلیکیشن رسمی اینستاگرام
6-عدم وارد کردن پسورد اکانتتون در صفحات فیک که کاملا شبیه صفحه لاگین اینستاگرام طراحی شدن
7-یکم باهوش بودن و یادگیری نکات بیشتر در این مورد و بالابردن اگاهی خودتون از دنیای مجازی و تکنولوژی و خطرات اون
در اخر تایید میکنم هیچ گونه نیازی به استخدام یک فرد دیگه برای تامین امنیت اکانت هاتون نیست و این شغل در هیچ کجای دنیا به رسمیت شناخته نمیشه بجز ایران!!! لطفا خودتون رو اپدیت کنید و دانش خودتون رو هم به دیگران منتقل کنید
اگر پسورد ایمیل شما Hack شود و یا لو برود، امنیت کلیه اطلاعات شخصی شما به خطر می افتد. کسی که رمزعبور ایمیل شما را داشته باشد می تواند با زدن دکمه I Forgot My Password در هر سایتی، به حساب بانکیتان، رمز عبور سایر ایمیل هایتان و سایر Password های شما در سایر وب سایت ها دست یابد. با در نظر گرفتن رخنه های امنیتی گسترده در حال حاضر این فرصت خوبی است برای به روز کردن رمزعبور و اطمینان از اینکه تمامی آنها منحصر به فرد (پسورد امن) باشند. بنابراین بهترین راه برای جلوگیری از این مسئله، ساخت پسورد پیچیده و استفاده از نرم افزارهایی مانند KeePass وLastPass برای به خاطر سپردن آنهاست.
یک قانون برای پسورد پیچیده و قوی
با پیروی از چند قانون ساده می توان یک پسورد پیچیده و منحصر به فرد ساخت.برای ساخت یک پسورد سخت ابتدا به یک رمزعبور “پایه” با حروف کوچک و بزرگ، اعداد و حتی یک نماد احتیاج داریم، انتخاب یک عبارت که براحتی بتوان بخاطر سپرد. در این مثال من برای سادگی از اسم یک غذای مورد علاقه خودم (ghormeh sabzi) استفاده می کنم.
برای داشتن پسورد امن اطمینان حاصل کنید که عبارت انتخابی شما حداقل هشت حرف است، همچنین از عباراتی که بسیار رایج هستند ( مانند اسم شهرها ) استفاده ننمایید. از استفاده از یک عبارت ساده و تبدیل حروف آن به نماد اجتناب کنید ( هکرها با استفاده از ابزارهای پیچیده قادر به شناسایی این ترفند خواهند بود). از یک عبارت عبوری (استفاده از چند کلمه) به جای یک رمزعبور استفاده نمایید. این کار پیدا کردن پسورد را برای هکرها سخت خواهد کرد.
حال که عبارت عبوری را انتخاب کردیم آن را به یک عبارت واحد تبدیل می کنیم (ghormehsabzi)، حال از حروف بزرگ هم استفاده می کنیم که به راحتی می توان بخاطر سپرد (GhormehSabzi) در مرحله ی بعد برای داشتن پسورد قدرتمند با استفاده از تعدادی نماد آن را جذاب تر می کنیم! (Gh0rm3hS@bzi)
حالا رمزعبور پایه درست شده است و می توانیم از آن به عنوان اسکلت کلید برای تمامی وب سایت هایی که در آنها کاربری داریم استفاده کنیم. برای ایجاد قویترین رمزعبور ممکن، می خواهیم یک الگوی نامگذاری ساده حفظی بسازیم که با استفاده از آن برای تمام وب سایت هایی که در آنها کاربری داریم یک رمزعبور منحصر به فرد می سازیم.
به طور مثال من تصمیم دارم از حروف اول و چهارم اسم دامنه سایت در میان حروف عبارت عبوری استفاده نمایم. بنابراین رمزعبور ایمیل اکانت Yahoo به اینصورت می شود: (Gh0rm3hYoS@bzi) و یا برای ایمیل اکانت Gmail به اینصورت: (Gh0rm3hGiS@bzi)
با این حال در نظر داشته باشید که هیچ رمزعبوری بی عیب نیست! حتی یک پسورد قدرتمند. اما داشتن یک عبارت عبوری منحصر به فرد و چند ترفند که قابل یاد سپاری هستند راهی طولانی برای وارد شدن به حریم خصوصی شما در دنیای مجازی ایجاد می کند.
keepass نرم افزاری برای مدیریت رمز عبور (password)
یک نرم افزار قدرتمندی برای مدیریت پسورد، KeePass است که تمامی پسورد پیچیده شما را به صورت کد گذاری شده در یک پایگاه داده نگهداری می کند و به شما اجازه می دهد تا با یک رمز عبور اصلی به آنها دسترسی پیدا نمایید، بنابراین می توانید به تمامی رمزهای خود در هر جایی که هستید تنها با یک کلیک دسترسی پیدا کنید.
LastPass یکی از انواع این برنامه هایی ست که شما می توانید آن را به راحتی روی Browser خود نصب کنید و بدون نگرانی Password های منحصر به فرد بسازید. این برنامه با انواع Browser ها سازگار است و استفاده از آن بسیار ساده می باشد، به این ترتیب که رمزهای شما به صورت خودکار بین Browser ها و کامپیوترهای مختلف یکسان سازی می شود و امکان دسترسی به این پایگاه داده از هر سیستمی برای شما امکان پذیر خواهد بود با وجود اینکه حفظ امنیت تمامی رمزها به عهده یک Hard drive می باشد.
استفاده از password manager یک راه بسیار خوب برای تقویت امنیت شخصی به صورت آنلاین است اما کافی نیست. یک پسورد پیچیده رمزی ست که تا به حال ننوشته باشید! یک رشته منحصر به فرد از حروف، اعداد و نمادهایی که حتی آنها را تا زمان استفاده نمی شناختید! ممکن است به نظر به خاطر سپردنشان غیر ممکن می آید در حالی که با چند حقه ساده قادر خواهید بود که آنها را به ذهن بسپارید.
به این نوشته امتیاز دهید
[Total: 1 Average: 5]
در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343
omid.ahmadyani@outlook.com
موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی
● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت
● کشف ضعف تزریق SQL + اعمال Blind SQL Injection
● کشف ضعف های تزریق اسکریپت (XSS)
● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)
● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری
انتخاب ۱۲۳۴۵۶ به عنوان رمز عبور گزینه مناسبی نیست مگر اینکه دوست داشته باشید اطلاعات شخصی تان به سادگی در دسترس هکرها قرار گیرد. شاید این بدترین رمزعبوری باشد که بتوان انتخاب کرد اما از این عدد بدتر عبارت password است. آمارها نشان می دهد که اکثر ایمیل های هک شده دارای این رمز عبور بوده اند حتی عبارت Passw0rd نیز با استفاده از عدد ۰ به جای حرف o به اندازه کافی هوشمندانه نیست و در رتبه ۱۸ ام رمز های عبور پرخطر قرار گرفته است. در ادامه لیست ۲۵ رمز عبور که بیش از دیگران هک شده اند را مشاهده خواهید کرد.
رمزهای عبور ساده مانند qwerty یا ۱۲۳۴۵۶ جزء اولین گزینه هایی هستند که هکر ها نسبت به آزمایش آنها اقدام می کنند پس در انتخاب رمز عبور خود دقت و توجه بیشتری به خرج دهید برای ایجاد یک رمز عبور پیچیده سعی کنید از ترکیب اعداد و حروف بی معنی استفاده کنید.
مدیرعامل SplashData که این آمار را منتشر کرده است در این رابطه گفت: اگر رمزعبور ساده انتخاب کنید، هکرها به راحتی می توانند به اکانت شما دسترسی داشته باشند. برای ساخت رمزعبور پیچیده موارد زیر را مدنظر قرار دهید:
۱- از کارکترهای مختلف شامل: حروف، اعداد و کارکترهای خاص (مانند %, ^, @ ) استفاده کنید.
۲- سعی کنید طول رمز عبور حداقل ۸ کارکتر باشد، سعی کنید از فاصله نیز در آن استفاده کنید.
۳- از یک رمز عبور برای سایت های مختلف استفاده نکنید چون در صورت لو رفتن یک رمز باقی اکانت های شما نیز به خطر خواهد افتاد.
به این نوشته امتیاز دهید
[Total: 0 Average: 0]
در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343
omid.ahmadyani@outlook.com
موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی
● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت
● کشف ضعف تزریق SQL + اعمال Blind SQL Injection
● کشف ضعف های تزریق اسکریپت (XSS)
● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)
● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری
بی شک جوملا یکی از بهترین نرم افزارهای مدیریت محتوا در بازار CMS ها می باشد. هرچه وب سایت های بیشتری با جوملا طراحی می شود، نحوه ی پیکربندی سایت از نظر امنیتی مهم تر می شود. ۱۰ نکته ی زیر به افزایش امنیت سایت جوملای شما کمک می کند.
اگر تمایل دارید پیش از مطالعه این ۱۰ نکته، درباره جوملا بیشتر بدانید، پیشنهاد می شود بر روی اینجا کلیک کنید.
۱-یک هاستینگ (میزبان وب) مناسب انتخاب کنید :
سروری که برای میزبانی یا همان هاستینگ وب سایت استفاده می شود، از نظر سازش با نرم افزار یا زبانی که وب سایت با آن پیاده سازی می شود باید در بالاترین سطح قرار گیرد. به همین منظور، وب سایتی که با نصب نرم افزار مدریت محتوای جوملا پیاده سازی شده است، حتما باید میزبانی داشته باشد که از زبان برنامه نویسی PHP به همراه SU-PHP پشتیبانی کند. چنین سروری نیاز به تنظیم مجوز هایی ماننده ۷۷۷ نخواهد داشت. برای درک این مطلب می توانید درباره Verifying Permission های جوملا بخوانید.
تنظیمات زیر را انجام دهید :
register_globals را در حالت OFF قرار دهید.
allow_url_fopen را غیر فعال نمایید .
راهنمای magic_quotes_gpc را برای سایت خود تنظیم کنید.جوملا نسخه ی ۱.۵ از این تنظیمات صرف نظر می کند.
ترجیحا از PHP safe_mode استفاده نکنید .
۲-پیشوند پیش فرض دیتابیس را تغییر دهید:
در زمان نصب نرم افزار جوملا، برخی تنظیمات پیش فرض و خودکار بر روی اطلاعات آن ست می شود. برای مثال دیتابیس ربا پیشوند Jos تنظیم می گردد و هکر حرفه ای جوملا از این موضوع باخبر است. چنانچه شما این بخش را تغییر ندهید، هکر به راحتی می تواند در مدت زمان کوتاهی وب سایت شما را هک نماید. تغییر در پیشوند دیتابیس باعث پیشگیری از حملات SQL injection توسط هکرها از جدول jos_users می شود.
۳-لایه ی FTP را غیر فعال کنید:
هنگام نصب جوملا گزینه ی FTP Layer را فعال نکنید، چرا که ضریب امنیتی فایل configuration.php را کاهش می دهد. در صورتیکه هاست شما امن بوده و برای جوملا پیکربندی صحیح را دارد، نیازی به فعالسازی FTP نیست.
۴-نام کاربری مدیریت را تغییر دهید :
بعد از نصب جوملا اقدام به تغییر نام کاربری مدیریت نمایید. نام پیش فرض آن admin است. کلماتی را انتخاب کنید که حدس زدن و کرک آنها مشکل باشد.
۵-کلمات عبور قوی انتخاب کنید :
برای اکانت مدیریت از کلمه ی عبور قوی استفاده کنید. مثلا کلمه عبور E@^M!$<9@ یک پسورد قوی می باشد. از سایتی مانند www.strongpasswordgenerator.com نیز می توانید برای انتخاب پسورد قوی کمک بگیرید. حتی برای فلدر administrator نیز کلمه ی عبور انتخاب کنید که البته باید با کلمه ی عبور Admin متفاوت باشد.
۶-آدرس های SEF را فعال کنید:
بیشتر هکرها از فرمانهایی برای جستجوی بهتر هدف استفاده می کنند بنابراین اگر از جوملا ۱.۵ استفاده می کنید URL های SEF را از پیکربندی سایت انتخاب کنید.همچنین از Extension هایی مانند SH404SEF استفاده کنید. این کار از حمله ی هکرها در یافتن قربانی جلوگیری می کند.
۷-با آخرین نسخه ی جوملا کار کنید:
به محض ظهور نسخه ای جدید از جوملا اقدام به update کردن نسخه ی جاری نمایید. از آدرس http://feeds.joomla.org/JoomlaSecurityNews جهت مشاهده ی آخرین نسخه ی جوملا استفاده کنید. جوملا را از سایت های رسمی و معتبر دانلود کنید. چنانچه اطلاعاتی از نحوه اپدیت جوملا ندارید، می توانید از مقاله “نحوه ی به روزرسانی نسخه های مختلف جوملا” استفاده بفرمایید.
۸- extension ها :
بیش از ۴۰۰۰ هزار extension برای جوملا وجود دارد با این وجود از نصب extensionهای غیر ضروری در سایت خود جلوگیری کنید.توجه داشته باشید که بیشتر تلاش های هکری به خاطر extensionهای ناامن و آسیب پذیر اتفاق می افتد.
بنابراین از extension هایی استفاده کنید که معروف هستند و پشتیبانی قوی ارائه می دهند.
۹-از مجوزهای فایل/فلدر صحیح استفاده کنید :
تنظیم مجوزهای مناسب برای وب سایت جوملا به شکل زیر است:
* PHP files: 644 در لینوکس و مجوز read در ویندوز سرور Config files: 666 در لینوکس و مجوز read در ویندوز سرور
سایر فلدرها ۷۵۵ در لینوکس و read,write در ویندوز
۱۰-فرآیند بازیابی و پشتیبانی نصب :
همیشه از پروتکلهای بازیابی و پشتیبانی قوی برای سایت خود استفاده کنید. چرا که ممکن است مسائلی مانند خطاهای سخت افزاری ، ارتقا یا نصب extension های مشکل دار و مسائل شرکت هاستینگ به وجود بیاید.همچنین می توانید از JoomlaPack به عنوان کامپوننت اصلی برای هر دو نسخه ی Joomla 1.0 and 1.5 استفاده کنید.
به این نوشته امتیاز دهید
[Total: 1 Average: 5]
در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343
omid.ahmadyani@outlook.com
موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی
● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت
● کشف ضعف تزریق SQL + اعمال Blind SQL Injection
● کشف ضعف های تزریق اسکریپت (XSS)
● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)
● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری
حملات تزریق SQL نشان دهنده تهدید جدی برای هر سایت پایگاه داده محور است. یادگیری روش های حمله آسان است و خسارات ناشی از آن برای یک سیستم قابل توجه است. با وجود این خطرات تعداد بیشماری از سیستم ها بر روی اینترنت در معرض این نوع حمله قرار دارند. این تهدید نه تنها به آسانی تحریک می شود ، بلکه با کمی احتیاط و تأمل می توان از آن جلوگیری کرد. این مقاله حاوی خلاصه ای از روشهای موجود حملات تزریق SQL و راه های مقابله با آنها است.
بخش اول – اصول تزریق
تزریق SQL یکی از روشهای هک در وب است ، که جز پورت “۸۰” چیز دیگری نیاز ندارد.
تزریق SQL معمولا توسط توسعه دهندگانی که از تکنیک رشته سازی برای ایجاد کد SQL استفاده می کنند ، صورت می گیرد.
اصل اساسی تزریق SQL ، استفاده از کدهای نا امن برروی سیستمی است که به اینترنت متصل شده است.
هک کردن رشته پرس و جو
یک آدرس وب معمولی مربوط به یک شعر ، همانند مثال زیر را در نظر بگیرید :
وقتی شما صفحه وب بالا را باز می کنید با یک عنوان صفحه مورد استقبال قرار می گیرید. (Welcome to Bangkok’s Worst Poetry.com ) ، عنوان شعر ( The Mating of the Mongolian Butterfly ) ، نام شاعر ( Stuart ) ، ملیت ( Australian ) و سن ( ۳۲ ) و خلاصه ای از شعر.
از این رو شما می توانید به این پی ببرید که “۱” در رشته پرس و جو نوعی مرجع برای شعر اصلی است. بنابراین با شکستن رشته پرس و جو به رشته زیر می رسیم :
Story=1
مقدار رشته “Story” را به “۴” تغییر می دهیم و صفحه را با آدرس زیر بارگذاری می کنیم :
کد اسکریپت که برای ساخت این صفحه استفاده شده ، در زیر آمده است :
<%
storyID=request(“story”)
StrSql0=”SELECT s.sID,s.title ,s.blurb,s.story,a.aName FROM story s, author a
WHERE sID=”&storyID&” AND a.aID=s.aID”
Rs0.Open StrSql0,oConn
%>
متغیری که ما با آن کار می کنیم “story” است ، مقدار “story” بدون اعتبار سنجی ورودی مستقیماً به پرس و جو برمی گردد ، که اطلاعات را بازیابی می کند. در این قسمت ما هرچیزی را به عنوان ارزش برای “StoryID” می توانیم ، قرار دهیم و این امر به عبارت SQL برمی گردد. ما می توانیم دستوراتی را به پایگاه داده بفرستیم که توسعه دهنده هرگز در نظر نگرفته باشد.
شکستن رشته پرس و جو
در اینجا دو راه مستقیم برای شکستن یک آدرس وب وجود دارد. در ابتدا شما می توانید دستورات SQL را به آدرس وب اضافه کنید ، مانند مثال زیر :
http://stuart/homebase/practical/in dex.asp?story=3 AND someothercolumn=3
در این مثال با خطای زیر مواجه می شویم :
Error Type:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Invalid column name
‘someothercolumn’.
/homebase/practical/index.asp, line 33
این نشان دهنده این است که تزریق SQL آسان تر است از اینکه ما دستور SQL را از :
SELECT s.sID,s.title,s.b lurb,s.story,a.aName FROM story s, author a WHERE sID=3
AND a.aID=s.aID
تغییر دهیم به :
SELECT s.sID,s.title,s.blurb,s.story,a.aName FROM story s, author a WHERE sID=3
AND someothercolumn=3 AND a.aID=s.aID
ستون “someothercolumn” وجود ندارد ، بنابراین با یک خطای SQL مواجه می شویم.
دومین راه برای شکستن یک صفحه ، استفاده از یک (‘) است.
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclo sed quotation mark before
the character string ‘ AND a.aID=s.aID’.
/homebase/practical/index.asp, line 20
اسکریپت بدلیل اینکه بعد از “۳” یک علامت (‘) قرار داده ایم بسته شده است ، که باعث شکسته شدن دستور SQL می شود. با اضافه کردن علامت (:) ، دستور SQL که به سرور باز می گردد ، از :
SELECT s.sID,s.title,s.blurb,s.story,a.aName FROM story s, author a WHERE sID=3
AND a.aID=s.aID
به :
SELECT s.sID,s.title,s.blurb,s.story,a.aName FROM story s, author a WHERE sID=3′
AND a.aID=s.aID
تغییر می کند
علامت (:) موجب بروز خطای “علامت نقل قول باز” می شود.
کمی غیر معمول است ، که یک عدد صحیح در دستور SQL استفاده نشود.
یک صفحه را تصور کنید که لیستی از شاعران براساس ملیت در آن قرار دارد. آدرس وب زیر را در نظر بگیرید :
SELECT a,aID,a.aName FROM author a WHERE a.aNationali ty=’laos’
توجه داشته باشید که مقدار “laos” یک رشته است ، بنابراین هنگامی که آدرس وب را دوباره تغییر می دهیم ، یک علامت (‘) در “laos” اضافه می کنیم ، این علامت به SQL می رود و آن را می شکند ، مانند زیر :
SELECT a,aID,a.aName FROM author a WHERE a.aNati onality=’la’os’
دستور SQL بدلیل “علامت نقل قول باز” از کار خواهد افتاد.
به طور کلی یک مهاجم برای شکستن SQL نیاز به استفاده از علامت نقل قول دارد ، اما اگر سایت ضعیف کدگذاری شده باشد ، ممکن است فقط نیاز به اضافه کردن SQL همانند مثال اول داشته باشد.
بخش دوم – محافظت
از سایت خود در برابر تزریق SQL محافظت کنید ، هیچ راه حلی همه مسائل را حل نمی کند. اما یک سری دیوار های کوچک با یکدیگر تشکیل دیواری قدرتمند را می دهند.
حداقل دیوارهای لازم جهت جلوگیری از مهاجمین :
۱. از نامهای اصلی و سخت برای نام جداول و ستونها استفاده کنید تا قابل حدس زدن نباشند.
این واقعیتی است که هر شخصی نام جدول کاربران خود را “users” می نامد و این می تواند دلیل بزرگی باشد برای این که چرا شما این کار را انجام ندهید. اگر یک سایت شخصی دارید ، آنرا با هر عنوانی می توانید بسازید ، اما برای یک مجموعه بزرگ بهتر است متفاوت باشد :
Table: user_Details
Columns: u_uID,u_user_Name,u_user_Password etc
۲. از نامهای مستعار استفاده کنید.
مثال زیر را درنظر بگیرید :
SELECT s.sID,s.title,s.blu rb,s.story,a.aName,a.aNationality,a.aAge FROM story s,
author.aNationality, author.aAge FROM story s, author a WHERE sID=3 AND
author.aID= story.aID
اگر یک مهاجم این دستور را بشکند ، در انتها با یک پیغام خطا مواجه می شود. کدامیک اطلاعات بیشتری به مهاجم می دهد؟ هنگامی که شما از نام های مستعار استفاده می کنید ، کوتاه شده آنها را بکار گیرید (s به جای story). اینکار باعث می شود مهاجم به اطلاعات ناقص دست یابد.
۳. در هر فرم محدودیت طول تنظیم کنید و از نامهای واقعی برای ستونها استفاده نکنید.
اگر سایت شما صفحه ورود کاربران داشته باشد ، دوگزینه برای ورود وجود دارد : ۱- نام کاربری ۲- رمز ورود
این دو را به یک شماره واقعی محدود کنید.
نام واقعی ستون را برای فیلد نام ها استفاده نکنید ، زیرا کار برای مهاجم آسان می شود. در قطعه کد بالا ، مهاجم ستونهای “u_user_Name” و “u_user_Password” را در جدول “user_Details” تطبیق می دهد.
۴. حداقل اعتبار را برای اطلاعات خود در سمت سرور برای محتوا ، طول و قالب تنظیم کنید.
اعتبار سنجی باید همیشه در سمت سرور انجام شود. چک کردن داده ها با جاوا اسکریپت در سمت کاربر وقت تلف کردن است. همه مهاجمین نیاز به دانلود صفحه شما به صورت فایل html دارند ، جاوا اسکریپت را حذف کرده و آن را از سیستم خودشان اجرا کنید.
از یک اعتبار اسکریپت برای کل سایت استفاده نکنید. اطلاعات مختلف نیازمند اعتبار سنجی مختلف هستند. به عنوان مثال اعتبارسنجی برای “username” با “story ID” متفاوت خواهد بود.
حداقل پردازشهای لازم که در زیر به آنها اشاره شده است را برروی داده های خود اعمال کنید :
الف – حذف علامت (‘)
اگر این عمل امکان پذیر نیست آنها را دو برابر کنید و مانند مثال زیر از دستور جایگزینی استفاده کنید :
function quotehandle(data)
quotehandle=replace(data,”‘”,”””)
end function
ب – حذف علامتهای (;) و (–)
function sqldash(data)
sqldash=replace(data,”–“,””)
end function
function sqlcolon(data)
sqlcolon=replace(data,”;”,””)
end function
پ – بررسی نوع داده ها
اگر شما در انتظار یک عدد صحیح هستید ، بررسی کنید که آیا ورودی یک عدد صحیح است. اگر اینطور نیست آن را رد کنید.
ت – تنظیم نوع داده ها
تقویت مرحله قبل و تنظیم نوع داده ها به طور صریح
storyID=CInt(request(“storyID”))
authorname=CStr(request(“authorname”))
ث – اعتبارسنجی داده ها
مطمئن شوید که داده ها صحیح هستند.
ج – بررسی طول داده ها
طول داده ها را بررسی کنید. اگر بیش از حد طولانی است آن را کوتاه کنید. به عنوان مثال اگر شما انتظار میزبانی بیش از ۱۰۰۰۰ شعر در سایت خود را دارید ، “poemID” نیازی نیست بیش از ۴ کارکتر باشد. تابع زیر ، یک مثال ساده از نحوه انجام این کار است :
data=left(data,4)
و برای داده های طولانی تر :
data=left(data,125)
۵. اگر از محصولی استفاده می کنید که سورس کد آن در دسترس است ، آنرا در رابطه با آسیب پذیری ها به روز نگه دارید.
اگر شما از یک نرم افزار متن باز ارسال پیام استفاده می کنید ، یک مهاجم همانند شما می تواند سورس کد را دانلود کند و به دنبال نقاط ضعف آن بگردد. به طور مداوم نقاط آسیب پذیر نرم افزار را بررسی کرده و آنها را در جهت حفظ امنیت به روز رسانی کنید.
۶. طرح خود را منحصر به فرد کنید. به عنوان مثال اگر اجازه ایجاد نام جدول داده شده است مطمئن شوید که تغییرات از پیش فرض سایت متمایز باشد.
در صورت امکان طرح خود را از مدل پیش فرض آن متمایز کنید. کدهای خود را مطالعه کنید و مطمئن شوید که هیچ حفره آشکاری وجود ندارد.
۷. در صورت امکان از رویه های ذخیره شده استفاده کنید.
رویه های ذخیره شده یک راه بسیار خوب برای کاهش احتمال حمله از طریق تزریق SQL هستند. به هر حال به عنوان کسی که آنها را می نویسد در استفاده از پارامترها در همه زمانها مطمئن باشید.
با این حال اگر از رویه های ذخیره شده استفاده می کنید باید داده های خود را از قبل اعتبارسنجی کنید.
۸. کدهای سایت را بررسی کنید.
هیچ کس کد کاملی نمی نویسد. اعضای یک تیم باید کد یکدیگر را مطالعه کنند تا احتمال وجود نقص در کدها کاهش یابد.
۹. سرور خود را امن نمایید.
روش های زیر را در سرور اعمال کنید :
الف – حداقل دسترسی برای کابران
ب – حذف حسابهای غیرضروری
پ – حذف یا غیرفعال کردن رویه های ذخیره شده غیرضروری و توسعه یافته
ت – حذف اطلاعات غیرضروری
ث – به روز رسانی
منبع : sans.org
به این نوشته امتیاز دهید
[Total: 0 Average: 0]
در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343
omid.ahmadyani@outlook.com
موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی
● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت
● کشف ضعف تزریق SQL + اعمال Blind SQL Injection
● کشف ضعف های تزریق اسکریپت (XSS)
● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)
● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری
هرزنامه یا Spam، به معنای پیامی الکترونیکی است که بدون درخواست گیرنده و برای افراد بیشمار فرستاده میشود. یکی از مشهورترین انواع هرزنامه، اسپم است که میتواند شامل جفنگ در پیامرسانها، گروههای خبری یوزنت، بخش نظرات وبلاگها، صفحات ویکی و فرومهای خبری و غیره هم بشود.
تاریخچه هرزنامه
اولین هرز نامه در سال ۱۹۷۸ توسط گری فورک ارسال شد او به قصد تبلیغ شرکتش ششصد نامه به کاربران فرستاد، از نظر فنی، ارسال spam تقریباً بدون هزینهاست و این مساله باعث شده شرکتهای بازاریابی، به سمت آن حرکت کنند. از آنجایی که ارسال هرز نامه مشکل فنی چندانی ندارد، بیشتر و بیشتر شاهد افرادی هستیم که به سراغ فرستادن این به اصطلاح فارسی آن جفنگ ها میروند و به همین دلیل کشورها در حال تصویب قوانینی برای مبارزه با این امر هستند.
هرزنامه در ایمیل چیست
به سوءاستفاده از ابزارهای الکترونیکی مانند ایمیل، مسنجر، گروههای خبری ایمیلی، فکس، پیام کوتاه و… برای ارسال پیام به تعداد زیاد و به صورت ناخواسته spam میگویند. با توجه به هزینه اندک این روش نسبت به پست سنتی که در گذشته برای ارسال پلاک به پلاک تبلیغات مورد استفاده قرار میگرفت و همچنین ناقص بودن قوانین بینالمللی برای محدود کردن هرزنامه در ایمیل، این قبیل ایمیلها در سطح وسیعی ارسال میشوند.
«هرز نامه» در واقع عنوان علامت تجاری تولیدات گوشت بستهبندی محصولات غذایی معروف «هرمل» است و یکی از محصولات گوشتی کمی بود که در دوران جنگ جهانی دوم از جیره دهی مستثنی شده بود و از این رو به طور گستردهای در دسترس بود. بعد از مدتی از این واژه در یک برنامهٔ طنز تلویزیونی انگلیسی (به نام میدان پرواز پیتون) استفاده کردند که در آن اسپم به شیوهای غیرمعمول و طنز گونه در فهرست غذاهای رستوران تکرار شده بود.
کامپیوتر آلوده ممکن است فقط به عنوان یک نقطهی پایان باشد. بدافزارها میتوانند سرورهایی با پروکسی باز نصب کنند، که برای تقویت هرز نامه ها به کار میروند و یا اینکه میتوانند ماشینهای آلوده را به زامبی مبدل کنند. این کامپیوتر های آلوده میتوانند برای اهداف گوناگونی مانند هدایتکردن حملات DDoS به کار روند. در کلیه این موارد، سازندهی بدافزار، کامپیوتر آلودهشده را که تقریباً هیچ احتمالی برای دستگیری یا شناساییشدن آن ندارد، بعداً مجدد استفاده خواهد کرد. به طور کلی هرزنامه به معنای فرستادن پیامهای متعدد و مشابهاست و اسپمینگ تکرار این عمل نامیده میشود. اسپمها به گونههای مختلفی در اینترنت گسترش مییابند که در زیر به انواع هرزنامه های متعدد پرداخته ایم:
اسپم ایمیل
اسپم ایمیل، که بنام ایمیل فلهای ناخواسته نیز نامیده میشود، عمل ارسال ایمیل های انبوه بدون درخواست و بطور مکرر با محتوی تجاری در مقیاس بزرگ به دریافت کنندگان، بدون استثنا قایل شدن میباشد. اسپم ایمیل در اواسط ۱۹۹۰ وقتی که وارد اینترنت شد تبدیل به یک معضل شد و روز به روز گسترش یافت به صورتی که امروزه با یک تخمین محافظهکارانه ۸۰ تا ۸۵ درصد ایمیلها را در بر میگیرد و در بعضی منابع از ۹۵ درصد بالاتر میرود.
اسپم پیامدهی آنی یا لحظهای
هرز نامه پیامدهی آنی، که به اسپیم (واژهای مرکب از اسپم و پیامدهی آنی) معروف است از سیستمهای پیامدهی آنی استفاده میکند. بسیاری از این سیستمها یک دایرکتوری کاربری شامل اطلاعات آماری را در اختیار یک ناشر برای جمع آوری اطلاعات، علامت گذاری روی سیستم، و ارسال پیامهای ناخواسته قرار میدهند. برای ارسال پیامهای آنی به میلیونها نفر از کاربران نیازمند یک نرمافزار با قابلیت ذخیرهسازی و اسامی دریافتکنندگان خواهیم بود. هرز نامه ها معمولاً کانالهای متداول چت اینترنتی را هدف قرار میدهند و با بکارگیری بوتهای آیآرسی(IRC) که کانالها را متصل میکند، پیامها را منتشر مینمایند.
موتورهای جستجوی با اهداف اسپم(اسپم دکسینگ)
اسپم دکسینگ (مرکب از واژه اسپم کردن و ضمیمه کردن پیام میباشد.)به عملکردی روی وب جهانی برای تبدیل صفحات HTML برای تقویت و بالا بردن شانس آنها در قرارگیری روی لیست اعتباری موتورهای جستجو اطلاق میشود. این سایتها فنون بهینهسازی موتور جستجوی کلاه مشکی را برای افزایش نامنصفانه رتبه در موتورهای جستجو بکار میبرند. بیشتر موتورهای جستجوی مدرن الگوریتم جستجویشان برای محروم نمودن تاکتیکهای اسپم دکسینگ تقویت کردهاند.
هرز نامه وبلاگی
اسپم بلاگ و یا بلام مخفف هرزنامه کردن در وبلاگهاست. در سال ۲۰۰۳، این نوع از هرز نامه با نوشتن مطالب تجاری درنرمافزارهای متحرک وبلاگی و با تکرار این توضیحات در پستهای بلاگی مزیت پیدا کرد که چیزی بیش از یک لینک به وب سایت اسپمرهای تجارتی تهیه کرد.
هرزنامه انجمنی
اسپم انجمنی نوعی از هرز نامه است که در انجمنهای گفتگو و پشتیبانی، بسیار مشاهده میشود و گاه به عنوان یک معضل و در جایی به عنوان سرگرمی تلقی میشود. در این نوع اسپم کاربران بجای پاسخهای مناسب از پاسخهای غیر مرتبط با موضوع تایپک استفاده میکنند. که منجر به منحرف شدن تایپک مربوطه و به نتیجه نرسیدن آن خواهد شد.
اهداف انتشار هرزنامه
اهداف متفاوتی برای به وجود آمدن اسپم وجود دارد، امروزه هرز نامه ها به طور عمده با هدفهای تجاری منتشر میشوند ولی برخی از آنها به عنوان غیرتجاری با هدفهای دیگری نیز وجود دارند. این هرزنامه ها با اهداف دیگری غیر از اعلانات وآگهیها مانند موارد سیاسی یا مذهبی بهکار می روند.
برای مثال، سردار ارژیک، شبکهٔ کاربری یوزنت و ایمیل را با درددلهای تجدید نظر طلبی تاریخی، اسپم کرد. همچنین تعدادی از مسیحیان با پیامهای موعظهای، شبکهٔ کاربری و ایمیلها را هرزنامه نمودهاند. تعداد فزایندهای ازتبهکاران نیز با بکار گیری جفنگیات مرتکب انواع مختلفی از کلاهبرداریها میشوند و در بعضی موارد آن را برای تطمیع وفریب مردم در موقعیتهای بچه دزدی، باجخواهی و حتی قتل به کار میبرند.
مناطق جغرافیایی هرز نامه ها
متخصصانی از آزمایشگاههای سوفوسلِس پیامهای اسپم را که توسط فیلتر هرزنامه بعضی شرکتها گرفته شده بود آنالیز کردند، آنها دریافتند که طی سه ماهٔ سوم ۲۰۰۷، آمریکا بیشترین پیامهای جفنگ را در دنیا پخش کردهاست. طبق نظر متخصصین سوفوز ٪۲۸٫۴ هرز نامه دنیا از آمریکا میآیند. دومین محل در این لیست کره جنوبی با ٪۵٫۲ در کل جهان است. اسپمرهای کل دنیا از هزاران کامپیوتر زومبی قرار گرفته در آمریکا برای ارسال هرز نامه استفاده میکنند.
هزینههای اسپم
کمیسیون بازار مشترک داخلی اتحادیه اروپا در سال ۲۰۰۱ تخمین زد که هزینهٔ ایمیلهای هرز نامه برای کاربران اینترنت بالغ بر ۱۰ میلیارد یورو در سال است. قوهٔ مقننهٔ کالیفرنیا دریافت که این هزینه در ایالات متحده که شامل پایین آمدن کارایی، اتلاف تجهیزات و نیروی کار لازم است، بالغ بر ۱۳ میلیارد دلار در سال ۲۰۰۷ میباشد.
تاثیرات مالی مستقیم این فرایند شامل مصرف کامپیوتر و منابع شبکه، اتلاف زمان و منابع انسانی و توجه به روانه نمودن پیامهای ناخواستهاست. به علاوه هرزنامه ها از چندین بعد دارای هزینه هستند. این موارد از ثبیل زیر هستند:
روشهای اسپمکنندگان برای ارسال این پیامها، هزینه ناشی از اجرای قوانین مربوط به هرزنامه و راههای مقابله با آن سبب هدر رفتن منابع مالی میشود. همچنین هزینههای غیر مستقیمی نیز توسط این هرزنامه ها تحمیل میشود مثل سرقت مالی، سرقت داده، دزدی هویت و دستاوردهای فکری دیگران، انتشار ویروس و دیگر آلودهسازیهای فایلی، کلاهبرداری و فروش فریب دهنده.
نتیجهٔ دیگر هرزنامه کردن آن است که ضمایم موتور جستجو با صفحات بیمصرف پر میشود و هزینهٔ جستار انجام شده بالا میرود.
هزینهٔ روشهای اسپمکنندگان بالا است. چون اسپم کردن مقدار زیادی از سیاست کاربرد قابل قبول خدماتدهندههای اینترنت را نقض میکند. بیشتر هرزنامه کنندگان سالهای زیادی برای پنهان کردن منشاء اسپم شان زحمت میکشند.
اسپم ایمیل، یوزنت و پیامهای آنی اغلب از طریق پروکسی سرورهای ناامن، ارسال میشوند. اسپمکنندگان مکرراً از نامها، آدرسها، شماره تلفنها و دیگر اطلاعات تماسی دروغین استفاده میکنند. در بعضی موارد، آنها از شمارههای کارت اعتباری دزدی و یا جعلی برای پرداخت حسابها استفاده کردهاند. این کار به آنها اجازه میدهد سریعا از حسابی به حساب دیگر در صورت برملا شدن حرکت کنند.
ابعاد مخرب نامههای الکترونیکی ناخواسته
صرفاً درطی یک روز در سال ۲۰۰۳، یکی از عظیمترین ارائهدهندگان خدمات میزبانی ایمیل، بیش از دو میلیارد پیام ناخواسته را بلاک نمودهاست. شرکت مایکروسافت که دومین ارائه دهنده سرویس اینترنت اِماِساِن و سرویس هات مِیل میباشد، اظهار داشتهاست که به طور متوسط روزانه حدود ۲٫۴ میلیارد پیام ناخواسته را بلاک مینماید. براساس بررسی انجام شده در موسسه تحقیقاتی ردیکیت در ارتباط با نامههای الکترونیکی ناخواسته، بیش از چهل و پنج درصد از ۱۰٫۹ تریلیون پیام ارسال شده در سال ۲۰۰۳، هرز نامه بودهاند.
یکی از مسائل مرتبط با هرزنامه ها این است که چرا حجم آنان تا به این اندازه زیاد میباشد، به سهولت در ایجاد آنان، برمی گردد. در حال حاضر، صدها شرکت وجود دارد که لوحهای فشرده شامل میلیونها آدرس معتبر پست الکترونیکی را میفروشند. با استفاده از نرمافزارهایی نظیر ورد، میتوان به سادگی آدرسهای فوق را به خطوطی مشتمل بر یکصد آدرس در هر خط تبدیل و در ادامه با استفاده از پتانسیل همیشه جذاب بریدن و چسباندن، آنها را در فیلد TO هر برنامه معمولی نامه الکترونیکی، قرار دارد. پس از فشردن دکمه فرستادن، در کمتر از چندین ثانیه، صدها نامه الکترونیکی ارسال خواهد شد. سادگی در ایجاد و توزیع این نوع از نامههای الکترونیکی، از مهمترین مسائل و مشکلات مرتبط با هرز نامه است.
چگونگی جمعآوری آدرسهای پست الکترونیکی
همیشه این سوال مطرح است که یک شرکت چگونه میلیونها آدرس پست الکترونیکی معتبر را جمعآوری میکند تا پس از استقرار آنان بر روی سیدی، امکان فروش آنان را فراهم نماید. در این رابطه منابع متعددی وجود دارد:
۱. گروه های خبری و اتاق های چت
اولین منبع جمع آوری آدرسهای پست الکترونیکی، گروههای خبری و اتاقهای چت، میباشند. خصوصاً بر روی سایتهای بزرگ، کاربران (به خصوص افرادی که اولین بار از این امکانات استفاده مینمایند)، اغلب از اسامی واضح استفاده نموده و یا آدرس واقعی پست الکترونیکی خود را در گروههای خبری قرار میدهند. ارسالکنندگان نامههای الکترونیکی ناخواسته، از یک نرمافزار خاص برای استخراج اسامی واضح و آدرسهای پست الکترونیکی به صورت اتوماتیک استفاده مینمایند.
۲. وب
دومین منبع برای جمعآوری آدرسهای پست الکترونیکی، وب میباشد. در حال حاضر دهها میلیون سایت بر روی اینترنت وجود دارد و ارسالکنندگان ایمیل های ناخواسته میتوانند با ایجاد «مراکز جستجو»، عملیات جستجو به منظور یافتن علامت «@» را که نشاندهنده یک email میباشد را پیمایش مینمایند. این نوع از برنامهها را spambots مینامند.
۳. سایت هایی که با هدف جذب ایمیل ایجاد می شوند
سومین منبع تامین کننده آدرسهای email، سایتهایی میباشند که صرفاً با هدف جذب آدرسهای پست الکترونیکی، ایجاد میگردند. مثلاً یک ارسالکننده نامههای الکترونیکی ناخواسته میتواند، سایتی را ایجاد نماید که به کاربر بگوید «یک میلیون دلار» برنده شدهاست و صرفاً آدرس پست الکترونیکی خود را در این محل تایپ و یا درج نماید.
۴. فروش ایمیل ها در وب سایت های بزرگ
یکی دیگر از روشهای جمعآوری آدرسهای پستالکترونیکی که در گذشته بیشتر استفاده میشد، فروش آدرس پستالکترونیکی اعضاء توسط سایتهای بزرگ است. برخی دیگر از سایتها، مخاطبان خود را با این سوال مواجه مینمودند که آیا تمایل به دریافت خبرنامه پست الکترونیکی را دارید؟ در صورت پاسخ مثبت به سوال فوق، آدرس کاربر دریافت و در ادامه به یک ارسالکننده نامه الکترونیکی فروخته میگردید.
بزرگترین و متداولترین منبع تامینکننده آدرسهای ایمیلی، جستجو بر حسب کلید واژه «دیکشنری»، مربوط به سرویسدهنده پست الکترونیکی شرکتهای عظیم خدمات اینترنتی و ایمیل نظیر اِیاُاِل، اِماِساِن و یا هات میل، میباشد. یک حمله مبتنی بر دیکشنری، در ابتدا ارتباطی را با یک سرویس دهنده پست الکترونیکی به عنوان هدف، برقرار نموده و در ادامه و با سرعت به صورت تصادفی اقدام به ارسال میلیونها آدرس پست الکترونیکی، مینماید. تعداد زیادی از این آدرسها دارای تفاوتهای اندکی با یکدیگر میباشند. نرمافزار مورد نظر در ادامه بررسی لازم در خصوص موجود بودن آدرسهای فوق را انجام میدهد و در ادامه آنان را به لیست آدرس ارسالکننده نامه الکترونیکی، اضافه مینماید. در نهایت لیست آماده شده به تعداد زیادی از ارسالکنندگان نامههای الکترونیکی ناخواسته، فروخته میگردد.
آدرسهای ایمیل، عموماً خصوصی تلقی نمیگردند (نظیر درج شماره تلفن شما در لیست دفترچه تلفن عمومی). زمانی که یک ارسالکننده نامه الکترونیکی، موفق به آگاهی از آدرس پست الکترونیکی شما گردد، آن را در اختیار سایر ارسالکنندگان نامههای الکترونیکی قرار میدهد. در چنین مواردی میبایست در انتظار دریافت تعداد زیادی از نامههای الکترونیکی ناخواسته باشیم.
شرکتهای بزرگ ارسال کننده هرز نامه
برخی از شرکتهایی که در این رابطه فعالیت مینمایند، قادر به ارسال میلیاردها هرز نامه در طی یک روز میباشند. این شرکتها در کشورهای متعدد تاسیس و فعالیت مینمایند (خصوصاً در کشورهایی که برای برخورد قانونی با اینچنین فعالیتهایی، قانون مشخصی تدوین و تعریف نشدهاست). برای این که با برخی از این شرکتها بیشتر آشنا شویم بد نیست به سراغ گوگل رفته و بر حسب کلید واژه «اسپم» جستجو نمائیم. نتایج جالب زیر را مشاهده خواهیم کرد:
شرکت فوق، اعلام مینماید که در طی یک روز قادر به ارسال ۲٫۷ میلیون نامه الکترونیکی به ازای پرداخت سی دلار میباشد. تمامی موسسات و شرکتهای فوق، ادعا مینمایند که عملیات آنان خالی از هرزنامه بوده و صرفاً پس از تائید متقاضی مبنی بر دریافت نامه الکترونیکی، اقدام به ارسال نامه الکترونیکی برای آنان مینمایند.
در مواردی دیگر، ممکن است کاربر یک کالا را سفارش داده و یا یک فرم آنلاین را تکمیل نماید که دارای یک کادر در قسمت انتهایی میباشد که اعلام مینماید «در صورت عدم تمایل برای درج آدرس پست الکترونیکی در لیست مربوطه، میتوان کادر مربوطه را غیر فعال کرد.»در برخی موارد ممکن است چنین پیامهایی در قسمت پایین فرمهای آنلاین وجود نداشته باشد. در صورتی که به هر حال نام کاربر در لیست مجاز ارسال نامه الکترونیکی قرار گیرد، همواره امکان دریافت تعداد زیادی اسپم وجود خواهد داشت.
برخورد با هرز نامه
برای مقابله با ایمیل های ناخواسته تاکنون روشهای متعددی ایجاد و این روند با توجه به ابعاد گسترده آن، همچنان ادامه دارد. در این قسمت معروف ترین راه های مقابله با جفنگ ها را برایتان شرح خواهیم داد.
نرم افزار های فیلترینگ در مقابل هرزنامه ها
بهترین تکنولوژی که در حال حاضر برای توقف هرزنامه وجود دارد، استفاده از نرمافزارهای فیلترینگ است. این نوع برنامهها، وجود کلید واژههای خاصی را در خط موضوع پیام، بررسی و در صورت شناسائی آنان، نامه الکترونیکی مورد نظر را حذف مینماید. برنامههای فیلترینگ، کلید واژههای مورد نظر را از نظر املایی شناسایی مینماید. برای املای یک کلید واژه، روشهای متعددی وجود داشته و در برخی موارد ممکن است فرآیند هجی کردن نتایج مطلوبی را به دنبال نداشته و باعث حذف نادرست نامههایی گردد که تمایل به دریافت آنان را داشته باشیم.
برخی از برنامههای فیلترینگ پیشرفته، نظیر heuristic و یا بِیشِن، با استفاده از روشهای متعدد آماری (مانند فیلترینگ اسپم بیزی) اقدام به شناسائی هرز نامه بر اساس الگوهایی خاص مینمایند. سازمانهای متعددی اقدام به انتشار لیست آدرسهای آیپی استفاده شده توسط ارسالکنندگان نامههای الکترونیکی ناخواسته، مینمایند. هر اسپمر بزرگ، قطعاً دارای مجموعهای از ماشینهای سرویسدهندهاست که اقدام به ارسال پیامهای جفنگ نموده و هر ماشین نیز دارای آدرس IP اختصاصی مربوط به خود است. پس از تشخیص هرز نامه از طریق آدرس IP آن، آدرس فوق به لیست سیاه اضافه میگردد.
هاروستر یکی از مراکزی است که چنین لیستهایی را ایجاد و بطور دائم آنان را به روز مینماید. شرکتهایی که صورت حساب پست الکترونیکی را هاست مینمایند، میتوانند با بررسی آدرس آیپی فرستنده و مقایسه آن با لیست سیاه ارائه شده، آن را فیلتر و بلاک نمایند. ارسالکنندگان نامههای الکترونیکی نیز در این زمینه ساکت ننشسته و در این رابطه از رویکردهای متعددی استفاده مینمایند.
تغییر متناوب آدرسهای آیپی با توجه به وجود اینگونه آدرسهای آیپی در لیست سیاه، در صورتی که آدرسهای فوق در اختیار سازمانها و یا موسساتی دیگر قرار گیرد، عملاً برای استفادهکنندگان غیرقابل استفاده بوده و آنان نمیتوانند از چنین آدرسهایی برای ارسال نامههای الکترونیکی واقعی، استفاده نمایند.
استفاده از توان سایر کامپیوترهایی که به آنان شکی وجود ندارد
ارسالکنندگان هرزنامه، با استفاده از تکنیکهای خاصی از بین کامپیوترهای مطمئن موجود در شبکه که به آنان سو ظنی وجود ندارد، اصطلاحاً یارگیری نموده و از آنان برای ارسال ایمیلهای ناخواسته، استفاده مینمایند. در چنین مواردی عملاً ماشین مورد نظر در اختیار ارسالکنندگان هرز نامه، قرار خواهد گرفت. از طرفی چون آدرسهای IP این نوع از ماشینها جدید بوده و در لیست سیاه آدرسهای آیپی قرار ندارند، امکان ارسال میلیونها پیام الکترونیکی با استفاده از آنان فراهم میگردد (قبل از این که شناسایی و در لیست سیاه قرار گیرند).
دیگر راه ها
از دیگر راهکارهای مقابله با هرزنامه ها، میتوان به تدوین مجموعه قوانین مناسب برای برخورد با افراد و یا موسسات ارسال کننده این نوع نامههای الکترونیکی، تهیه یک لیست اختیاری برای افرادی که تمایل به دریافت اسپم را دارند و استفاده از گزینههایی نظیر فرمهای آنلاین در مقابل ایمیل، اشاره نمود.
با توجه به حجم نامههای ارسالی ناخواسته و غیر قابل کنترل بودن آن، میبایست تغییرات عمدهای در سرویسدهندگان پست الکترونیکی سنتی ایجاد و آنان خود را مجهز به تکنولوژیهای پیشرفتهای به منظور ایمن سازی سرویس دهنده، نمایند. هم اینک موضوع مقابله با هرز نامه در دستور کار شرکتهای عظیم تولیدکننده نرمافزار (سرویسدهندگان پست الکترونیکی)، سختافزار و امنیت اطلاعات قرار گرفته و تمامی آنان در تلاش برای ایجاد روشها و تکنیکهایی خاص برای مقابله با اسپم میباشند.
روشهایی برای کاهش هرز نامه ها
با درنظر گرفتن برخی نکات تعداد اسپمها را میتوان کاهش دهد.
اسپمها ارتباط مستقیمی با ویروسها نداشته و حتی ممکن است ایمیلهایی که از منابع معتبر ارسال شدهاند نیز در زمره این گروه قرار گیرند. با رعایت موارد زیر میتوان تعداد اسپمهای دریافتی در ایمیل را کاهش داد:
قبل از ارسال آدرس ایمیل به صورت آنلاین، باید به دنبال قوانین و حریم خصوصی یک سایت مورد نظر گشت. سایتهای شناخته شده دارای یک لینک خاص بر روی سایت خود به منظور آشنائی کاربران با سیاستهای آن سایت در خصوص نحوه برخورد با اطلاعات ارسالی میباشند. میبایست قبل از ارسال آدرس ایمیل خود یا سایر اطلاعات شخصی، آن را مطالعه نمود واز این که مالکین و یا مسئولین سایت قصد انجام چه کاری را با اطلاعات ارسالی دارند آگاه شد.
هنگامیکه برای دریافت خدمات و یا صورت حساب جدید عملیات وارد شدن انجام میشود، ممکن است برخی گزینهها به صورت پیشفرض انتخاب شده باشند که در خصوص محصولات و یا سرویسهای جدید به آن آدرس ایمیل ارسال شود. بنابراین در صورتی که آنان به همان وضعیت باقی بمانند، به زودی حجم زیادی از نامههای الکترونیکی دور از انتظار، ارسال خواهد شد.
باید قابلیت فیلترینگ برنامهها و سرویسهای پست الکترونیکی را شناسایی و به کار برد. دربسیاری موارد میتوان آدرس یا دامنههای ناخواسته را بلوک کرد.
هرگز بر روی لینکهای موجود در یک هرز نامه نباید کلیک کرد. برخی از منابع ارسالکننده با ارسال آدرسهای ایمیل متغیر در یک دومین خاص مثل یاهو یا هاتمیل، سعی در تشخیص معتبر بودن یک آدرس ایمیل مینمایند. با کلیک لینک ارسالی توسط یک هرز نامه، صرفاً معتبر بودن آدرس ایمیل به اطلاع آنان رسانده شده است. گزینه «عدم عضویت» نیز روش دیگری به منظور جمعآوری آدرسهای ایمیل معتبر است.
باید مراقب ایمیلها با فرمت اچتیامال نیز بود. بسیاری از شرکتها این ایمیلها را همراه با یک فایل گرافیکی لینک شده ارسال مینمایند. زمانی که برنامه سرویسگیرنده ایمیل، اقدام به دانلود گرافیک مینماید، آنان میدانند که ایمیل باز شدهاست. با غیر فعال نمودن گزینه دریافت اتوماتیک گرافیک در ایمیل و مشاهده ایمیلها با فرمت صرفاً متن، میتوان پیشگیری لازم در خصوص این مسئله را انجام داد.
مبارزه علیه هرز نامه یا اسپم
در نخستین روزهای حیات اینترنت، رفتار اجتماعی به شکلی دوستانه با عنوان اخلاق شبکه، راهبری و هدایت میشد. اصول اخلاقی شبکه بیشتر، از رویههای دوستانه مورد استفادهٔ سرویسدهندگان سرچشمه میگیرد. این رویهها به عنوان توافقی بین سرورها و کاربران مطرح است و تعیین میکند که هنگام استفاده از اینترنت، چه مواردی پذیرفتنی و چه مواردی غیرقابل پذیرش و نامطلوب است. این رویهها همچنین به وسیلهٔ محدودیتهای فنی که پروتکل اینترنت ایجاد میکند، به گونهای موثرتر عمل میکنند.
با گذشت زمان، این رویههای معمول به موضوعاتی شناخته شده در اینترنت تبدیل شدهاند. بدین صورت که از طرفی سرویسدهندگان شبکه یک توافق ضمنی را شکل میدهند و دنباله رو استانداردهای یکسانی هستند و از طرف دیگر، کاربران اینترنت خود را مقید کردهاند به اصول اخلاقی شبکه با رضایت تن دهند. هرگونه تخلف آشکار در اینترنت خشم کاربران را برمیانگیزد و مجازاتهایی از انواع مختلف، از جمله توبیخ رسمی یا جلوگیری از دسترسی به شبکه را برای متخلفان دربردارد. همچنین برخی اوقات سرویسدهندگان شبکه به علت ناتوانی در جلب رفتارهای مناسب، مورد توبیخ و سرزنش قرارگرفتهاند.
این عدالت هوشیار کاربران جدید را وادار میکند تا به اصول اخلاقی موجود توجه کنند. در همین راستا، نظریهپردازان اظهار میدارند که این اصول اخلاقی همانند حقوق عرفی وزنههایی مطرح و بااعتبار هستند. اما از زمانی که اینترنت از یک شبکه دانشگاهی و علمی-تحقیقی، به ابزاری تجاری تبدیل شدهاست، مفاهیم دچار تغییر و تحول شدهاند. به دنبال آن بسیاری از کاربران غیرفنی با جهل نسبت به این اصول، شروع به استفاده از اینترنت کردند. در همین زمان، جنبههای تجاری و تبلیغاتی، به عنوان بخشی از خدمات اینترنت، نمود پیدا کردند و کاربران بیشتر وارد مفاهیم تجاری شدند و از آن پس بود که اسپمرهای تجاری شروع به کارکردهاند.
هرزنامهٔ وکلای آمریکایی «کانتروسیگل» از اولین و معروفترین هرزنامههاست. در سال ۱۹۹۳ آنها آگهی «کاست سبز» یکسانی را برای گروههای خبری که پیشتر شناسایی کرده بودند، فرستادند و گرچه در این راه از دیگران پیشی گرفتهاند، با این اقدام، خود را در معرض دریافت پاسخهای خشمگین و غضبآلود قرار دادند. بدین شکل که، کاربران با ارسال نامههای الترونیکی متعدد، به آنها در صدد تلافی برآمدند و باعث شدند، که صندوق پستی آنها و سرور شبکه لبریز شود.
سایر هکرهای خشمگین نیز سعی کردند با هک کردن سرورها به آنها لطمه بزند و در نهایت یک هکر خلاق و با هوش، به طور خودکار «کنسل بوت» را برای پاک کردن هریک از کپی پیامهای تخلفآمیز در گروههای خبری، طراحی و ایجاد کرد. قضیه «کانتروسی گل» به خوبی نشان داد که قوانین لازم الاجرای زیادی وجود دارد که در آن بدون وجود دادگاه، داور، دادستان و مدعیالعموم و در عوض با حضور کاربران، قانون به اجرا در خواهد آمد. قانونی که مجازاتهای گوناگون و فراوان دربردارد و زیر عنوان قانون توده یا قانون هوشمند اعمال میشود. البته باید توجه داشت که امروزه اسپمرها، هوشمندتر عمل میکنند، به گونهای که ایمیل را جعل میکنند، نامههای مشکوک را به سرورها نسبت میدهند و زمینههای برگشت به آدرسهای غلط را فراهم میآورند. این پدیده به مشکلات اینترنتی و به ویژه سرورها بیشتر دامن میزند.
هماکنون نمونههای زیادی از مجبور ساختن سرویسدهندگان برای استفاده از دامنهها و حوزههای جعلی وجود دارد. چه آنها با تهدیداتی همچون: خاموش کردن کامپیوتر، فرورفتن در باتلاق نامههای الکترونیکی برگشتی به فرستنده و پس فرستادن نامههای نفرتانگیز روبهرو شدهاند.
روش های تکنیکی جهت غلبه بر مشکلات هرز نامه
از زمان فرستادن اولین هرزنامه، سرورهای شبکه و کاربران اینترنت، روشهای تکنیکی مختلفی جهت غلبه بر مشکلات هرزنامه، تدارک دیدهاند. از جمله:
فیلتردار کردن نامههایی که فرستاده میشود، بلوکه کردن هرزنامهها و نامههایی که از سوی سرورها فرستاده میشود
بلوکه کردن هرزنامههای ناخواسته گروههای خبری که برای ورود به سرورها فرستاده میشود و بلوکه کردن آیپی ارتباطی از سایتهای دارای هرزنامه.
یکی از ارایهدهندگان خدمات پست الکترونیکی سعی کردهاند هرزنامه های خود را برای اهداف تحقیقاتی، مجوزدار کنند[۶]. استدلال آنها بر این اساس است که با استفاده از این نوع هرزنامهها، زمان آموزش متقاضیان کمتر میشود، سرورها محو میشوند و در فضایی که اسناد اسپمرها در آنها ذخیره میشود، صرفهجویی میشود.
در هرحال، آنها تاکنون در دستیابی به هدف خود موفق نبودهاند. از منظر قانونی تا به حال تعدادی از عرضهکنندگان خدمات پستهای الکترونیکی با طرح دعوا، اسپمرها را به محکمه کشاندهاند. از دیدگاه خدماتدهنده اینترنت ارسال نامههای تجاری ناخواسته بعد از درخواستهای مکرر آنها و اخطار به توقف این عمل، تجاوز به داشتههای آنها قلمداد میشود. این استدلال در دادگاه مورد پذیرش و تایید قرار گرفتهاست. سایر استدلالها برای طرح دعوا بر این اساس است که اسپمرها با فرستادن اسپم، در واقع قرارداد خود را با خدماتدهندههای اینترنت نقض کردهاند.
همچنین اسپمهای آنها، کاربران اینترنت را به اعمال تلافیجویانه واداشتهاند که منجر به تعطیلی خدماتدهندههای اینترنت شدهاست. افزون بر این، جعل کردن آدرسها و برگرداندن آنها به آدرسهای برگشتی باعث از بین رفتن شهرت و اعتبار بازرگانان شدهاست. بنابراین اقامهٔ دعوا به استناد نقض حقوق علامت تجارتیِ گمراه کننده، نیز تا حدودی پذیرفتنی است. فرستادن اسپم در محاکم ایالات متحده، به عنوان یک فعالیت غیرقابلقبول شناخته شدهاست و دادگاهها مجازاتهایی را علیه هرزنامهنویسان که نامههای تجاری ناخواسته را به برخی سایتها فرستادهاند، مقرر نمودهاند. همچنین به تازگی یک دادگاه کانادایی عمل ارسال هرزنامهها را به عنوان اقدامی علیه اصول اخلاقی شبکه، شناسایی کرده و موقعیت خدماتدهندههای اینترنت را در مقابل هرزنامهها تقویت نمودهاست.
قانونمند کردن اسپم
بسیاری از کشورها، قوانینی را برای قانونمند کردن اسپم وضع کردهاند و یا در حال تدوین آن هستند. به عنوان نمونه، بسیاری از ایالات کشور آمریکا، مجوزهایی برای این کار ایجاد کردهاند. در اتحادیهٔ اروپا نیز شورا و پارلمان اروپا، دستورالعملهای مناسبی در این زمینه ارایه کردهاند. خوشبختانه هم اکنون ایران نیز به فکر تصویب قانونی برای مقابله با پیامهای ناخواسته افتادهاست. به گفته یکی از مسئولان، پیش نویس لایحه «مدیریت پیامهای ناخواسته الکترونیکی» نهایی و به هیئت دولت ارسال شدهاست. وی در خصوص تعریف اسپم در این لایحه گفت: هرگونه پیامی که بدون رضایت دریافت کننده و بدون وجود رابطه میان دریافتکننده و ارسال کننده از طریق سیستمهای پست الکترونیکی (ایمیل)و پیام کوتاه برای اشخاص ارسال شود، هرزنامه خوانده میشود. براساس پیش نویس لایحه اسپم کمیتههای تحت عنوان «کمیته مدیریت پیامهای ناخواسته الکترونیکی» تشکیل خواهد شد که موارد مربوط به انتشار اسپم را هدایت و مدیریت خواهد کرد. نمایندگان وزارتخانههای ارتباطات و فناوری اطلاعات، بازرگانی، امور اقتصادی و دارایی، فرهنگ و ارشاد اسلامی و سازمان مدیریت و برنامه ریزی کشور، افراد تشکیل دهنده این کمیته خواهند بود. با توجه به این پیشنویس، ارسال پیامهای ناخواسته برای کاربران ممنوع بوده و جرم تلقی خواهد شد. بر همین اساس، ارسال عمومی پیام ناخواسته الکترونیکی جزای نقدی داشته و در صورت تکرار، این مبلغ چند برابر خواهد شد. در صورتیکه به واسطه ارسال پیامهای تکراری و بیهوده از سوی افراد، به شبکههای ارائه دهنده خدمات و یا سیستمهای پپام رسان الکترونیکی، خسارتی وارد شود، مجرم باید علاوه بر پرداخت جریمه نقدی، کلیه خسارات وارده را نیز جبران کند.
[ratings]
به این نوشته امتیاز دهید
[Total: 7 Average: 4.6]
در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343
omid.ahmadyani@outlook.com
موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی
● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت
● کشف ضعف تزریق SQL + اعمال Blind SQL Injection
● کشف ضعف های تزریق اسکریپت (XSS)
● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)
● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری
اگر در دوران قدیم دست نیافتنی ترین دژهای نظامی به سادگی توسط عامل انسانی ( یک سرباز ساده لوح یا فریب خورده ، خائن ) سقوط می کردند، امروزه نیز شبکه ها و وب سایتهایی که در ظاهر از قدرتمند ترین سیستم های حفاظتی نظیر آنتی ویروسها و دیوارهای آتش بهره می برند نیز کماکان در معرض این خطر بالقوه قرار دارند. در این مقاله برخی روشهای رفع این مشکل امنیتی را مرور خواهیم کرد.
فرهنگ امنیت
– امنیت را طی گامهای زیر به عنوان یک فرهنگ در سازمان خود تعمیق کنید و به کاربران بیامورید که حیاتی ترین قسمت ساختار امنیتی سازمان هستند. در طی این گامها: الف- ایجاد آگاهی از وجود، وقوعو گستردگی حملات امنیتی ب- فراهم نمودن ابزارهای مناسب برای مقابله پ- برقراری ارتباط دوطرفه میان کارکنان و سوول امنیت شبکه
ایمن سازی
– به همکارانتان بیاموزید هرگز از رمزهای کوتاه، کلمات قابل حدس نظیر نام و شماره تلفن، تاریخ تولد، کد ملی و شماره شناسنامه و همین طور کلمات موجود در لغتنامه ها استفاده نکرده و در دوره های زمانی مشخص اقدام به تغییر رمز کنند.
– نمونه هایی از رمزهای قوی را که شامل حرف، عدد و علامت و به قدرکافی طولانی اند را به همکاران معرفی کنید.
-با فرض آگاه بودن همکاران از ندادن گذرواژه ها به دیگران و نگهداری صحیح از رمز و نامهای کاربردی، آموزش را فراموش نکنید. حتی پرسنل واحد IT هم از قلم نیاندازید.
پیشگیری
– همیشه به نامه های الکترونیکی، تماس های تلفنی و ملاقات های نا خواسته که عموما طی آنها اطلاعات و … درخواست می شوند، مشکوک باشید.
-هیچ گاه اطلاعات شخصی/ سازمانی از قبیل ساختار و شبکه را در اختیار دیگران قرار ندهید، مگر پس از حصول اطینان از وجود مجوز های لازم.
– اطلاعات و داده ای شخصی و مالی خود را هرگز از طریق ایمیل بازگو و ارسال نکنید. هیچ وقت به ایمیل های ناخواسته که درآنها این قبیل اطلاعات درخواست شده اند پاسخ نداده و به لینک های موجود در این نوع ایمیل ها توجه نکنید.
-تا پیش از اطمینان درباره سیاستهای حریم خصوصی (Private Policy) یک سایت، اطلاعات حساس شخصی/سازمانی را اعلام نکنید.
– آدرس URL را همیشه در نظر داشته باشید، چرا که سایتهای مخرب می توانند با اعمال تغییراتی ناچیز که به چشم نمی آیند، سایهای جعلی و ساختگی خود را به جای سایت معبر مد نظر شما معرفی می کنند. پس به تفاوت در حروف نام سایت و پسوند آنها بیشتر دقت کنید.
– در صورتی که اعتبار ایمیلی برای شما محرز نشده، با برقراری تماس تلفنی با سازمان/فرد مربوطه از اصالت آن اطمینان حاصل کنید.
امنیت در شبکه داخلی
– روالی برای تبادل گذرواژه تعیین نمایید.
– به پرسنل آموزش دهید هنگام ترک کامپیوتر، از سیستم عامل log off کرده و از محافظ صفحه مجهز به کلمه عبور (screen saver) استفاده کنند.
– روالی برای احراز هویت کاربران جدید، مهمان و بیگانه که وارد شرکت می شوند، در نظر گرفته و اعمال کنید.
– به صورت دوره ای موارد امنیتی، مثال هایی از درز اطلاعات و حملات سایبری را برای پرسنل مرور کنید.
– روالی برای ثبت تلاش های صورت گرفته برای نفوذ (در سازمان خود) ایجاد نمایید.
– کارمندان و پرسنلی که تماس مستقیم با امراجعه کننده دارند را به خوبی توجیه کنید: منشی ها، نگهبان ها، پرسنل خدماتی و …
– داده ها و اطلاعات را بررسی و طبقه بندی کرده و داده های محرمانه را پیش از دور ریختن امحا کنید.
– طرز کار و نحوه به روز رسانی anti virus نصب شده در سیستم های شبکه را به کارکنان آموزش دهید.
– نحوه ورود و خروج داده به سازمان را مدون کنید و حافظه های قابل حمل نظیر دیسک های فلش، خارجی (external) و … را مدیریت و پایش کنید.
در پایان به یاد داشته باشید شرکتهای فراوانی هستند که هزینه هنگفتی برای امنیت شبکه در نظر می گیرند اما کماکان تمحیدی برای حفره امنیتی بالقوه، یعنی فاکتور انسانی نیاندیشیده اند!
[ratings]
به این نوشته امتیاز دهید
[Total: 0 Average: 0]
در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343
omid.ahmadyani@outlook.com
موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی
● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت
● کشف ضعف تزریق SQL + اعمال Blind SQL Injection
● کشف ضعف های تزریق اسکریپت (XSS)
● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)
● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری
این نوشتار به معرفی و ذکر تاریخچه MS-SQL Server 2008 پرداخته و در ادامه به ترفندها و راهکارهای جالب در این نرم افزار می پردازد.
امروزه برای مدیریت اطلاعات در سطح وسیع اعم از حسابداری ، فروش ، بایگانی خبر ، انجمنها و … نیاز به یک سیستم مدیریت بانک اطلاعات خواهید داشت.بعنوان فردی که در زمینه IT فعالیت می کنید ، اطلاع از انواع سیستم های مدیریت اطلاعات ، نقاط ضعف و قدرت هر یک اجتناب ناپذیر است. انتخاب غلط سیستم مدیریت داده ها می تواند ضررهای جبران ناپذیری را بجا بگذارند. دانستن تفاوتهای MS-SQl و My-SQL ، اوراکل و MS-SQL و … از جمله مواردی است که باید بصورت پیشفرض از آن آگاه باشید. باتوجه به فراگیر شدن محصولات مایکروسافت ، شاید پاسخ به این پرسش که چرا باید SQL-Server را انتخاب کنیم ، آسان شود. رایج بودن و عمومیت ، پایین بودن قیمت در برخی از نسخه های حرفه ای آن نسبت به سیستمهای اطلاعات دیگر، می تواند یکی از دلایل انتخاب MS-SQl باشد. استفاده از بانک های اطلاعاتی مانند اوراکل نیز علاوه برای کارایی های زیاد آن ، قیمت بالا و داشتن پیچیدگی های خاص خود باعث کاهش رتبه علاقه مندی در سالهای اخیر گشته است.
در اصل SQL (زبان ساختاریافته جستار Structured Query Language) یک زبان برنامه نویسی برای سیستم مدیریت داده های مرتبط RDBMS (Relational Database Management Systems) می باشد. در دهه ۱۹۷۰ اصطلاح اختصار «جستار به زبان انگلیسی ساختاریافته (SEQUEL)» یا سیکوئل به آن اطلاق می شد که به دلیل انحصار تجاری این نام تحت اختیار یک شرکت هواپیمایی، به اس-کیو-ال (SQL) تغییر نام پیدا کرد.
ذر ویرایش های ۲۰۰۰ و ۲۰۰۵ با پشتیبانی از XML ، براحتی در وب سرورها بکار برده می شود. ویرایش SQL Server 2008 (با نام پروژه کاتمای) در آگوست ۲۰۰۸ ارائه شد. امکان جستجوی متنی کامل و نوع جدید داده های جغرافیایی به آن افزوده شده است.
در ادامه راجع به ترفندها و مطالبی که باید راجع به این سیستم مدیریت بدانید بطور مفصل بحث شده است. مواردی که در این نوشتار مورد بحث قرار می گیرند عبارتند از :
معرفی دیتابیس MS-SQL Server 2008 و تفاوت آن با ورژن های قبلی
تفاوت MS-SQL Server 2008 با دیگر دیتابیس ها
مطالب کاربردی
ترفندهای کاهش حجم
ترفندهای افزایش سرعت
تبدیل دیتابیس در نسخه های مختلف
ترفندهای Management Studio
امنیت
خطاها
معرفی MS-SQL Server 2008 و تفاوت آن با ورژن های قبلی
ویرایش SQL Server 2008 (با نام پروژه کاتمای) در آگوست ۲۰۰۸ ارائه شد. امکان جستجوی متنی کامل و نوع جدید داده های جغرافیایی به آن افزوده شده است. ویرایش SQL Server 2008 R2 (با نام پروژه کیلیمانجارو) در آوریل سال ۲۰۱۰ ارائه گردید.امکاناتی نظیر PowerPivot برای Excel و SharePoint، Master Data Services، StreamInsight، Report Builder 3.0، Reporting Services Add-in جهت استفاده SharePoint، یک تابع Data-tier در Visual Studio (که امکان پکیج نمودن دیتابیسهای ردیف بندی شده برای یک نرم افزار کاربردی را فراهم می سازد) ، SQL Server Utility با نام UC (Utility Control Point) و AMSM (Application and Multi-Server Management) (مدیریت چند SQL Server ) به این نسخه اضافه گردیده است. در ادامه تمامی مطالب مربوط به ورژن های مختلف Ms-Sql Server 2008 ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.
تفاوت MS-SQL Server 2008 با دیگر دیتابیس ها
از رقبای جدی سیستم مدیریت اطلاعات MS-SQL می توان به اوراکل و MySql اشاره کرد. بسیاری از مدیران IT اوراکل را به عنوان یک رهبر تجاری در دنیای پایگاه داده تلقی می کنند و این نرم افزار از طرفداران خاص خود برخوردار است. این موضوع که اوراکل محصولی بسیار عالی در زمینه مدیریت اطلاعات می باشد ، یک موضوع غیر قابل انکار است. در مقابل این نکته را نیز باید متذکر شویم که نصب و راه اندازی این نوع پایگاه داده به مراتب پیچیده تر و هزینه برتر نسبت به MS-SQL می باشد. اوراکل برای شرکت های بزرگی که حجم اطلاعات بسیار بالا و بانک اطلاعات جامع دارند مناسب است. از جمله مزیت های اوراکل می توان به مقیاس پذیری و کارایی بالای آن اشاره کرد . ابزارهای مورد نیاز در برنامه نویسی و پشتیبانی از پایگاه داده حجیم براحتی به آن اضافه می شود. برای نصب برروی سرور برخلاف MS-SQL نیازی به نصب دات نت فریم ورک نخواهید داشت. اما با قابلیت های جدید MS-SQL 2008 اوراکل بعنوان غول پایگاه داده از گردونه رقابت خارج گشته است. این نکته را مد نظر داشته باشید که با نصب نگارش اصلی SQL Server 2008 تمام ابزارهای لازم برای مدیریت و تحلیل داده در اختیار شماست.بعنوان مثال تمام تبدیل ها در دیتابیس های مختلف به MS-SQL را می توانید براحتی انجام دهید. در ادامه تمامی مطالب مربوط به تفاوتهای Ms-Sql Server 2008 با دیگر دیتابیس ها ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.
مطالب کاربردی
دانستن نکات کلیدی برای طراحی و پشتیبانی داده ها کمک بسیار شایانی در مدیریت پایگاه داده می کند. آگاهی از این موضوع که در آینده پایگاه داده شما به چه مواردی نیاز خواهد داشت ، چطور یک پایگاه داده بهینه طراحی کنید؟ به عبارت دیگر هنگام ایجاد یک پایگاه داده آینده نگری داشته و نیاز های پیشرو را تا حدودی پیش بینی نمایید. در ادامه برخی مطالب کاربردی در زمینه ایجاد دیتابیس ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.
ترفندهای کاهش حجم
یکی از روشهای بهینه سازی حجم پایگاه داده و فشرده سازی آن، استفاده از نرم افزارهای ثالثی است که توسط شرکت های مختلف ارائه می گردد. این قبیل نرم افزارها می توانند جایگزینی برای قابلیت فشرده سازی دیتابیس که در SQL Server 2008 تعبیه شده، باشند و از آن جایی که این قابلیت در نسخه استاندارد وجود ندارد و نسخه های Enterprise و بالاتر از آن بهره مند هستند، ابزاری کارآمد برای کاربران پایگاه داده MsSQL به شمار می رود. اهمیت کاهش حجم دیتابیس در سرویس های میزبانی وب به شدت مشهود است. در این سرویس ها بدلیل اشتراکی بودن فضای هاست ، شرکت ها سیاستهای مختلفی را برای استفاده بهینه از فضای ارائه شده وضع می نمایند. در ادامه تمامی مطالب مربوط به ترفندهای کاهش حجم در MS-SQL 2008 ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.
ترفندهای افزایش سرعت
برای افزایش سرعت دیتابیس نیازی به صرف هزینه های هنگفت نمی باشد. تنها با چند راهکار ساده می توانید سرعت آن را افزایش دهید. پرهیز از استفاده از تریگرها ، بهره گیری از تراکنش های کوتاه ، اجرای توسعه برروی نسخه کپی دیتابیس و … از جمله راهکارهای کم هزینه برای بهینه سازی سرعت دیتابیس می باشد. در ادامه ترفندهایی برای افزایش سرعت دیتابیس های MS-SQL ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.
تبدیل دیتابیس در نسخه های مختلف MS-SQL Server 2008
از جمله مشکلاتی که مدیران IT بعضا با آن مواجه می شوند ، تبدیل دیتابیس ها در ورژن های مختلف MS-SQL می باشد. بعنوان مثال شما در سیستم لوکال از نرم افزار MS-SQL Express استفاده می نماید و بنا به دلایلی می خواهید از آن برروی هاست خود نیز استفاده نمایید. از آنجاییکه اکثر شرکت های هاستینگ از نسخه Enterprise استفاده می کنند ، لذا تفاوت ورژن ها برای شما درد سر ساز خواهدشد. در اینجا راجع به تبدیل تمامی دیتابیس ها به یکدیگر بلاخص MS-SQL راه کارهای مناسبی ارائه شده است . در ادامه برخی مطالب کاربردی در زمینه تبدیل دیتابیس ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.
ترفندهای Management Studio
نرم افزار Microsoft SQL Server 2008 Management Studio و یا به اختصار (SSMS) یک محیط یکپارچه برای مدیریت، اعمال تنظیمات، دسترسی و طراحی انواع قسمت های SQL Server می باشد. این نرم افزار با ترکیب ابزارها و محیط گرافیکی با تعداد زیادی از ویرایشگرهای Script، امکان دسترسی، طراحی و مدیریت دیتابیس های SQL Server برای تمامی طیف های افراد مبتدی و حرفه ای را فراهم می نماید. طراحان دیتابیس با استفاده از نرم افزار Management Studio با تجربه جدید با بهره گیری انواع ابزارهای گرافیکی آشنا خواهند شد، و همچنین مدیران دیتابیس نیز با استفاده از ابزارهای یکپارچه و جامع گرافیکی و قابلیت های غنی اسکریپتی می توانند به راحتی به مدیریت دیتابیس بپردازند. در ادامه برخی مطالب در زمینه ترفندهای Management Studio ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.
امنیت
بانک های اطلاعاتی SQL Server 2005 ,SQL Server 2008 رمزنگاری را برای حفاظت از داده ها در مقابل حمله ی هکرها ارائه میدهند. هکرها ممکن است توانایی نفوذ به پایگاه داده ها یه جداول را داشته باشند , اما با رمزنگاری داده ها آنها قدرت تشخیص و یا استفاده از آن را نخواهند داشت. امروزه رمزنگاری روی داده های حساس که در پایگاه داده ذخیره میشوند و همچنین در زمان انتقال در سراسر شبکه بین client وserver بسیار مهم و ضروری است. سلسله مراتب رمزنگاری بر اساس ۳ مرحله امنیتی مشخص می شود و هرکدام از این ۳ مرحله مکانیزم متفاوتی را برای ایمن ساختن انتقال داده بین شبکه های خارجی و محلی ، انجام میدهند و این سطوح مختلف سلسله مراتب ، اجازه میدهد سرویس های متعددی از (SQL Server)بر روی یک سرور فیزیکی اجرا شوند. در ادامه برخی مطالب در زمینه امنیت پایگاه داده، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.
خطاها
خطاهای مختلف هنگام اتصال به دیتابیس جز مواردی هستند که اغلب اوقات برنامه نویسان را دچار مشکل می کنند. دانستن و آگاهی راجع به راهکار حل این خطاها زمان را برای شما ضبط کرده و با خیالی آسوده به مدیریت پایگاه داده می پردازید. در ادامه برخی مطالب در زمینه خطاهای رایج، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.
به این نوشته امتیاز دهید
[Total: 0 Average: 0]
در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343
omid.ahmadyani@outlook.com
موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی
● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت
● کشف ضعف تزریق SQL + اعمال Blind SQL Injection
● کشف ضعف های تزریق اسکریپت (XSS)
● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)
● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری
استفاده از BitLocker یا (BitLocker Drive Encryption) کمک می کند تا از کلیه فایلهای ذخیره شده بر روی درایوی که ویندوز بر روی آن نصب شده است، یا بر روی درایوهای دیتای موجود بر روی همان کامپیوتر محافظت کند.
استفاده از BitLocker
برخلاف فایل سیستم رمز گذاری شده (EFS) که به شما امکان رمز گذاری فایلهای شخصی را می دهد، نرم افزار BitLocker کل درایو، شامل فایلهای سیستمی ویندوز مورد نیاز برای استارت آپ و لاگین کردن را رمزگذاری می نماید. شما می توانید به صورت عادی لاگین نمایید و با فایلهای خود کار کنید. اما BitLocker می تواند کمک نماید تا جلوی هکرها را در دسترسی به فایلهای سیستمی بگیرد که در پیدا کردن پسورد شما از آنها استفاده می کنند. همچنین امکان سوء استفاده و مشاهده فایلها توسط برداشتن هارد دیسک شما از روی کامپیوترتان و نصب آن بر روی کامپیوتری دیگر را می گیرد. نرم افزار BitLocker تنها می تواند فایلهایی که بر روی درایو ویندوز و دیگر درایو های دیتای یک کامپیوتر قرار دارند را محافظت کند. اگر قصد رمز گذاری یک درایو دیتا را دارید، لازم است که درایو ویندوز را نیز رمزگذاری نمایید. چرا که کلید درایو دیتا بر روی درایو ویندوز ذخیره شده است. همچنین می توانید فایلها و فولدرهای موجود بر روی یک درایو رمزگذاری شده توسط BitLocker را برای امنیت بیشتر بر روی یک کامپیوتر اشتراکی مجددا رمزگذاری نمایید.
هنگامی که فایلهای جدید به درایوی که با BitLocker قفل شده است منتقل شوند، BitLocker آنها را به صورت خودکار رمزگذاری می کند. فایلها تنها تا زمانی که بر روی درایو رمزگذاری شده قرار دارند، رمزدار می مانند. فایلهایی که بر روی یک درایو بدون رمزگذاری و یا کامپیوتری دیگر کپی می شوند، از حالت رمزدار خارج می شوند. اگر فایلها با کاربران دیگر به اشتراک گذاشته شوند، تا زمانی که بر روی درایو رمزدار هستند، بصورت رمزدار می مانند، ولی توسط کاربران مجاز قابل استفاده هستند.
در حین استارت آپ کامپیوتر، اگر BitLocker وضعیتی را تشخیص دهد که بتواند یک ریسک امنیتی محسوب شود (برای مثال، خطای دیسکها، تغییری در بایوس، یا تغییری در فایلهای استارت آپ)، درایو را قفل می کند و برای خارج نمودن از حالت قفل شده نیاز به یک پسورد بازیابی BitLocker دارد. مطمئن شوید که در حین فعال نمودن BitLocker، پسورد بازیابی را ایجاد کرده اید؛ در غیر این صورت، ممکن است دسترسی به فایلهای خود را به کلی از دست بدهید.
نرم افزار BitLocker معمولا از چیپ (TPM (Trusted Platform Module بر روی کامپیوتر استفاده می کند تا کلیدهایی را که برای بازگشایی فایلهای رمزی بر روی هارددیسک استفاده می شوند، ذخیره کند. هنگامی که به کامپیوتر خود لاگین می کنید، BitLocker از TPM کلیدهای هارد دیسک را درخواست می کند و آن را باز می نماید. از آنجا که TPM کلیدها را فورا پس از ورود شما به سیستم در اختیار BitLocker قرار می دهد، امنیت کامپیوتر شما بستگی به اعتبار پسورد ورود شما دارد. اگر شما پسورد معتبری داشته باشید که از ورود کاربران غیرمجاز جلوگیری کند، هارد دیسک محافظت شده توسط BitLocker همچنان قفل می ماند.
می توان BitLocker را در هر زمان غیر فعال نمود؛ یکی به صورت موقت با غیر فعال نمودن آن و دیگری با رمز گشایی کامل درایو.
فعال نمودن BitLocker :
۱- از طریق Start Menu > Control Panel > Security > BitLocker Drive Encription ، آن را باز نمایید. اگر پسورد Administrator و یا تأییدیه آن درخواست شد، آن را وارد نمایید.
۲- بر روی Turn On BitLocker کلیک کنید. این کار ویزارد تنظیمات BitLocker را اجرا می نماید. مراحل را یک به یک انجام دهید.
غیرفعال نمودن BitLocker :
۱- از طریق Start Menu > Control Panel > Security > BitLocker Drive Encription ، آن را باز نمایید. اگر پسورد Administrator و یا تأییدیه آن درخواست شد، آن را وارد نمایید.
۲- بر روی Turn Off BitLocker کلیک کنید. این کار، کادر محاوره ای BitLocker Drive را اجرا می نماید.
۳- به منظور رمزگشایی درایو، بر روی Decrypt the volume کلیک نمایید. به منظور غیرفعال سازی موقت BitLocker ، بر روی Disable BitLocker Drive Encryption کلیک کنید.
مراحل انجام موارد بالا به صورت تصویری در زیر آمده است.
منبع:
مایکروسافت
به این نوشته امتیاز دهید
[Total: 0 Average: 0]
در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343
omid.ahmadyani@outlook.com
موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی
● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت
● کشف ضعف تزریق SQL + اعمال Blind SQL Injection
● کشف ضعف های تزریق اسکریپت (XSS)
● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)
● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری
در کامپیوتر و شبکه های کامپیوتری ، دلیل حمله می تواند از بین بردن ، عمومی کردن ، تغییر دادن ، غیرفعال کردن ، سرقت و یا به دست آوردن دسترسی و استفاده غیرمجاز از اطلاعات باشد.
نیروهای کاری مهندسی اینترنت حمله را بدین صورت تعریف می نمایند :
حمله به یک سیستم امنیتی ، ناشی از تهدید و یا عملی هوشمندانه است که به صورت عمدی جهت از سر راه برداشتن سرویس های امنیتی و نقض سیاست های امنیتی یک سیستم است.
۲. دولت ایالات متحده : US Government
در شماره ۴۰۰۹ راهنمای CNSS ، به تاریخ ۲۶ آوریل ۲۰۱۰ که توسط کمیته سیستم های امنیتی بین المللی ایالات متحده آمریکا انتشار یافته است ، حمله را بدین صورت تعریف می کند :
حمله هر نوع فعالیت مخربی است ، که تلاش به ایجاد اختلال و یا نابود کردن منابع اطلاعاتی سیستم نماید.
افزایش وابستگی جامعه به اطلاعات و شبکه های کامپیوتری منجر به وجود قوانین جدید حملات سایبری و جنگ سایبری شده است.
پدیده شناسی
یک حمله می تواند فعال و یا غیرفعال باشد.
در یک حمله فعال تلاش برای تغییر منابع سیستم و یا تأثیر بر فعالیت آن صورت می گیرد.
در یک حمله غیرفعال سعی بر یادگیری و یا استفاده از اطلاعات سیستم است ، اما تأثیری بر منابع سیستم نمی گذارد.
یک حمله می تواند از داخل و یا خارج از سازمان صورت گیرد.
یک حمله داخلی ، حمله ای است که توسط یک عامل در داخل محیط امنیتی آغاز می شود. به عنوان مثال عاملی که مجوز دسترسی به منابع سیستم دارد ، اما از آنها در مسیری غیر از مسیر تعریف شده استفاده می نماید.
یک حمله خارجی ، توسط یک کاربر غیر مجاز ، از محیط بیرونی آغاز می شود. در اینترنت محدوده مهاجمین خارجی شامل افراد مبتدی ، مجرمین سازمان یافته ، تروریست های بین المللی و دولت های مهاجم می شود.
واژه “حمله” با دیگر واژه های امنیتی ساده مرتبط است، که در شکل زیر نشان داده شده است :
انواع حمله
به طور معمول حملات از طرف افرادی با نیات بد صورت می گیرد. حملات Black Hatted از این دسته می باشند.
حملات می توانند بر اساس منشأ آنها طبقه بندی شوند. به عنوان مثال اگر حمله روی یک یا چندین کامپیوتر انجام شود ، حمله توزیع شده نامیده می شود.
در زیر لیستی از انواع حملات را مشاهده می نمایید :
۱- غیرفعال (Passive)
۱-۱ شبکه (Network)
۱-۱-۱ استراق سمع یا شنود (wiretapping)
۲-۱-۱ اسکن کردن پورت (Port scanner)
۲- فعال (Active)
۱-۲ ممانعت از حمله به سرویس (Denial-of-service attack)
۲-۲ اختلال (Spoofing)
۳-۲ شبکه (Network)
۱-۳-۲ Man in the middle
۲-۳-۲ مسمومیت ARP (ARP Poisoning)
۳-۳-۲ پینگ کردن فراوان (Ping Flood)
۴-۳-۲ پینگ کردن مرگبار (Ping of death)
۵-۳-۲ Smurf attack
۴-۲ میزبان (Host)
۱-۴-۲ سرریز بافر (Buffer Overflow)
۲-۴-۲ سرریز Heap (Heap Overflow)
۳-۴-۲ حمله در قالب رشته (Format String Attack)
منبع : wikipedia
به این نوشته امتیاز دهید
[Total: 0 Average: 0]
در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343
omid.ahmadyani@outlook.com
موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی
● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت
● کشف ضعف تزریق SQL + اعمال Blind SQL Injection
● کشف ضعف های تزریق اسکریپت (XSS)
● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)
● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری