منو
 صفحه های تصادفی
دانشکده اقتصاد
رادرفورد
اشعار امام علی علیه السلام در بی اعتنایی به دنیا
تانتالیت
مبارزه امام کاظم علیه السلام با غاصبان خلافت
معامله تجاری نوع چهارم
lysogenic versus lytic response
گستره طیف الکترومغناطیس
تخم مرغ شناور
Molybdenum
 کاربر Online
425 کاربر online
تاریخچه ی: نقاط ضعف امنیتی شبکه های وب

||V{maketoc}||
^@#16:
!بررسی نقاط ضعف امنیتی شبکه های وب

{*در ادامه بحث امنیت شبکه‌های وب، به بررسی عوامل تضعیف سرویس دهندگان وب و علل مهیا شدن زمینه نفوذ و تهاجم به سایت‌ها، بخصوص مراکز فعالیت‌های اقتصادی خواهیم پرداخت.

همانطور که می‌دانیم ایجاد امکان مراودات الکترونیکی در ((اینترنت)) با احتساب مزایا و محاسن بیشمار خود، مشکلات عدیده ای را نیز به همراه داشته است. در حقیقت هر یک از طرفین (سرویس دهندگان و سرویس گیرندگان) با نگرانی های جدی مواجه هستند و در همین راستا، جهت ایمن‌سازی مراودات خود از یکدیگر انتظاراتی را مطرح می‌نمایند.

ایجاد ایمنی و رفع هرگونه تهدید در انجام معلامات و یا تراکنش‌های اقتصادی، و نیز قانونمند و مطمئن بودن فعالیت و مخفی ماندن اطلاعات مربوطه به آن بعنوان توقعات مشتریان مطرح می‌شود و در مقابل فعالیت همراه با دقت کاربر، عدم انجام اعمال خلاف قوائد و قوانین ((شبکه)) و مراودات الکترونیکی و نهایتاً اجتناب از تخریب و یا صدمه‌زدن به سایت از انتظارات سرویس دهندگان می‌باشد.

در عین حال هر دو طرف از واسطه انتقال دهنده اطلاعات که همانا سیستم‌های مخابراتی هستند توقع جلوگیری از استراق اطلاعات و ... را خواهند داشت.
در حقیقت در مباحث مربوط به ((امنیت شبکه))، ایمنی کاربر، ایمنی سرویس‌دهنده و ایمنی مخابراتی از رئوس مطالب مورد توجه می‌باشند.*}
::{picture=websecurity.jpg}::
در ادامه سعی در بررسی کاستی‌های مجموعه خواهیم نمود:

__1)عدم نصب صحیح سسیتم عامل‌های اصلی شبکه__

{*یکی از اصلی‌ترین دلائل بروز حمله به سایت‌های اینترنتی حفره‌های موجود در نرم‌افزارهای ((سیستم عامل)) به جهت عدم نصب اصولی و تکنیکی آنها می‌باشد. در حقیقت عدم شناخت و آگاهی کافی برخی از مسئولین سایت ها از امکانات، محاسن و معایب و حفره‌های موجود در سیستم عامل مورد استفاده موجب می‌ شود مبحث انجام تنظیمات صحیح به دقت و درستی انجام نشده و به سادگی، زمینه جهت ورود غیر مجاز مهاجم مهیا شود. بسته نبودن ((Port)) های موجود در مجموعه سرویسهای یک ((Server)) به لحاظ امنیتی بسیار خطرناک می باشد که در بسیاری از موارد به جهت عدم دقت مسئولین مربوطه، مسیر هموار جهت ورود مهاجمین ((هکر ها)) بوجود می‌آورد.

__2)وجود کاستی‌های فراوان در ساختار سیستم‌ عامل‌ها__

متأسفانه علیرغم پیشرفت‌های شگرف دنیای سیستم عامل‌ها، متأسفانه علاوه بر مشکل عدم آگاهی نسبی برخی از متخصصین شبکه، وجود مشکلات بنیادی در بدنه نرم افزارهای Server نیز عامل ضعف دیگری برای آنها به شمار می‌رود. در حقیقت بسیاری از سیستم عامل های Server دارای نقایص فراوانی به لحاظ حفظ امنیت می‌باشند که بدیهی است با گذشت زمان نقاط ضعفشان شناسایی و رفع می‌گردد.

__3)اجازه استفاده از سرویس‌های گوناگون در Server__

اجازه استفاده از سرویس‌های گوناگونی همچون ((HTTP)) , ((IRC)) , ((FTP)) , ((TelNet)) و ... زمینه‌ساز هجوم‌های غیر مجاز فراوان در سرورها می‌باشد. در حقیقت هر یک از درگاههای ورودی مذکور (ports) ، مسیری هموار جهت نفوذهای غیرمجاز به داخل سرورها می‌باشد که می‌بایست با توجه به شرایط مورد نیاز کاربران در آنها محدودیت‌های لازم اعمال گردد و یا در صورت عدم توجیه امنیتی مناسب برای حضور هر یک، از آنها صرف نظر شود.

__4)وجود مشکلات امنیتی در پروتکل‌ها__

اتصال شبکه‌ها در اینترنت معمولاً با استفاده از ((پروتکل))((TCP/IP))انجام می‌پذیرد. در همین راستا اجازه استفاده از امکانات HTTP بر روی TCP/IP با توجه به گستردگی سرویس‌های آن مورد توجه قرار گرفته است و لذا وجود حفره‌های فراوان و بسترسازی مناسب برای مهاجمین در این پروتکل‌ مشهور، موجبات پدید آمدن اختلالات امنیتی فراوان در شبکه می‌گردد.

__5)عدم رعایت تدابیر امنیتی در نرم‌افزارهای نصب شده بر روی سرور__

معمولاً سرویس دهندگان وب جهت سهولت دسترسی و یا انجام امور کاربران و مشتریان خود اقدام به نصب نرم‌افزارهای کاربردی بر روی سیستم خود می‌نمایند که غالباً فاقد تدابیر ملزوم امنیتی می‌باشند. لذا بررسی و پیش‌بینی اقدامات تأمین در نصب و استفاده از این نوع برنامه‌ها بسیار پر‌اهمیت به نظر می‌رسد. بطور مثال برنامه های تهیه شده بصورت ((ASP)) نمونه‌ای از این موارد می‌باشد.

__6)عدم استفاده از گزارش فعالیت‌های سیستم و یا کنترل عملکرد کاربران__

یکی از مسائلی که باید مورد توجه سرویس دهندگان وب قرار گیرد، نصب و راه‌اندازی نرم‌افزارهای ((Capture)) و یا ذخیره کننده ((Log)) بر روی سرور می‌باشد. حضور این نوع از قابلیت‌ها بر روی سرور موجب می‌شود تا حرکات مشکوک و خزنده و در عین حال دور از فعالیت‌های معمول روزانه، ثبت و مورد بررسی قرار گیرد. براساس شواهد موجود، مهاجمین قبل از انجام مأموریت اصلی خود، به بررسی وضعیت سرورها ‌پرداخته و جنبه‌های مختلف و امکانات آنها را مورد بررسی قرار می‌دهند. این نوع حرکات در فایلهای Log ثبت می‌شود و با کنترل و بررسی‌ آنها می‌توان اقدامات امنیتی و باز دارنده مناسب قبل از حمله اصلی را اعمال نمود.

متأسفانه با توجه به کثرت مشتریان و کاربران وب، کنترل گزارشهای سیستم برای مسئولین شبکه امری بس مشکل و خسته کننده به نظر آمده و نهایتاً احتمال بروز مشکلات مذکور را افزایش می‌دهد.*}
#@
@#16:
__7)اعتماد به عملکرد مشتری__

{*یکی دیگر از کاستی‌های سرویس دهندگان در ارائه سرویس‌های آنلاین اعتماد به عملکرد قانونی و صحیح کاربران می‌باشد. در حقیقت همین ذهنیت موجب عدم کنترل کاربران خواهد بود. البته زمینه این مشکل مشابه مورد ششم این مبحث است اما در اینجا تراکم عملیات‌های انجام شده و درصد محدود بروز خطر برای سرویس دهندگان موجب عدم کنترل عملکرد و تراکنش‌های اقتصادی کاربر می‌گردد. لذا هیچگاه نباید به عملکرد کاربران یک سایت اعتماد کامل داشت.

__8)عدم وجود روشهای مناسب شناسایی کاربر__

یکی دیگر از نقاط ضعف سرویس دهندگان، عدم استفاده از روشهای مناسب شناسایی کاربران مجاز به استفاده از امکانات سیستم می‌باشد. امروزه شاید عمده‌ترین روش شناسایی کاربرنام شناسایی ((«User name))) و کلمه عبور ((«Password))) او باشد، که براساس آمار یکی از مهمترین راههای سوء‌استفاده از سایت‌ها به دست آوردن و استفاده از مورد ذکر شده می‌باشد. در حقیقت نرم‌افزارهائی که به همین جهت (به دست آوردن و یا حدس زدن کلمه عبور) تهیه شده‌اند، به سادگی می‌توانند احتمالات گوناگون کلمات عبور را در زمان بسیار کوتاهی بر روی سرورها بررسی نموده و مقصود را به سرعت بیابند.

در این راستا پیش‌بینی امکانات لازم جهت ایجاد کلمات عبور پیچیده بر روی سرورها از تدابیری است که می‌تواند احتمال بروز اختلال از این طریق را به حداقل برساند.

در حقیقت کاربران ملزم به استفاده از کلمات عبوری باشند که به لحاظ ساختاری نتوان به سادگی به آنها دست یافت.

البته در محافل و انجمن‌های علمی امنیت کامپیوتر و شبکه‌ها ، در این زمینه استاندارهایی تعیین شده است که هم اکنون در سایتهای مشهور مورد استفاده قرار می‌گیرند که خود موجب کاهش یورشهای احتمالی می‌گردد.

__9)عدم استفاده از تدابیر امنیتی مناسب و نرم‌افزار‌های ((Firewall)) و ((Proxy))__

با توجه به موار ذکر شده در مباحث نقاط ضعف سیستم‌های عامل و پروتوکل‌ها، وجود و استفاده از شیوه‌های نرم‌افزاری بازدارنده بسیار مورد توجه قرار گرفته است.

ایجاد و تهیه نرم‌افزارهایی که با لفظ دیواره آتش Firewall شناخته می‌شوند و نهایتاً نصب و استفاده از آنها بر روی سرور و یا در مسیر حرکت اطلاعات موجب کاهش احتمال یورش و نفوذ به حفره‌های موجود می‌گردد. در حقیقت این نوع نرم‌افزارها بصورت یک سد محکم و یا یک فیلتر در مسیر کاربران واقع می‌گردد و بطور دقیق نحوه عملکرد و مسیر حرکت کاربران و نحوه نقل و انتقالات اطلاعات را کنترل می‌نمایند.

بدیهی است با توجه به پیشرفت تکنیک‌های یورش در بعضی مواقع شاهد پشت سر گذاشتن Firewall ها نیز می‌باشیم و همین موارد موجب می‌گردد تا شرکت‌های نرم‌افزاری در کوتاهترین زمان ممکن در به روز رسانی و رفع نواقص Firewall های خود اقدام نمایند و آنها را در مقابل تهدیدها آماده سازند.

__10)عدم شناخت کافی از صحت اطلاعات دریافتی (عدم کنترل اطلاعات)__

یکی دیگر از نقاط ضعف موجود در سرویس دهندگان، عدم کنترل اطلاعات دریافتی و ارسالی از سوی کاربران می‌باشد. در حقیقت شیوه‌ای مرسوم که توسط مهاجمان مورد استفاده قرار می‌گیرد، ارسال ((Script)) و یا برنامه‌های پس از نفوذ بر روی سرورها می‌باشد که پس از دریافت‌های مذکور، مهاجم به سهولت قابلیت تخریب، تغییر و نهایتاً ایجاد اختلال در سایت را خواهد داشت.
نصب ویروس‌یاب و Firewall های مناسب از این نوع تهدیدها جلوگیری می‌نماید.

__11)عدم محافظت از اطلاعات حساس__

بسیاری از سرویس دهندگان جهت حفظ اطلاعات حساس خود اقدام به مخفی‌سازی encryption می‌نمایند. البته شکل ساده و تئوریکال قضیه، دور از دسترس قرار دادن اطلاعات است ولیکن روشهای گوناگون جهت انجام این مهم مورد استفاده قرار می‌گیرد که با توجه به اهمیت آن در آینده به آن پرداخته خواهد شد.*}

::{picture=secure4.jpg}::
{*عناوین یازده گانه مطروحه، حاکی از اهم نقطه ضعف‌های موجود در سرویس دهندگان وب بوده و سعی در بررسی حفره‌های عمومی موجود در سایت‌های وب داشت ولیکن طرح این سئوال که:
::” چرا دیگران علاقمند به نفوذ و خرابکاری در سایت مطلوب ما هستند؟“::

بتواند در شناخت عوامل گوناگون و مطرح برای مهاجمین یاری رسان باشد.در نهایت همواره باید به خاطر داشت:
__::” ایمنی مطلوب امروز، همواره بهتر از ایمنی کامل فرداست“::__*}
---
!پیوندهای خارجی
*[http://www.webappsec.org/lists/websecurity/archive/2006-03/msg00026.html ]
*[http://www.acunetix.com/websitesecurity/ ]
#@^

تاریخ شماره نسخه کاربر توضیح اقدام
 سه شنبه 11 مهر 1385 [13:00 ]   4   زینب معزی      جاری 
 سه شنبه 11 مهر 1385 [12:56 ]   3   زینب معزی      v  c  d  s 
 پنج شنبه 23 شهریور 1385 [11:41 ]   2   زینب معزی      v  c  d  s 
 شنبه 09 آبان 1383 [10:38 ]   1   سید علی محسنی      v  c  d  s 


ارسال توضیح جدید
الزامی
big grin confused جالب cry eek evil فریاد اخم خبر lol عصبانی mr green خنثی سوال razz redface rolleyes غمگین smile surprised twisted چشمک arrow



از پیوند [http://www.foo.com] یا [http://www.foo.com|شرح] برای پیوندها.
برچسب های HTML در داخل توضیحات مجاز نیستند و تمام نوشته ها ی بین علامت های > و < حذف خواهند شد..