وب سایت یک ساختار بزرگ و پیچیده است که از چندین لایه نرم افزاری و عناصر زیادی تشکیل شده است. هرچه اجزای یک سیستم بیشتر باشد، سطح احتمال حمله بیشتر است. گاهی اوقات حتی یک مدیر سیستم با تجربه ممکن است متوجه آسیبپذیری نشود، اما هکرها با ابزارهای حمله brute force خود فرصتی را برای انجام یک حمله از دست نمیدهند.
عواقب هک نقاط آسیب پذیر سایت به اهداف مهاجم و نتایجی که به دست می آورند بستگی دارد. یک هک موفقیت آمیز می تواند منجر به از دست دادن موقت کنترل بر دارایی و داده های شما شود.
بیایید نگاهی به 4 بخش آسیبپذیر که رایج است بیندازیم، نحوه برخورد با آنها، نحوه اتصال آنها به حملات DDoS و اینکه چرا داشتن حفاظت حرفه ای DDoS اولین گام مهم به سمت امنیت دارایی شما است.
بیشترین حمله، سایت هایی هستند که با سازندگان وب سایت مانند وردپرس ایجاد شده اند: تا سال 2021، حدود 3000 حمله DDoS خودکار در هر ثانیه در این نوع وب سایت وجود داشته است.
بیشتر پلاگینهای چنین سایتهایی مورد حمله قرار میگیرند و اجبار ساده رمز عبور را کنار میگذاریم. ممکن است تعداد زیادی افزونه در سایت هایی مانند وردپرس وجود داشته باشد و صاحبان آنها گاهی اوقات آنها را اصلاً به روز نمی کنند یا به ندرت این کار را انجام می دهند.
استفاده از CMS منسوخ، افزونه ها یا تم های مرورگر، سایت را در معرض خطر حمله ربات ها قرار می دهد. مهاجمان از روشی استفاده میکنند که آسیبپذیریها را بهطور خودکار در فهرستهایی که در دسترس عموم قرار میدهند، اعمال میکنند.
عواقب
ممکن است کنترل سایت خود را از دست بدهید، یا ممکن است تبدیل به یک بدافزار شود: برای مثال، هر بار که شخصی از سایت شما بازدید می کند، نرم افزار ویروس به طور خودکار شروع به دانلود می کند.
نحوه اجتناب
از آنجایی که بهروزرسانی دستی هر افزونه و تم مرورگر میتواند بسیار زمانبر باشد، بهتر است بهروزرسانیهای خودکار منظم همه عناصر را تنظیم کنید.
احراز هویت پیامکی روشی محبوب و راحت برای کاربر برای ورود بدون به خاطر سپردن و وارد کردن رمز عبور است. با این حال، اگر این عملکرد به اشتباه اجرا شود، خطر تصاحب حساب وجود دارد. اگر مهاجمان شماره تلفن قربانی را بدانند، می توانند پاسخ سرور را تجزیه و تحلیل کنند، کد صحیح را با استفاده از brute force خودکار کشف کنند و به حساب کاربری وارد شوند.
خطر تصاحب حساب اگر مهاجمان شماره تلفن قربانی را بدانند، می توانند پاسخ سرور را تجزیه و تحلیل کنند، کد صحیح را با استفاده از brute force خودکار کشف کنند و به حساب کاربری وارد شوند.
عواقب
هکرها می توانند حساب کاربر را تصرف کنند، از آن پول برداشت کنند، داده های شخصی را تغییر دهند، حساب را حذف کنند، یا هر کار دیگری را بسته به عملکرد موجود انجام دهند.
نحوه اجتناب
از محدودیت نرخ برای محدود کردن ترافیک با توجه به تعداد درخواستهای یک منبع استفاده کنید. در صورت تجاوز از مقادیر مجاز، تمام ترافیک از آن نقطه برای مدت معینی مسدود خواهد شد.
خرید سرور مجازی گیم مناسب برای راه اندازی انواع وبسایت و خدماتی که نیاز به امنیت ویژه دارد.
IDOR به مهاجم اجازه می دهد تا از طریق یک لینک مستقیم به صفحات وب یا فایل ها دسترسی غیرمجاز داشته باشد. اگر یک وبسایت یک شناسه قابل پیشبینی ارائه کند، اتفاق میافتد: با جایگزین کردن شناسه صحیح، نمایه شخص دیگری میتواند به خطر بیفتد.
به عنوان مثال، در نوار آدرس یک فروشگاه آنلاین، یک شناسه خاص را مشاهده می کنید که با نمایه شما مطابقت دارد، بگذارید https://example.com/user/id=000001 باشد. اگر مستقیماً آن را در نوار آدرس به https://example.com/user/id=000002 تغییر دهید، ممکن است خود را در صفحه شخص دیگری بیابید که می توانید جزئیات تماس را مشاهده و ویرایش کنید. همین امر ممکن است برای شناسه ای با نام فایل (به عنوان مثال https://example.com/about_company/documents/filename) رخ دهد: مهاجم با دانستن آن از قبل، می تواند یک فایل را جعل کند و پیوندی را برای یک قربانی ناآگاه ارسال کند.
عواقب
با IDOR، مهاجمان می توانند داده های حساس را به صورت انبوه سرقت کنند. فروشگاه های آنلاین نیز می توانند با عواقب مالی روبرو شوند: با تغییر اطلاعات تماس، مهاجم می تواند کالاهای سفارش داده شده را بدزدد یا حتی وجوه را برداشت کند.
نحوه اجتناب
در یک دنیای عالی، این وضعیت نباید برای سایتی که با داده های شخصی کاربر سروکار دارد اتفاق بیفتد. هر بار که سایتی پرس و جو می شود، سطح دسترسی کاربر و داده ها باید به عنوان متعلق به کاربر خاصی که پرس و جو را انجام می دهد تأیید شود. همچنین توصیه می شود از شر شناسه های قابل پیش بینی در دامنه عمومی خلاص شوید.
این به آسیبپذیریهای وبسایتی اشاره میکند که به حملات XSS (Cross Site Scripting) اجازه میدهد: کد مخرب یا پیوندی به آن در یک صفحه وب تعبیه شده است و به محض باز کردن صفحه توسط کاربر شروع به هک کردن آن میکند.
عواقب
در نتیجه کد JS تزریق شده، یک مهاجم می تواند اعتبار کاربر را دریافت کند و به حساب کاربر دسترسی پیدا کند. یا ممکن است قربانی بدون توجه به یک صفحه فیشینگ هدایت شود که اطلاعات شخصی و پرداختی را میدزدد، مثلاً در مورد فروشگاههای آنلاین جعلی.
نحوه اجتناب
داده هایی که کاربر هنگام نمایش در صفحه وارد می کند باید رمزگذاری شده یا با اعتبار سنجی اضافی محافظت شود. داده ها باید به صورت ایمن هم در سمت سرور و هم در سمت مشتری پردازش شوند. در مورد سازندگان وب سایت، همانطور که در بالا ذکر شد، ابزارها و افزونه ها باید به طور مرتب به روز شوند.
