وباکا

آموزش تخصصی برنامه نویسی وب
حساب کاربری

امنیت وب سرورها، تهدیدات و راه های مقابله

وب سرور برنامه‌ای است روی کامپیوترهای میزبانی وب (وب هاستینگ) نصب شده و فایل‌ها (معمولاً صفحات وب) را ذخیره می‌کند و این اطلاعات را به شیوه ای خاص از طریق شبکه یا اینترنت در اختیار کاربران قرار می‌دهد . یک وب سرور نیازمند سخت‌افزار و نرم‌افزار می‌باشد و امنیت وب سرورها از اهمیت بالایی برخوردار است . در ادامه به بررسی خطرات مربوط به وب سرورها و روش های مقابله با آنها می پردازیم.

آسیب پذیری وب سرور

وب سرورها برای نگهداری وب سایت ها استفاده شده،دسترسی به آنها از سرتاسر وب امکان پذیر است و در نتیجه امنیت وب سرورها از اهمیت بالایی برخوردار است . مهاجمین معمولاً اکسپلوییت های موجود در نرم افزارهای وب سرورها را به منظور نفوذ به کار می‌گیرند . خوب این آسیب‌پذیری ها چه هستند ؟ لیست برخی از آسیب‌پذیری های موجود در سروها در زیر مشاهده می‌کنید :

 تنظیمات پیش‌فرض سرورها : این تنظیمات پیش‌فرض نام کاربری و پسوردها را می‌توان به راحتی حدس زد و بکارگرفت . تنظیمات پیش‌فرض ممکن است اجازه انجام دستوراتی خاص بر روی وب سرورها به شما بدهند .

پیکربندی نادرست سیستم عامل ها و شبکه‌ها : برخی پیکربندی ها مثل اجازه به کاربران خاص به اجرای برخی دستورات بر روی سرور ممکن است دردسر ساز باشد .

باگ ها در سیستم عامل و امنیت وب سرورها : باگ ها به مرور در سیستم عامل ها و نرم افزارهای سرور کشف می‌شوند و سپس این باگ ها گزارش شده و توسط توسعه دهندگان رفع می‌گردند . قبل از رفع باگ ها ممکن است توسط هکرها کشف شوند و مورد بکارگیری و سواستفاده قرار گیرند .

نقص پالیسی های امنیتی : رویه های بروزرسانی نرم افزارهای آنتی ویروس و پچ سیستم عامل یا نرم‌افزار وب سرور می‌تواند موجب بکارگیری و نفوذ شود .

انواع حملات بر روی وب سرورها

حملات به وب سرورها می تواند به روش های زیر انجام شود:

حملات پیمایش پوشه(Directory traversal attacks) : این نوع از حملات باگ های موجود در وب سرور را به کار گرفته تا دسترسی غیرمجاز به فایل‌ها و پوشه هایی که در مسیر عمومی قرار ندارند را بکار بگیرند . زمانی که هکر دسترسی را بدست آورد می‌تواند اطلاعات حیاتی را دریافت کرده و دستورات دلخواه خود را بر روی وب سرور اجرا کند یا بدافزار نصب کند .

حملات رد سرویس (Denial of Service Attacks) :  با استفاده از این نوع حمله و سرور ممکن است از سرویس دهی خارج شود و سرویس دهی صورت نپذیرد .

سرقت سیستم نام دامنه (Domain Name System Hijacking)  : با استفاده از این نوع حمله اطلاعات دی آن اس به نقطه‌ای که هکر می‌خواهد تغییر یافته . در نتیجه همه ترافیکی که بایستی به سرور اصلی هدایت شود به سرور هکر هدایت می‌شود .

شنود  (Sniffing) : داده‌های رمزنگاری نشده بر روی شبکه ممکن است به منظور دسترسی بدون مجوز بکار گرفته شوند و شنود شوند .

فیشینگ  (Phishing) : این نوع حمله با ایجاد یک صفحه جعلی و هدایت کاربران به صفحه جعلی به منظور سرقت اطلاعات انجام می‌شود .

دیفیس (Defacement) : این نوع حمله معمولاً توسط هکرهای خرده پا صورت می‌گیرد . حملات دیفیس با استفاده از یکی از متدهای تزریق اسکیو ال یا دیگر متدهای حمله به منظور قرار دادن امضای هکر بر روی یکی از صفحات سایت به دلایل شخصی ، مذهبی و اعتقادی و یا حتی ضربه زدن به وجهه اجتماعی سایت هدف صورت می‌پذیرد .

روش های تامین امنیت وب سرورها

برای تامین امنیت وب سرورها می توان از روش های زیر استفاده کرد:

  • مدیریت پچ ها : شامل نصب پچ های امنیتی و بروزرسانی به صورت منظم می‌شود .
  • ایمن سازی نصب و پیکربندی سیستم عامل
  • ایمن سازی نصب و پیکربندی نرم افزارهای وب سرور
  • سیستم اسکن آسیب‌پذیری
  • نصب و بروزرسانی آنتی ویروس
  • نصب و بروزرسانی فایروال ها
  • غیرفعال سازی مدیریت ریموت
  • حساب‌های پیش‌فرض و حساب‌های استفاده نشده بایستی حذف شوند
  • پورت های پیش‌فرض مثل اف تی پی را بایستی به پورت های اختصاصی مثل پورت ۵۰۶۹ تغییر داد .

مهم‌تر از همه بروزرسانی اپلیکیشن سایت . اپلیکیشن های وب چه یک سیستم مدیریت محتوای وب متن باز مثل جوملا ، وردپرس ، دروپال و … باشد و چه یک اپلیکیشن اختصاصی ، نیاز به بروزرسانی و نصب جدیدترین پچ های امنیتی هستند . در صورتی که به هر دلیلی اپلیکیشن بروزرسانی نشود سایت شما با خطر نفوذ مواجه می‌شود . هر روزه باگ های امنیتی زیادی در اپلیکیشن های تحت وب کشف می‌شود و با وجود کشف باگ و ارایه پچ مشکل اصلی این است که اکثر سایت‌ها از بروزرسانی منظم سر باز زده و این امر در خانه را به روی آسیب ها باز می‌کند

آخرین نکته اینکه همیشه در حد نیاز برنامه و سرویس نصب کنید . یک نکته‌ای که اغلب توسط مدیران سرورها و مدیران وب سایت ها نادیده گرفته می‌شود . نصب سرویس های غیرضروری موازی است با مدیریت ، پیکربندی و پچ این سرویس ها . در نتیجه نصب سرویس های غیرضروری و فراوان در نهایت مساوی با عدم رسیدگی به أن و بازکردن راههای نفوذ می‌شود . این مورد درباره اپلیکیشن ها و افزونه ها نیز صحت دارد . نصب پلاگین ها و اپلیکیشن های غیر ضروری بر روی یک وبسایت نیاز را برای بروزرسانی دائم آن‌ها ایجاد کرده که اغلب این موضوع به دلیل کمبود وقت و عدم هزینه متولیان سایت‌ها نادیده گرفته می‌شود .

مطالب مرتبط

چگونه با استفاده از سی شارپ یک سرویس ویندوز ایجاد کنیم؟
ساخت رابط كاربر گرافيكي(gui) در نت بينز
آموزش ساخت یک برنامه وب پیش رونده(pwa)
استفاده از  JSON در برنامه نویسی اندروید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نوشته های مرتبط

ساخت برنامه وب موبایل: چه وقت، چرا و چگونه؟

آموزش کامل معماری وب سرویس های REST API

آموزش کامل کار با گیت (git)

استفاده از SoapUI برای تست وب سرویس های Soap و Rest

Express.js چیست و چه مزیت هایی دارد؟

معرفی پلتفرم Node.JS و ویژگی های آن

چگونه خودتان برنامه تلگرام بسازید؟

مقایسه فریم ورک های برنامه نویسی پی اچ پی

پزشکی از راه دور یا telemedicine چیست؟

چگونه فایلهای PDF را با پی اچ پی ایجاد کنیم؟

فهرست مطالب

وباکا

وباکا همان کدنویسان است که از سال 1395 آغاز به کار کرده و طی این سال ها مطالب و فیلم های آموزشی کاربردی و مفیدی را به جامعه طراحان و برنامه نویسان ارائه کرده است.

تماس با ما

آدرس: بیرجند، خیابان غفاری، پیروزی 9، پلاک 28

شماره تماس: 09151604068

پست الکترونیکی:

mohammadi.sm@gmail.com

شبکه های اجتماعی

Telegram Twitter Youtube Instagram

کلیه حقوق متعلق به آکادمی وب می باشد. کپی برداری از مطالب با ذکر منبع آزاد است.