مجموعه ها


پربازدیدترین مطالب

گوشی گم شده خود را صدا بزنید، جواب می دهد بررسی حملات تزریق SQL یا SQL INJECTION و مقابله با آن در PHP و ASP.NET گوشی گمشده خود را با Android Device Manager پیدا کنید از تصویر گوشی اندرویدی خود خسته شده اید؟ بررسی حملات سرقت نشست Session Hijacking و راههای مقابله با آن بررسی حملات تزریق کد XSS یاCSS و مقابله با آن در PHP و ASP.NET حملات محرومیت از سرویس DOS و DDOS - بخش اول اجرای کدهای مخرب در سمت سرور یا Remote Code Execution حملات محرومیت از سرویس DOS و DDOS - بخش دوم از همه جای دنیا به کامپیوتر خود وصل شوید.

آخرین مطالب

5 نکته و ترفند در جستجو با گوگل که باید بدانید از همه جای دنیا به کامپیوتر خود وصل شوید. از گوشی خود پرینت بگیرید اجرای کدهای مخرب در سمت سرور یا Remote Code Execution امنیت فایل های موقت یا Security For Temporary Files بررسی حملات سرقت نشست Session Hijacking و راههای مقابله با آن بررسی حملات تزریق SQL یا SQL INJECTION و مقابله با آن در PHP و ASP.NET بررسی حملات تزریق کد XSS یاCSS و مقابله با آن در PHP و ASP.NET حملات محرومیت از سرویس DOS و DDOS - بخش دوم حملات محرومیت از سرویس DOS و DDOS - بخش اول

چه نوع حملاتی به برنامه های وب آسیب می رسانند؟

چه نوع حملاتی به برنامه های وب آسیب می رسانند؟

واضح است که هر برنامه ی کاربردی وبی که به جمع آوری اطلاعات از کاربران می پردازد در معرض حملات[1] خودکار است. همچنین واضح است که وبسایت هایی نیز که به کاربران خود اطلاعاتی انتقال میدهند نیز در معرض این آسیب هستند. به عبارت دیگر همواره سیستم ها درگیر حملات و آسیب ها هستند بدون اینکه سمت و سوی جریان اطلاعات در آنها مهم باشد. ما در زیر در دو بخش جداگانه به بررسی این آسیبها می پردازیم.

زمانی که از کاربران اطلاعات را می گیریم:

یکی از شایع ترین انواع برنامه های کاربردی وب به کاربران اجازه می دهد تا اطلاعاتی را وارد سیستم کنند. پس از وارد شدن این اطلاعات، ممکن است عملیاتهای ذخیره و بازیابی روی آنها اعمال شود. همواره کارشناسان از این که سادگی داده های وارد شده توسط مردم باعث این تصور شود که داده های وارد شده بی ضررند؛ نگران هستند.

حملات انسانی[2]

 انسانها توانایی این را دارند که از هر فناوری در هر دو راه سود و زیان استفاده کنند، در حالی که شما به طور کلی از لحاظ قانونی مسئول اعمال افرادی هستید که از برنامه های کاربردی آنلاین شما استفاده می کنند. بعلاوه در عمل، برخورد با کاربران مخرب مقدار قابل توجهی از منابع را هدر می دهد و همچنین اقدامات خرابکارانه آنها می تواند به شهرت وب سایت شما که برای راه اندازی آن بسیار تلاش کرده اید تاثیر گذارد.

رفتارهایی که در زیر به آنها اشاره شده است بخشی از رفتارهای انسانی است و شاید نتوان آنها را نوعی از حملات مخرب دانست چرا که  آنها امنیت واقعی نرم افزار را تهدید نمی کنند، اما به هر حال این رفتارها ناقض سیاست و قرارداد زندگی اجتماعی هستند.

- سوء استفاده ازذخیره سازی[3]

با توجه به محبوبیت وبلاگها وسیستمهای ارتباطی آنلاین[4]، بسیاری از این سایت ها به کاربران خود اجازه می دهند نوشته یا تصاویری را که دوست دارند در فضای سایت ذخیره نمایند. سایتهای از این دست افرادی را که معتاد ذخیره سازی هستند جذب می کنند و این افراد با ذخیره مطالب و عکس ها در این سایتها بدون ترس، از این منابع در سرورهای خودشان استفاده می کنند چرا که اینها نوشته و عکس اند که به لحاظ قوانین سایت سرویس دهنده غیر قانونی نیستند. این افراد همان افرادی هستند که خواهان فضای رایگان برای داده هایشان هستند چرا که در غیر اینصورت مجبور به پرداخت هزینه خواهند بود.

- خیمه شب بازی[5]:

هر سایتی که بخواهد نظرات کاربران و بازخورد آنها را منتقل کند در برابر این حمله آسیب پذیر است. این حمله زمانی رخ می دهد که یک کاربر واقعی برای رساندن رساتر نظر خود با نام های مختلفی ثبت نام می کند.

برای مثال این حمله در برخی محصولات معرفی شده در سایت  AMAZON.COM روی میدهد و بر اساس آن اخلاگران با ایجاد چندین حساب کاربری غیر واقعی و حمایت از یک نظر خاص نوعی توهم کاذب نسبت به محصولی را به وجود می آورند.

در این حمله؛ عامل حمله تنها پیامهای هماهنگ شده ای را از طریق حسابهای مختلف انتشار می دهد.

اهمیت این حمله زمانی آشکار می شود که یک خیمه شب باز(عامل حمله) به تنهایی و با تلاشی که می کند می تواند نظر اکثریت را به سمت و سویی که می خواهد سوق دهد.

-افترا[6]

این نوع از آسیب هم نوعی خیمه شب بازی است. در این نوع از حمله، یک اخلالگر شروع به انتشار مطالب نادرست در مورد شرکتها و یا فرد بخصوصی در فضای مجازی می کند. این حمله زمانی موثر واقع می شود که با حمایت گسترده همراه باشد در این حالت ممکن است شما مجبور باشید در دادگاه و یا در برابر هیئت مدیره شرکت از خود دفاع کنید و بی گناهی خود را اثبات نمایید.

- استفاده از هویت دیگران : 

این هم نوعی دیگر از حملات خیمه شب بازی است. در این حمله؛ عامل حمله خود را با پوششی از هویت شناخته شده برای شما می پیچد و با گمراه کردن شما اطلاعات ارزشمند را از شما به سرقت برده و یا آنها را در فضای مجازی انتشار می دهد. این نوع حمله بیشتر متوجه کسب و کارهای بزرگ و افرادی خاص می شود.

 حملات خودکار[7]

 در این نوع از حملات انسان با بهره گیری از توانایی ماشین علی الخصوص کامپیوتر حملات را بصورت خودکار پایه ریزی می کند. در این نوع حمله یک برنامه یا روبات بر اساس مکانیزم پیاده سازی اش یک خدمت دهنده را دچار مشکل می کند. این مشکل ممکن است بصورت اشباع شدن پهنای باند، تولید خطاهای بسیار زیاد و یا جذب کاربران به صفحات تبلیغاتی بروز کند.

 - کرم ها [8]و ویروس ها[9]

 این حمله احتمالا برجسته ترین شکل از حمله خودکار و قطعا بدنام ترین آن است.کرم و یا ویروس یک برنامه کوچک است که خود را بر روی کامپیوتر شما بدون اطلاع شما نصب می کند. این برنامه ممکن است توسط یک پیام ایمیل و یا نرم افزاری که دانلود کرده اید به کامپیوتر شما منتقل شده باشد. تفاوت کوچکی فنی بین این دو(کرم و ویروس) وجود دارد، یک کرم موجودی است که به خودی خود فعالیت می کند و نیازی به وابسته شدن به برنامه ای دیگر ندارد در حالی که یک ویروس باید بر روی یک فایل اجرایی و یا یک سند سوار شود تا بتواند اهداف خود را پیاده سازی نماید. هدف اولیه از یک کرم و ویروس این است که بتواند به خودی خود انتشار و گسترش یابد و ماشین های دیگر را نیز آلوده کند. هدف ثانویه نیز ممکن است از کار انداختن ماشین آلوده شده، حذف و یا اصلاح فایل ها و یا بازکردن دری پشتی(مخفی) برای استفاده از منابع آن ماشین باشد. اگر یک کرم و یا ویروس بر اساس یک شکاف امنیتی گسترده پیاده سازی شده باشد می تواند در عرض چندین دقیقه خود را در سراسر شبکه جهانی انتشار دهد!

 - اسپم

اسپم ها یکی دیگر از حملات خودکار هستند. وظیفه یک اسپم ارسال پیام های ناخواسته در تعداد زیاد است. این حمله در کلاس دیگری از حملات خودکار قرار دارد چرا که کاری که توسط اسپم انجام می گیرد جزو کارهای تعریف شده و عادی یک سرور است. تنها آسیب یک اسپم اتلاف منابع سرور است.

 - پر کردن خودکار ورودی کاربر[10]

 نوعی دیگری از حملات خودکار، پر کردن ورودی هایی است که می بایست توسط یک کاربر واقعی پر شود. این حمله می تواند در جهت اخلال سیستم و یا بدست آوردن نام کاربری و رمز عبور کاربران به کار گرفته شود.

برای مثال سازمانی که خدمات اینترنتی رایگان ارئه می دهد تصمیم می گیرد در زمینه ایمیل، ذخیره سازی سایت و بارگزاری داده به کاربران خود خدمات دهد، اما در این مورد موارد امنیتی را کاملا لحاظ نمی کند. حال کافیست یک ربات نوشته شود و اعضایی غیر واقعی برای این سازمان بوجود آورد و از خدماتی که این سازمان داده است در جهتی غیر از اهداف تعیین شده مانند ارسال هرزنامه استفاده نماید.

در مثالی دیگر سایتی در زمینه نظرسنجی را در نظر بگیرید که می خواهد در مورد نامزدهای انتخابات ریاست جمهوری نظرسنجی کند، حال ممکن است یک اخلالگر با برنامه ریزی حمله ای خودکار آرا یکی از نامزدها را بالاتر ببرد، شاید فکر کنید چون این یک نظر سنجی است این حمله چندان تاثیر گذار نباشد اما واقعیت این است که با انتشار نتایج چنین نظرسنجی هایی در سطح عمومی، ممکن است انتخابات واقعی دچار تحولی اجتناب ناپذیر شود.

 

وقتی که اطلاعات به کاربران ارائه می شود

به نظر می رسد صاحبان کسب و کار و توسعه دهندگان برنامه های تحت وب از اینکه سایتهایشان به کاربران آن هم در حجم انبوه اطلاع رسانی می کنند خوشحال باشند؛ اما دادن اطلاعات همیشه لذت بخش نیست بخصوص وقتی که مشخص شود بسیاری از این اطلاعات به سیستم های خودکار داده شده است نه به افراد واقعی.

 نمونه ای از این آسیب پذیریها در زیر توضیح داده شده است.

- برداشتن آدرس ایمیل[11]

اینکه یک سایت و یا یک کسب و کار آدرس ایمیل داشته باشد و از این آدرس برای ارتباط بهتر با کاربران و مشتریان استفاده کند امری عادی است. در ابتدا این که این آدرس های ایمیل در سایتهای مختلف بعنوان پل ارتباطی معرفی شوند چندان مسئله جدی به نظر نمی رسد اما واقعیت این است که در بسیاری از موارد این ایمیلها توسط سیستم های تبلیغاتی و یا ارسال کننده های هرزنامه با برنامه هایی خودکار ذخیره و در جهتی غیر از ارتباط سازنده استفاده می شود و این امر باعث می شود بسیاری از منابع و نیروی سیستم صرف حذف این ایمیل ها شود.

- جلوگیری از خدمت دهی

 در این نوع حمله با ایجاد ترافیک کاذب بر روی یک سرور، برای مثال فراخوانی میلیونی یک صفحه و یا تصاویر بزرگی که در فضای سایت وجود دارد، منابع سیستم بصورت بی هدف اشغال و سیستم از خدمت دهی اصلی خود به کاربران واقعی باز می ماند.

- کنکاش اطلاعات

در این نوع از حمله، اخلالگر به وسیله ی برنامه هایی که در اختیار دارد اطلاعات ارسالی از سمت سرور را مورد بررسی قرار می دهد و با آنالیز آنها ضعف های موجود سیستم را شناسایی کرده و حملاتی بر پایه آنها را که به مراتب تاثیر گذارترند را پایه ریزی می نماید.

 ما در ادامه این مقالات به بررسی دقیقتر حملات و نحوه جلوگیری از آنها خواهیم پرداخت.

[1] attacks

[2] human attacks

[3] abuse of storage

[4] message board systems

[5] sock puppets

[6] defamation

[7] automated attacks

[8] worms

[9] viruses

[10] automated user input

[11] harvesting email addresses


, , , , , ,

نظر بدهید: