هلیکس گیم
هلیکس گیم
خواندن ۵ دقیقه·۲ سال پیش

4 بخش آسیب‌پذیر وب‌سایت که همه درباره آن‌ها نمی‌دانند

وب سایت یک ساختار بزرگ و پیچیده است که از چندین لایه نرم افزاری و عناصر زیادی تشکیل شده است. هرچه اجزای یک سیستم بیشتر باشد، سطح احتمال حمله بیشتر است. گاهی اوقات حتی یک مدیر سیستم با تجربه ممکن است متوجه آسیب‌پذیری نشود، اما هکرها با ابزارهای حمله brute force خود فرصتی را برای انجام یک حمله از دست نمی‌دهند.

عواقب هک نقاط آسیب پذیر سایت به اهداف مهاجم و نتایجی که به دست می آورند بستگی دارد. یک هک موفقیت آمیز می تواند منجر به از دست دادن موقت کنترل بر دارایی و داده های شما شود.

بیایید نگاهی به 4 بخش آسیب‌پذیر که رایج است بیندازیم، نحوه برخورد با آنها، نحوه اتصال آنها به حملات DDoS و اینکه چرا داشتن حفاظت حرفه ای DDoS اولین گام مهم به سمت امنیت دارایی شما است.

1. حملات از طریق پلاگین های منسوخ یا Pirated Plugins

بیشترین حمله، سایت هایی هستند که با سازندگان وب سایت مانند وردپرس ایجاد شده اند: تا سال 2021، حدود 3000 حمله DDoS خودکار در هر ثانیه در این نوع وب سایت وجود داشته است.

بیشتر پلاگین‌های چنین سایت‌هایی مورد حمله قرار می‌گیرند و اجبار ساده رمز عبور را کنار می‌گذاریم. ممکن است تعداد زیادی افزونه در سایت هایی مانند وردپرس وجود داشته باشد و صاحبان آنها گاهی اوقات آنها را اصلاً به روز نمی کنند یا به ندرت این کار را انجام می دهند.

استفاده از CMS منسوخ، افزونه ها یا تم های مرورگر، سایت را در معرض خطر حمله ربات ها قرار می دهد. مهاجمان از روشی استفاده می‌کنند که آسیب‌پذیری‌ها را به‌طور خودکار در فهرست‌هایی که در دسترس عموم قرار می‌دهند، اعمال می‌کنند.

عواقب

ممکن است کنترل سایت خود را از دست بدهید، یا ممکن است تبدیل به یک بدافزار شود: برای مثال، هر بار که شخصی از سایت شما بازدید می کند، نرم افزار ویروس به طور خودکار شروع به دانلود می کند.

نحوه اجتناب

از آنجایی که به‌روزرسانی دستی هر افزونه و تم مرورگر می‌تواند بسیار زمان‌بر باشد، بهتر است به‌روزرسانی‌های خودکار منظم همه عناصر را تنظیم کنید.


2. تصاحب حساب

احراز هویت پیامکی روشی محبوب و راحت برای کاربر برای ورود بدون به خاطر سپردن و وارد کردن رمز عبور است. با این حال، اگر این عملکرد به اشتباه اجرا شود، خطر تصاحب حساب وجود دارد. اگر مهاجمان شماره تلفن قربانی را بدانند، می توانند پاسخ سرور را تجزیه و تحلیل کنند، کد صحیح را با استفاده از brute force خودکار کشف کنند و به حساب کاربری وارد شوند.

خطر تصاحب حساب اگر مهاجمان شماره تلفن قربانی را بدانند، می توانند پاسخ سرور را تجزیه و تحلیل کنند، کد صحیح را با استفاده از brute force خودکار کشف کنند و به حساب کاربری وارد شوند.

عواقب

هکرها می توانند حساب کاربر را تصرف کنند، از آن پول برداشت کنند، داده های شخصی را تغییر دهند، حساب را حذف کنند، یا هر کار دیگری را بسته به عملکرد موجود انجام دهند.

نحوه اجتناب

از محدودیت نرخ برای محدود کردن ترافیک با توجه به تعداد درخواست‌های یک منبع استفاده کنید. در صورت تجاوز از مقادیر مجاز، تمام ترافیک از آن نقطه برای مدت معینی مسدود خواهد شد.


خرید سرور مجازی گیم مناسب برای راه اندازی انواع وبسایت و خدماتی که نیاز به امنیت ویژه دارد.

3. IDOR (مرجع شی مستقیم ناامن)

IDOR به مهاجم اجازه می دهد تا از طریق یک لینک مستقیم به صفحات وب یا فایل ها دسترسی غیرمجاز داشته باشد. اگر یک وب‌سایت یک شناسه قابل پیش‌بینی ارائه کند، اتفاق می‌افتد: با جایگزین کردن شناسه صحیح، نمایه شخص دیگری می‌تواند به خطر بیفتد.

به عنوان مثال، در نوار آدرس یک فروشگاه آنلاین، یک شناسه خاص را مشاهده می کنید که با نمایه شما مطابقت دارد، بگذارید https://example.com/user/id=000001 باشد. اگر مستقیماً آن را در نوار آدرس به https://example.com/user/id=000002 تغییر دهید، ممکن است خود را در صفحه شخص دیگری بیابید که می توانید جزئیات تماس را مشاهده و ویرایش کنید. همین امر ممکن است برای شناسه ای با نام فایل (به عنوان مثال https://example.com/about_company/documents/filename) رخ دهد: مهاجم با دانستن آن از قبل، می تواند یک فایل را جعل کند و پیوندی را برای یک قربانی ناآگاه ارسال کند.

عواقب

با IDOR، مهاجمان می توانند داده های حساس را به صورت انبوه سرقت کنند. فروشگاه های آنلاین نیز می توانند با عواقب مالی روبرو شوند: با تغییر اطلاعات تماس، مهاجم می تواند کالاهای سفارش داده شده را بدزدد یا حتی وجوه را برداشت کند.

نحوه اجتناب

در یک دنیای عالی، این وضعیت نباید برای سایتی که با داده های شخصی کاربر سروکار دارد اتفاق بیفتد. هر بار که سایتی پرس و جو می شود، سطح دسترسی کاربر و داده ها باید به عنوان متعلق به کاربر خاصی که پرس و جو را انجام می دهد تأیید شود. همچنین توصیه می شود از شر شناسه های قابل پیش بینی در دامنه عمومی خلاص شوید.


4. XSS Injection

این به آسیب‌پذیری‌های وب‌سایتی اشاره می‌کند که به حملات XSS (Cross Site Scripting) اجازه می‌دهد: کد مخرب یا پیوندی به آن در یک صفحه وب تعبیه شده است و به محض باز کردن صفحه توسط کاربر شروع به هک کردن آن می‌کند.

عواقب

در نتیجه کد JS تزریق شده، یک مهاجم می تواند اعتبار کاربر را دریافت کند و به حساب کاربر دسترسی پیدا کند. یا ممکن است قربانی بدون توجه به یک صفحه فیشینگ هدایت شود که اطلاعات شخصی و پرداختی را می‌دزدد، مثلاً در مورد فروشگاه‌های آنلاین جعلی.

نحوه اجتناب

داده هایی که کاربر هنگام نمایش در صفحه وارد می کند باید رمزگذاری شده یا با اعتبار سنجی اضافی محافظت شود. داده ها باید به صورت ایمن هم در سمت سرور و هم در سمت مشتری پردازش شوند. در مورد سازندگان وب سایت، همانطور که در بالا ذکر شد، ابزارها و افزونه ها باید به طور مرتب به روز شوند.

باگوبسایتامنیتامنیت سایتهلیکس گیم
هلیکس گیم برترین ارائه دهنده خدمات گیم هاستینگ در کشور
شاید از این پست‌ها خوشتان بیاید