کارشناسان امنیتی انتظار دارند که هزینه جهانی جرایم سایبری تا سال 2025 به 10.5 تریلیون دلار در سال برسد. میانگین هزینه نقض داده ها در حال حاضر بیش از 9 میلیون دلار است که تنها در ایالات متحده باعث نگرانی صاحبان مشاغل می شود.
در حالی که پذیرش ابر مشکلات مقیاسپذیری، سفارشیسازی و نگهداری و تحویل زیرساخت را حل کرده است، تامین امنیت داراییهای وب یکی از نگرانیهای اصلی کسبوکارهای آنلاین است. در اینجا راهنمای شما برای ایمن نگه داشتن کسب و کار، مشتریان و تراکنش های خود در برابر تلاش های هک است.
گروه گارتنر تخمین زده است که بیش از 70 درصد از نقض ها در لایه برنامه اتفاق می افتد. برنامه های کاربردی وب به مشتریان و مشتریان متعددی خدمت می کنند. واضح است که هکرها انگیزه بیشتری در هدف قرار دادن برنامه ها برای از بین بردن فرآیندهای مهم تجاری دارند. اسکن خودکار برنامه های وب مؤثرترین راه برای یافتن حفره های امنیتی وب سایت است که هکرها ممکن است هدف قرار دهند. این اولین قدم به سوی ایمن سازی وب سایت های تجاری است.
AppTrana Basic Scanning (رایگان برای همیشه): اسکن های امنیتی هر دو هفته را ارائه می دهد که به دنبال آسیب پذیری های OWASP Top 10 و SANS Top 25 است. می توانید حداکثر 250 صفحه از یک وب سایت را اسکن کنید و گزارش مفصلی در مورد مسائل امنیتی مانند XSS، SQL Injection و غیره دریافت کنید.
امنیت وب سایت OWASP
آشکار است اما نادیده گرفته شده است. وصله های نرم افزاری نقش مهمی در ایمن نگه داشتن سایت شما از هکرها دارند. این برای همه چیزهایی که در سطل شما وجود دارد از جمله سیستم عامل های سرور، CMS و سایر نرم افزارهای مورد استفاده در شرکت اعمال می شود. هنگامی که حفره های امنیتی وب سایت در یک برنامه شخص ثالث پیدا می شود، هکرها تمام وب سایت هایی را که از آن نسخه حساس نرم افزار استفاده می کنند، هدف قرار می دهند.
بسیاری از توسعه دهندگان با استناد به مهلت های تحویل، به روز رسانی ها را به تعویق می اندازند. حمله باجافزار عظیم «WannaCrypt» نمونهای از حملهای است که رایانههای حداقل ۱۵۰ کشور را فلج کرد و ۴ میلیارد دلار خسارت به بار آورد.
اجازه دادن به کاربران برای ارسال یا آپلود هر چیزی به سرور شما یک خلأ امنیتی بزرگ است. از نقطه نظر تجاری، رابط های تعاملی کارآمد هستند، اما خطرات آن زیاد است. حتی یک رشته ساده غیر بهداشتی در قسمت نام کاربری یا آپلود فایل در بخش تصویر می تواند سرورها را از کار بیاندازد.
اعتبارسنجی داده های کاربر
شما باید با همه ورودی های کاربر با شک و تردید برخورد کنید و مطمئن شوید که فقط قالب های ورودی از پیش تعیین شده پذیرفته می شوند. اطمینان حاصل کنید که فایروال شما انواع فایل های اجرایی و سایر ورودی های کاربر را مسدود می کند. همچنین دسترسی فیزیکی به سرور را به طور کامل ممنوع کنید.
برنامه های کاربردی تجاری پیچیده هستند. چندین تنظیمات متغیر در سرورهای Backend/Frontend و APIها وجود دارد که مختص کسب و کار شما هستند. ابزارهای اسکن خودکار محدودیت های خود را دارند، به خصوص اگر برنامه شما بر اساس منطق متفاوت ساخته شده باشد.
- یک سایت تجارت الکترونیک به کاربران امکان می دهد مواردی را به سبد خرید خود اضافه کنند، یک صفحه خلاصه را مشاهده کنند و سپس پرداخت کنند. اگر آنها بتوانند به صفحه خلاصه بازگردند و همان جلسه معتبر خود را حفظ کنند و هزینه کمتری را برای یک مورد تزریق کنند و تراکنش پرداخت را تکمیل کنند چه؟
- آیا کاربر می تواند کالایی را بی نهایت در سبد خرید خود نگه دارد و دیگران را از خرید آن باز دارد؟
- آیا کاربر می تواند کالایی را در سبد خرید با قیمت تخفیف قفل کند و چندین ماه بعد آن را خریداری کند؟
- اگر کاربر یک مورد را از طریق حساب وفاداری رزرو کند و امتیاز وفاداری بگیرد اما قبل از تکمیل تراکنش لغو کند، چه؟
تست نفوذ
تست نفوذ دستی یا هک اخلاقی تمام تلاش هایی را که یک هکر انجام می دهد تکرار می کند. آنها ساعتها به دنبال نقاط ضعفی میگردند که عملکرد برنامه را به خطر میاندازد و راهحلهایی را به توسعهدهندگان پیشنهاد میکند.
اتصالات HTTP ایمن از نفوذ هکرها به ارتباط بین وب سایت شما و کاربران جلوگیری می کند. با استفاده از ارتباطات غیر HTTPS، یک مهاجم میتواند کاربر را فریب دهد تا اطلاعات حساس را بدهد یا بدافزار/کد اجرایی را به سرور ارسال کند.
SSL برای امنیت وب سایت
اگر برنامههای تجاری شما دادههای حساسی مانند اطلاعات پرداخت را مدیریت میکنند، باید روی گواهیهای SSL با کیفیت سرمایهگذاری کنید تا پروتکلهای رمزنگاری را در همه وبسایتها به ارتباطات مرورگر وادار کنید.
بر اساس گزارش آمار امنیت برنامه های وب، آسیب پذیری های بحرانی به طور متوسط در 146 روز برطرف می شوند. این پنج ماه برای هکرها است تا روشهای مختلف حمله را امتحان کنند. برای ایمن سازی وب سایت خود آن را تغییر دهید.
آسیب پذیری های بحرانی را برطرف کنید
یک فایروال برنامه وب (WAF) برای اصلاح نقاط ضعف برنامه (OWASP Top 10 و SANS 25) به طور مجازی در حین نظارت و فیلتر کردن ترافیک طراحی شده است. همچنین به عنوان دیوار آتش لایه 7 شناخته می شود، حملاتی را که از جعل بین سایتی، برنامه نویسی متقابل سایت (XSS)، گنجاندن فایل و تزریق SQL بدون تغییر توسعه/کد در برنامه استفاده می کنند، متوقف می کند.
فایروال های یونی امنیت مدیریت شده را همگام با اسکن فراهم می کنند. AppTrana آسیب پذیری ها را برای توقف و نظارت بر حملات اصلاح می کند. این یک فایروال هوشمند است که از الگوهای حملات مکرر می آموزد و قوانین مسدودسازی یا ثبت سفارشی را فوراً می پذیرد.
یک حمله انکار سرویس توزیع شده (DDoS) از چندین سیستم در معرض خطر یا سایر منابع شبکه استفاده می کند تا یک سرویس آنلاین را تحت الشعاع قرار دهد و آن را در دسترس نباشد.
هر وب سایتی می تواند با حمله DDoS در معرض خطر قرار گیرد.
نظارت بر افزایش ترافیک
نظارت بر افزایش ترافیک جعلی و توقف ربات ها قبل از آسیب تنها راه برای مدیریت حملات DDoS است. اعتبار سنجی دوره ای عملکرد امنیتی شبکه و برنامه شما توصیه می شود.
با این چک لیست امنیت وب سایت، سایت را ایمن نگه دارید
آن را با AppTrana Free اسکن کنید
همه نرم افزارها را به روز کنید
درخواست تست نفوذ
SSL را نصب کنی
مسیر ترافیک از طریق WAF
این مقاله جالب بود؟ Indusface را در فیس بوک، توییتر و لینکدین دنبال کنید تا محتوای اختصاصی بیشتری را که پست می کنیم بخوانید.