محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

آموزش جلوگیری از انتشار اطلاعات امنیتی وب سرور : HTTP Header

یکی از اولین مراحل انجام حملات هکری بدست آوردن اطلاعات از هدف حمله است ، اگر این هدف یک وب سایت باشد در مرحله اول که به آن Foot printing گفته می شود ، هکر بایستی اطلاعاتی در خصوص وب سایت بدست بیاورد. اکثر وب سایت های داینامیک به محض اینکه درخواست کاربر را برای مشاهده صفحات دریافت می کنند ، یک سری اطلاعات در خصوص وب سرور و همچنین تکنولوژی های بکار رفته در آن را به سمت کلاینت ارسال می کنند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

در اصطلاح فنی به این بازگشت و پاسخگویی به اطلاعات که توسط پروتکل HTTP انجام می شود و اطلاعاتی در خصوص وب سرور دارد HTTP Response Header گفته می شود . همانطور که اشاره شد با استفاده از اطلاعات بدست آمده در خصوص هدف حمله توسط همین تکنولوژی ، هکر می تواند حملات خود را بر اساس نسخه مورد استفاده وب سرور و یا تکنولوژی برنامه نویسی بکار رفته در وب سایت برنامه ریزی کند.

شما می توانید با بالا بردن سطح امنیتی نرم افزارهای تحت وب خود از طریق کنترل کردن اطلاعات ارسالی به سمت Browser توسط HTTP Response Header ها امنیت وب سایت و وب سرور خود را بهبود ببخشید. بسیاری از نرم افزارهای تحت وب بصورت پیشفرض با دریافت اولین درخواست از طرف کلاینت ، اطلاعاتی در خصوص Framework مورد استفاده در وب سایت و حتی نسخه آن را نیز در اختیار کاربر قرار می دهند ، اینگونه Header ها بایستی از پاسخ درخواست حذف شوند.

با دانستن نوع Framework مورد استفاده توسط وب سرور ، هکر می تواند نقاط ضعف آن نسخه خاص را برای حمله استفاده کند. با استفاده از کتابخانه ای به نام NWebsec که در پلتفرم های تحت ASP.NET قابل استفاده هستند ، شما می توانید براحتی version header ها ، cache header ها ، redirect های خطرناک و همچنین header های امنیتی وب سرور را مدیریت و کنترل کنید . شما می توانید این کتابخانه را از طریق لینک زیر دریافت کنید.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات