تبلیغات

موضوعات

آخرین نظرات

همکاران و دوستان

آمار سایت

  • تعداد مطالب : 1251
  • تعداد صفحات : 8
  • تعداد دیدگاه ها : 1901
  • تعداد کلمات سایت : 715,278
  • آی پی شما : 136.243.36.91

برچسب ها

تبلیغات

 بالن آرزو ويژه مراسم چهارشنبه سوريPC7518BVL
  دود جادويي هفت رنگ ويژه مراسم چهارشنبه سوري 4S PC7518BVL
 حشره كش برقي RIDDEX

پیوندها

متن تبلیغ اول
متن تبلیغ دوم
متن تبلیغ سوم
به سایت پی 30 یوزر خوش آمدید امیدوارم به نیاز های خود برسید
  • ریست پرینتر کانن mp550 ارور ۶C10

    ریست پرینتر کانن mp550 ارور ۶C10
  • ریست پرینتر کانن ***۴ ip

    ریست پرینتر کانن ***۴ ip
  • کرک نرم افزار YoGen Vocal Remover

    کرک نرم افزار YoGen Vocal Remover
  • سریال نامبر آفیس ۲۰۱۰ و ۲۰۱۳ ماکروسافت

    سریال نامبر آفیس ۲۰۱۰ و ۲۰۱۳ ماکروسافت
  • کرک نرم افزار converter xilisoft نسخه ۷٫۸٫۸

    کرک نرم افزار converter xilisoft نسخه ۷٫۸٫۸
  • سریال نامبر نرم افزار Mirillis Action

    سریال نامبر نرم افزار Mirillis Action
  • کرک نرم افزار محبوب ۳D max 2013

    کرک نرم افزار محبوب ۳D max 2013
  • دانلود سریال نامبر نرم افزار Acme CAD Converter 2013 8.6.1...

    دانلود سریال نامبر نرم افزار Acme CAD Converter 2013 8.6.1
چرا سایتها هک میشوند ؟

چرا سایتها هک میشوند ؟

تاریخ : جمعه، ۲ دی ۱۳۹۰
۰دیدگاه
نوشته:میثم جعفری
چرا سایتها هک میشوند ؟Reviewed by میثم جعفری on Dec 23Rating:
امتیازی داده نشده

Cross site scripting یا XSS

این مشکل زمانی ایجاد می شود که اطلاعات ارسالی بین کاربران و سایت بدون بررسی و اعتبار سنجی لازم توسط نرم افزار سایت صورت گیرد. در این حالت هکرها میتوانند اسکریپتهایی را همراه اطلاعات به نرم افزار سایت تزریق کنند و این اسکریپتها هنگام نمایش اطلاعات در مرورگر دیگر کاربران سایت اجرا شده و مشکلاتی همچون سرقت اطلاعات نشست (Session) و دسترسی به اختیارات و اطلاعات دیگر کاربران و یا تغییر در صفحات سایت را ایجاد کند.

دلیل هک شدن سایتها


Injection flaws

در این شیوه هکر به همراه بخشی از اطلاعات یا پارامترهای ارسالی به سایت دستورات غیر مجازی که امکان خواندن،تغییر یا حذف یا درج اطلاعات جدید را فراهم میکند نیز تزریق میکند.یکی از معمول ترین این روشها SQL Injection است که امکان تغییر در اطلاعات و جداول بانک اطلاعاتی یا تغییر در درخواستها از بانک اطلاعات (مانند تعیین اعتبار کاربر و کلمه) را امکان پذیر میکند.

Malicious file execution

این مسئله به هکر ها اجازه اجرای برنامه یا کدی را میدهد که امکاناتی در تغییرات یا مشاهده اطلاعات یا حتی تحت کنترل گرفتن کل نرم افزار سایت یا سیستم را میدهد. این مشکل در سایتهایی که امکان ارسال فایل را به کاربران بدون بررسی ماهیت اطلاعات را می دهد اتفاق می افتد (مثلا ارسال یک اسکریپ PHP یا ASP به جای فایل تصویری توسط کاربر)

Insecure direct object reference

این مشکل عموما در دستکاری پارامترهای ارسالی به صفحات یا اطلاعات فرمهایی هست که بصورت مستقیم به فایل، جداول اطلاعاتی،فهرستها یا اطلاعات کلیدی اتفاق می افتد و امکان دسترسی یا تغییر فایلهای اطلاعاتی دیگر کاربران را ایجاد میکند. (مانند ارسال کد کاربر یا نام فایل مخصوص او بصورتپارامتر در آدرس صفحه که با تغییر آن امکان دسترسی یا تغییر در اطلاعات کاربر دیگری وجود خواهد داشت)

Cross site request forgery

در اینگونه حملات هکر کنترل مرورگر قربانی را یدست آورده و زمانی که وی وارد سایت (login) شده درخواستهای نادرستی را به سایت ارسال می کند. (نمونه آن چندی پیش دز سایت myspace اتفاق افتاده بود و هکری با استفاده از یک کرم اینترنتی پیغامی را در میلیونها صفحه کاربران این سایت نمایش داد)

Information leakage and improper error handling

همانطور که از نام این مشکل مشخص است زمانی که در خطاهای نرم افزار سایت به شکل مناسبی مدیریت نشوند در صفحات خطا اطلاعات مهمی نمایش داده شود که امکان سوء استفاده از آنها وجود داشته باشد.(نمونه ای از همین مشکل چندی پیش براییکی از سایتهای فارسی نیز بوجود آمد و اطلاعات کاربری و کلمه عبور اتصال به بانک اطلاعات در زمان خطا نمایش داده می شد و باعث سوء استفاده و تغییر اطلاعات کاربران این سایت شد )

Broken authentication and session management

این مشکل در زمانی که نشست کاربر (Session) و کوکی اطلاعات مربوط به ورود کاربر به دلایلی به سرقت می رود یا به دلیلی نیمه کاره رها می شود ایجاد می شود. یکی از شیوه های جلوگیری از این مشکل رمز نگاری اطلاعات و استفاده SSL است.

Insecure cryptographic storage

این مشکل نیز چنانچه از عنوان آن مشخص است بدلیل اشتباه در رمزنگاری اطلاعات مهم (استفاده از کلید رمز ساده یا عدم رمز نگاری اطلاعات کلیدی) است.

Insecure communications

ارتباط ناامن نیز مانند مشکل قبلی است با این تفاوت که در لایه ارتباطات شبکه است.هکر در شرایطی میتواند اطلاعات در حال انتقال در شبکه را مشاهده کند و از این طریق به اطلاعات مهم نیز دست پیدا کند. همانند مشکل قبلی نیز استفاده از شیوه های رمزنگاری و SSL راه حل این مشکل است.

Failure to restrict URL access

برخی از صفحات سایتها (مانند صفحات بخش مدیریت سایت) می بایست تنها در اختیار کاربرانی با دسترسی خاص باشند.اگر دسترسی به این صفحات و پارارمترهای ارسالی آنها به شکل مناسبی حفاظت نشده باشد ممکن است هکرها آدرس این صفحات را حدس بزنند و به نحوی به آنها دسترسی پیدا کنند.

در صورت وجود پسورد در فایل های دانلود شده پسورد مورد نظر : www.p30user.com



تبلیغات

آخرین ارسال ها

دانلود سریع نرم افزار ها

تبلیغات متنی

رتبه سایت ما

با عضویت در خبرنامه ی ما از آخرین مطالب ما در ایمیل خود با خبر شوید