بیدار شدن تا متوجه بشوید که سایت شما خراب شده است، همانطور که ممکن است احساس کنید به عنوان ناخوشایند است. بیدار شدن تا متوجه شود که اطلاعات کاربران شما به سرقت رفته است و کارت های اعتباری آنها توسط اشخاص ثالث مورد استفاده قرار می گیرد و یک کابوس است. رویاهای شیرین در حال حاضر، همه!
برای صاحبان وب سایت ها و دیگران که ممکن است نمی دانند چگونه سرور خود را در برابر حمله سخت می کنند، به نظر می رسد مانند یک کابوس که آنها نمی توانند در مورد آن انجام دهند. خوب، من خبر خوبی دارم: اگر یک سایت استاتیک ساده در یک میزبان داشته باشید که حتی نوعی از آنچه را که می داند می داند، احتمالا امن است.
اما سیستم های پیچیده تر شما در هر شرایطی، حفره های امنیتی بالقوه بالقوه وجود دارد. این به معنای هوشیاری بیشتر است و کار بیشتری برای امنیت آن انجام می دهد. در عوض، افرادی که در سیستم های دیگر شکست می خورند، هیچ چیز غیر قابل پیش بینی نیستند. تعدادی از حملات بسیار معمولی وجود دارد که می توانند از طریق پیش بینی ساده و برنامه ریزی جلوگیری شوند.
بدون هیچ ادعای دیگری، در هیچ نظم خاص، برخی از شیوه های رایج را که مردم سعی در ورود به سایت شما می کنند ارائه می دهند:
از هر متخصص امنیت در هر زمینه سوال کنید: رایج ترین نقطه شکست، نرم افزار یا سخت افزار نیست. اینها مردم و میل آنها به انجام کارهای احمقانه است. شما می دانید، چیزهایی احمقانه مانند ترک گذرواژه هایی که در جایی نوشته شده اند، آشکار است، یا فقط حساب کاربری را به شخص دیگری در تلفن می دهند.
قبل از آنکه کاری انجام دهید چیز دیگری به نظر می رسد که برای هکرها معمول است که خدمات مشتری را فراخوانی کنند. اگر آنها بتوانند با موفقیت اطمینان یابند که فقط اطلاعاتی را که نیاز دارند تحویل دهند، خود را به طور بالقوه ساعت ها یا حتی روزهای خود را ذخیره کرده اند. بنابراین مطمئن شوید که سرورهای شما امن هستند، همچنین باید اطمینان حاصل کنید که کارکنان شما پروسه های امنیتی را دنبال می کنند.
این هنوز بزرگ است، باور ندارد یا نه، و به ویژه در محیط شرکت ها. به روز رسانی تعداد زیادی از کامپیوترها در یک بار یک معامله بزرگ است. گاهی اوقات به روز رسانی ها توسط مدیران سیستم به تأخیر می افتند و فقط می خواهند مطمئن شوند که هیچ یک از بروز رسانی های جدید نرم افزار داخلی خود را نابود نخواهد کرد. دیگران در واقع محدود هستند، از نصب و به روز رسانی توسط مدیریت عصبی ممنوع است.
گاهی اوقات بخش فناوری اطلاعات همه چیز را از دست می دهد، و برخی از بچه ها از اتاق پست الکترونیکی که "می دانند کامپیوتر" گفته شده است که همه چیز را در حال اجرا نگه دارد. به هر دلیلی، گاهی اوقات به روز رسانی های امنیتی نصب نمی شود و سیستم ها آسیب پذیر می شوند. برای وبسایتها، معمولا فقط این است که هیچکس به روزرسانی وردپرس را انجام نمیدهد. فقط آن را انجام دهید
برنامه نویسان به طور کلی نژاد درخشان هستند، اما برخی از آنها با تجربه تر از دیگران هستند. و حتی در میان بهترین، اشکالات اتفاق می افتد. بسیاری از مردم از طریق برنامه نویسی پلاگین ها برای نرم افزار های دیگر، مانند پلاگین های CMS، برنامه های خود را در جهان برنامه ریزی می کنند.
به خاطر داشته باشید که در مورد پیچیدگی بیشتر به حفره های امنیتی بیشتر اشاره کردم؟ پلاگین ها به مراتب پیچیدگی بیشتری دارند. تمام پلاگین ها قبل از نصب آنها را چک کنید، و هر زمان که رفع آنها درست می شود، درست مثل بقیه نرم افزار خود، آنها را به روز رسانی کنید.
در این مورد، سیاست امنیتی به نحوه درخواست شما از کاربران برای کمک به امنیت ایمنی خود اشاره می کند. این سیاستها چیزهایی هستند مانند سوالات امنیتی، الزامات برای کلمات عبور قدرتمند، احراز هویت دو عامل و حتی نشانه های امنیتی حساب کاربری فیزیکی که توسط موسسات مانند بانک ها استفاده می شود. تأیید ایمیل بسیار معمول است و یکی از راههای ساده تر برای رسیدگی به این مسئله است. با این وجود، کاملا ناسازگار نیست.
اینها همچنین به عنوان حملات تزریق SQL یا SQLi شناخته می شوند. اساسا کسی در وب سایت شما قرار میگیرد و دنبال فرمها میگردد. یک فرم تماس، یک فرم ثبت نام، یک فرم ارسالی، هر کدام از این موارد، تا زمانی که اطلاعات را مستقیما به یک پایگاه داده SQL ارسال می کنند.
آنها فقط ورودی های پایه، مشترک SQL را به حوزه های متن در امید به توانایی کشیدن داده ها از پایگاه داده خود وارد می کنند. و مگر اینکه ورودی های فرم شما در حال پاکسازی باشند (وقتی که فرم ها ارسال می شوند، چیزهایی مانند دستورات SQL را خراب می کنند)، کار خواهد کرد.
بسته به چگونگی برنامه ریزی، داده ها فقط می توانند نشت کنند. URL ها در واقع می توانند حاوی اطلاعات حساس باشند، برای مثال. افراد فقط می توانند گوگل سایت خود را پیدا کرده و URL هایی را با اطلاعات حساس در آنها پیدا کنند. اگر فایل های حساس به پوشه های محافظت نشده بر روی سرور شما آپلود شوند، هر کسی می تواند آنها را دانلود کند. اگر مردم به نحوی دسترسی به فایل های پیکربندی برای سیستم مدیریت محتوا خود را داشته باشند، احتمالا راه دیگری وجود دارد.
این هم همیشه نتیجه برنامه نویسی ضعیف است. گاهی اوقات شما ممکن است فراموش کنید که مجوزهای راست را در یک پوشه یا چیزی تنظیم کنید. نشت تصادفی اتفاق می افتد
Clickjacking به یکی از دو روش اتفاق می افتد: یکی، کسی یک سایت مخرب را با محتویاتی که به اندازه کافی بی گناه است ایجاد می کند. اما هنگامی که بر روی آن سایت کلیک می کنید، آن چیزی را که لزوما می خواهد انجام دهد (مانند چیزی که در فیس بوک اتفاق می افتد نادیده گرفته نمی شود) انجام می دهد یا آنها را به جایی که نمی خواهند بروند.
دو، کسی موفق به تزریق کد به سایت خود برای ربودن کلیک های خود، با همان نتیجه نهایی است. در بدترین حالت، این می تواند کاربران را به خطر انداختن اطلاعات شخصی با تایپ کردن اطلاعات خود به یک سایت که بسیار شبیه به شماست، اما به عنوان مثال نمی تواند منجر شود.
فرصت های بیشتری وجود دارد که من نه زمان و نه تخصص را به درستی توضیح می دهم؛ اینها برخی از رایج ترین ها هستند. برای اینها برنامه ریزی کنید و شروع خوبی خواهید بود. اما این فقط یک شروع است.
اگر به مواد امنیتی بیشتری علاقه مند هستید، می توانید از شیوه های امنیت اطلاعات اولیه در امنیت دقت مطالعه کنید و از Swift در امنیت در توییتر پیروی کنید. اوم، این یک حساب کاربری است که یک حرفه ای infosec وانمود می کند که تیلور سویفت است، مشاوره امنیتی خوبی را به اشتراک می گذارد، و طرفدار داستان کورتانا می نویسد.