همانطور که در قسمت بالا گفتیم شناسایی انواع حملات به وب سایت ها مستلزم آن است که با مفهوم امنیت وب سایت آشنا باشید و تا حدودی این مفهوم را بشناسید. برای درک کامل مبحث امنیت، امنیت سایت چیست؟ را بخوانید
اجرای کلیه دستورالعمل ها و رویه هایی که کسب و کار برای افزایش امنیت و کاهش ورود هکرها دنبال می کند، امنیت سایت نامیده می شود. امنیت سایت به تنهایی بیان نمی شود بلکه زیرشاخه های زیادی دارد که اگر امنیت هر کدام به خوبی تامین شود در نهایت می توان گفت امنیت سایت خوب است. این زیرمجموعه ها شامل امنیت سرور، امنیت اینترنت، امنیت شبکه، امنیت سیستم عامل و … می باشد.به این نکته توجه کنید که راه اندازی امنیت سایت نباید مانع تجربه کاربری شود. به عنوان مثال وقتی کاربری وارد سایت شما می شود و می خواهد خریدی انجام دهد باید هر 5 دقیقه یکبار ثابت کند که ربات نیست و یا زمانی که کاربر در صفحه کاربری خود است دوباره وارد سایت شود. برای این کار رمز عبور او هر چند ثانیه یکبار از سایت خارج می شود. همه این موارد از نظر امنیت عالی هستند، اما رضایت کاربران را به میزان قابل توجهی کاهش می دهند.
مقاله پیشنهادی: آموزش Gtmetrix
در این قسمت می خواهیم انواع حملاتی که در وب سایت ها رخ می دهد را بررسی کرده و در مورد آن صحبت کنیم. دانستن این دانش برای همه طراحان وب سایت ضروری است زیرا این افراد می توانند راه حل های خوبی برای محافظت از وب سایت در برابر هک و آسیب ارائه دهند.
Injection یکی از روش های رایج حمله و نفوذ به وب سایت ها است، هکرها و مهاجمان ابتدا پورت های مختلفی را در وب سایت شما پیدا می کنند که از طریق آن می توانند وارد سایت شما شده و اطلاعات را ارسال کنند. خب پس از شناسایی این پورت ها یک سری دستورات مخرب و از پیش تعریف شده به این پورت ها ارسال می شود که فقط برای دسترسی به پایگاه داده در نظر گرفته شده است که در این مرحله تاثیری بر کاربران سایت ندارد. این دستورات چگونه به سرور ارسال می شوند؟
1. از طریق متغیرهای تعریف شده در آدرس URL وب سایت ارسال می شود.
این انتقال از طریق عناصر HTML مورد استفاده در ساخت فرم انجام می شود. این عناصر شامل کادرهای متنی و منوهایی هستند که برای دریافت اطلاعات از کاربر و تکمیل پایگاههای اطلاعاتی در وبسایتها قرار میگیرند تا کاربران بتوانند اطلاعات را ایجاد یا ویرایش کنند و در نتیجه به آن دسترسی داشته باشند.
انتقال توسط فایل هایی انجام می شود که نرم افزار پردازش می کند، به عنوان مثال فایل های XML که ساختار محتوایی دارند و اطلاعات را به سرور منتقل می کنند.
همه حملات تزریقی بر این باورند که ساختار امنیتی وب سایت ها را دور زده و به زیرساخت و پایگاه داده وب سایت می رسند. می دانیم که پایگاه داده مهم ترین عنصر در هر وب سایتی است و تمامی مسائل امنیتی مانند رمز عبور مدیریت، اطلاعات کاربری و غیره در آن ذخیره می شود و در صورت تغییر هر یک از این اطلاعات، مشکلات زیادی به همراه خواهد داشت.
3 حمله مهم در injection وجود دارد. SQL Injection: برای تزریق کد به پایگاه داده. Command injection: برای تزریق کدهای خاص سیستم عامل در وب یا به پایگاه داده. XML Injection: برای تزریق کدی که در ساختار معتبر استاندارد XML تعبیه شده است.
