3 نکته در بالا بردن امنیت وب سایت ها و معرفی راه های نفوذ

در این قسمت بیشتر به معرفی راه های نفوذ می پردازم و ابزار و اطلاعات مفید برای هکر ها رو معرفی می کنم و در قسمت های بعدی راه های مقابله با ان ها را معرفی می کنم ، اصل اول اول از همه برای سایت کلمه عبور قدرتمند بسازید؛ (یک کلمه عبور خوب متشکل از کلمات کوچک و بزرگ، عدد و سیمبل می باشد ، به هیچ وجه در پسورد خودتان از نام های به کار برده شده در user استفاده نکنید )بسیار موارد وجود دارد که هکر فردی عادی بوده و با استفاده از سهلنگاری طرف در انتخاب پسورد دست به خرابکاری زده است .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

اگر از هاستینگ وردپرس استفاده می‌کنید همیشه بسته‌های به روزرسانی‌اش را دانلود کنید؛ حواستان به اعتبار پلاگین‌ها، کدهای شخص ثالث و تم‌ها باشد؛ back up گیری به موقع از سایت نیز بسیار مهم است. هکرها برای رسیدن به اهدافشان عمدتا به دنبال اطلاعات اساسی سایت شما هستند و حالا اطلاعات اساسی هر سایت چیست ؟ هر هکر با دسترسی به IP و رکوردهای DNS هر سایت چشم اندازی مناسب نسبت به شبکه و ساختار و ارایش ان پیدا می کند.

دستور Whois

دستور شناخته‌شده و در عین حال آسیب‌رسان Whois یکی از ابزارهای اینترنتی هکرهاست که بسته به سرویسی که دستور را اجرا می‌کند اطلاعات زیادی در اختیار آن‌ها می‌گذارد.

بر فرض اطلاعات سایت google

http://whois.domaintools.com/google.com
وب سایت توسینسو

همان طور که مشاهده می کنید اطلاعات جامع ایی در اختیار ما قرار می دهد که برای یک هکر بسیار پر معنی می باشد ، حالا سوالی که پیش می اید این است که راه جلوگیری چیست ؟! Admin شبکه باید به منظور جلوگیری از این نوع جمع‌آوری اطلاعات که آسیب‌پذیری سایت یا سایت را به شدت افزایش می‌دهند، میزان اطلاعات در دسترس را به حداقل ممکن برساند. استفاده از نرم‌افزارهایی مثل Watch My Domains و Domain Name Analyzer که رابط کاربری سرراستی دارند می‌تواند مفید باشد.

با استفاده از این نرم‌افزارها می‌توانید بر تعداد whoisهای گرفته شده از آدرس‌تان نظارت داشته باشید و در صورتی که از اندازه مشخصی فراتر رفتند جلویشان را بگیرید.برای جلوگیری از دستورات مکرر و همزمان whois به سایتی مثل whois.godaddy.com رجوع کنید و دامین خود را در آنجا ثبت کنید تا احتمال لو رفتن اطلاعات در حمله‌های whois را به حداقل برسانید.

گزارش‌گیری از پیشینه سایت

یکی از وب‌سایت‌هایی که اطلاعات مورد نیاز هکرها را به آن‌ها می‌دهد نت‌کرافت(Netcraft) است. آدرسهایی نظیر : IP و مالک دامنه نمایش داده‌ شده و با کلیک روی گزینه site report اطلاعاتی مثل سیستم‌عاملی که سایت روی آن در حال اجراست، نوع سرور ( مثلا آپاچی) و موارد مهم دیگر را نشان می دهد. استفاده از وب سایت archive.org با وجود ماشینی به نام Wayback Machine که اسکرین‌شات‌های سایت‌ها را در طول زمان در خود ذخیره می‌کند، هم قابلیت‌های زیادی به یک هکر می‌دهد.

در واقع هکر با ورود به این سایت و وارد کردن آدرس هدف می‌تواند به محتوای سایت در گذشته نگاهی بیندازد. اینکار برای هکر چه فایده‌ای دارد؟ نکته اینجاست که بسیار پیش آمده هدف مدیر یک سایت یا سایت از حذف کردن محتوایی خاص، مسائل امنیتی آن بوده باشد. از این رو در این اسکرین‌شات‌ها اطلاعاتی یافت می‌شوند که به شدت کار هکر را ساده می‌کنند. خوشبختانه امکان پیشگیری از دسترسی به پیشینه سایت وجود دارد . یکی از راه‌های جلوگیری از ان ساخت یک فایل robots.txt در مسیر ریشه سایت یا وبسایت است. مدیران وبسایت با ایجاد این نوع فایل‌ها از دسترسی به دایرکتوری‌ها و ثبت پیشینه تاریخی یک سایت جلوگیری می‌کنند.

نحوه ساخت فایل robots.txt

1-یک فایل متنی به نام robots.txt در بخش root بسازید.

2-دو فرمان زیر را در فایل متنی تایپ کنید:

User-agent:*
Disallow: /

همیشه یادتان باشد هکر ها اکثرا از اطلاعات پیش پا افتاده سایت مانند چیز هایی که بالا اشاره شد استفاده می کنند و دست به کار های مخربی می زنند، با انجام اقدامات بالا اگر جلو گیری از هک را انجام ندهیم ولی هکر به راحتی نمی تواند کار خود را انجام دهد و باید به سراغ روش های مستقیم برود .


نظرات