ویرگول
ورودثبت نام
3tayesh.mp
3tayesh.mpکد می‌زنم، اشتباه می‌کنم، یاد می‌گیرم؛
3tayesh.mp
3tayesh.mp
خواندن ۲ دقیقه·۳ روز پیش

درِ خانه باز است؛ هکرها در راهند!

برنامه نویس‌ها سایت رو مثل یک خونه طراحی میکنن. خونه ورودی‌هایی داره مثل در یا پنجره(کادر جستجو، فرم لاگین و ...) وقتی برنامه نویس به در و پنجره‌ها قفل درست حسابی نزنه، هکر به راحتی وارد خونه میشه!

معروف‌ترین نوع حمله SQL Injection هست. وقتی برنامه نویس ورودی کاربر رو بدون فیلتر کردن و به صورت مستقیم در دیتابیس قرار میده:

"SELECT * FROM users WHERE username = '" + $_GET['username'] + "'";

هکر به جای نام کاربری، کدی مثل ' OR '1'='1 می‌نویسه. دیتابیس فریب می‌خوره و فکر می‌کنه شرط درسته، پس تمام اطلاعاتِ هزاران کاربر (ایمیل‌ها، رمزهای هش شده و …) را به هکر تحویل می‌ده.

امنیتِ وب فقط این نیست که «لینکِ مشکوک کلیک نکنی». امنیتِ وب اینه که سایت‌هایی که استفاده می‌کنی، «در و پنجره‌شان» (یعنی فرم‌ها و ورودی‌هایشان) محکم باشه.

از کجا باید بفهمیم که این در بازه یا امنیت نداره؟

درسته که ما نمی‌تونیم پشت‌صحنه‌ی کدها رو ببینیم، اما هکرها وقتی وارد میشن، معمولاً سایت رو کمی «گیج» می‌کنن. حواست به این موارد باشه:

  1. خطاهای عجیب و غریب:

اگر در یک سایتِ معتبر، ناگهان با صفحه‌ای مواجه شدی که به جای محتوا، پر از نوشته‌های فنی و کدهای پیچیده (شبیه به Errorهای دیتابیس) بود، بلافاصله اون سایت رو ببند. این یعنی «درِ خانه» خرابه و کارمندِ سایت (برنامه‌نویس) نتونسته جلویِ تزریقِ کدهای هکر رو بگیره.

  1. آدرس‌های طولانی و بی‌معنی:

وقتی روی لینکی کلیک می‌کنی، به آدرسِ بالای مرورگر (URL) نگاه کن. اگر آدرس یک سایتِ معمولی بود، اما بعد از اسم سایت، کلی کاراکترِ عجیب (مثل %27, SELECT, --) دیدی، این یک نشانه‌ی واضحه که شاید کسی داره سعی می‌کنه با «تزریق»، اون سایت رو هک کنه.

  1. تغییرِ رفتارِ سایت:

اگر سایتی که همیشه ازش استفاده می‌کردی، ناگهان کند شده یا دکمه‌هاش درست کار نمی‌کنه، ممکنه کدهای تزریق شده در پس‌زمینه، دارن تمامِ قدرتِ سایت رو برایِ کارهای مخرب مصرف می‌کنن.

۳ قانون طلایی برای اینکه «قفلِ خانه» شکسته نشه:

حالا که فهمیدی چطور سایت‌های ناامن رو شناسایی کنی، این ۳ تا کار رو همیشه انجام بده تا حتی اگر سایت هک شده بود، تو آسیب نبینی:

  • قانون اول: هیچ‌چیزِ ناخواسته‌ای رو دانلود نکن!

اگر سایتی به تو پیشنهاد داد فایلی رو نصب کنی (حتی با اسم‌های وسوسه‌کننده مثل “بهینه‌ساز سرعت” یا “آنتی‌ویروس آنلاین”)، به هیچ عنوان نپذیر.

  • قانون دوم: مرورگرت همیشه آپدیت باشه.

مرورگرهایِ جدید (Chrome, Firefox, Edge) مثلِ نگهبان‌هایِ هوشمند هستن. وقتی سایتِ آلوده‌ای رو باز می‌کنی، اونا می‌فهمن و جلویِ اجرایِ کدهای تزریقی رو می‌گیرن. آپدیت نبودنِ مرورگر، یعنی باز کردنِ درِ خونه برایِ دزد.

  • قانون سوم: اطلاعات حساس رو در سایت‌های مشکوک وارد نکن.

اگر سایتی رفتارِ عجیب داشت (مثلاً خطاهای فنی می‌داد)، هیچ‌وقت شماره کارت یا رمزت رو اونجا وارد نکن. صبر کن تا مطمئن بشی مشکل حل شده.

برنامه نویسsql injectionامنیت وب
۷
۱
3tayesh.mp
3tayesh.mp
کد می‌زنم، اشتباه می‌کنم، یاد می‌گیرم؛
شاید از این پست‌ها خوشتان بیاید