امنیت وب سایت و سرور

در جهانی که حملات هکرها به وب سایت های اینترنتی هر روز پیچیده و پیچیده تر می شود، با پیشرفت مسائل امنیتی باید به فکر پیش گیری از این حملات و بررسی روش های افزایش امنیت وب سایت باشید. با افزایش یافتن پیچیدگی های امنیتی آنتی ویروس ها، فایروال ها، و برنامه های مبتنی بر به روز رسانی دوره ای، هکرها هم نیاز به راه های خلاقانه و جدید تری دارند. در نهایت آن ها در پاسخ به افزایش امنیت وب سایت و سرور از طرف صاحبان امر با حملات فزاینده و پیچیده به جنگ صنعت امنیت می روند و فعالان این عرصه را به کار و تلاش دائمی برای مبارزه در این نبرد وا می دارند.



امنیت در اینترنت

امنیت در اینترنت


حال چگونه میتوانیم از هک شدن سایت و مورد سواستفاده قرار گرفتن اطلاعات خود جلوگیری کنیم؟
تیم امنیت و طراحی سایت آرتیمان در این مقاله قصد دارد شما را با انواع روش های رایج که باعث آسیب پذیری سایت شما میشوند، آشنا نماید. رعایت نکات امنیتی زیر از اصول اولیه حفظ امنیت وب سایت شما میباشد. لازم به ذکر است رعایت نکاتی که در ادامه بیان میشود، وب سایت شما را کاملا امن نمیکند. جهت بررسی روش های افزایش امنیت وب سایت و انجام تست های امنیتی پیشرفته باید با متخصصین حرفه ایی تماس بگیرید.

استفاده از نرم‌ افزارهای قدیمی
معمولاً نرم ‌افزارهای قدیمی دارای انواع اشکالات امنیتی می‌باشند و توسط نفوذ گران استفاده می‌شود.

استفاده از سیستم های مدیریت محتوای قدیمی
در صورت استفاده از سیستم های مدیریت محتوای قدیمی احتمال هک شدن سایت شما تقریباً ۱۰۰ درصد می‌باشد.

استفاده از رمز عبور ضعیف و ساده
یکی از رایج‌ترین عوامل هک شدن یک سایت پیدا کردن یکی از رمزهای عبور مانند رمز عبور کنترل پنل، FTP، دیتابیس، admin، ایمیل، بخش مدیریت سایت و یا یکی از رمز عبورهای سایت می‌باشد.

بررسی روش های افزایش امنیت وب سایت
لو رفتن رمز عبور
روش‌ های لو رفتن رمز عبور بسیار زیاد می‌باشند برای نمونه دیدن تایپ رمز عبور توسط شخص دیگر و حفظ کردن آن، لو رفتن توسط کارمندان و یا همکاران ناراضی، قرار دادن نرم‌افزار جاسوس بر روی کامپیوتر فرد، ساده بودن رمز عبور و پیدا کردن آن با استفاده از روش‌های bruteforce، حدس زدن رمز عبور مانند شماره تلفن و شماره شناسنامه و یا هر نوع رمز قابل حدس دیگر.

امکان آپلود فایل غیر مجاز توسط کاربران سایت
حملات ناشی از آپلود فایل در صورتی که با موفقیت انجام شوند می توانند کل سیستم شما را تحت کنترل در آورند و انواع خرابکاری‌ها را انجام دهند، در صورت نیاز به استفاده از گزینه آپلود فایل در سایت لازم است از یک برنامه نویس آشنا به مسائل امنیتی استفاده کنید یا با یک متخصص امنیت در این باره مشورت کنید.

قابل نفوذ بودن هاستینگ سایت
یکی از اولین راه های نفوذ به یک وب سایت گذشتن از هاست است. هاستی که دارای پیکیره بندی خوبی باشد هکر به راحتی نمی تواند وارد اطلاعات یک سایت شود. بهتر است از سایت هایی که خدمات میزبانی وب گسترده در سطح کشور دارند و وب سایت های مطرحی از خدمات آنها استفاده میکنند، هاست خریداری نمایید.

نصب نرم‌افزار، ماژول، قالب و پلاگین قفل شکسته یا کرک شده
معمولاً هکر ها اقدام به شکستن قفل نرم‌افزارها می‌نمایند و سپس در آن نرم‌افزار یک کد مخرب قرار می‌دهند و آن را به رایگان در اینترنت منتشر می ‌نمایند و شما نیز ممکن است به دلیل رایگان بودن از آن استفاده نمایید. این روش یکی از رایج ‌ترین روش ‌های نفوذگرها برای نفوذ می‌باشد زیرا این امر موجب می‌شود پس از نصب آن نرم‌افزار، ماژول، قالب و یا پلاگین سایت شما عملاً در اختیار هکر قرار می‌ گیرد تا در زمان مناسب به آن نفوذ نماید.

ویروسی شدن کامپیوتر مورد استفاده در مدیریت سایت
یکی از روش‌های رایج نفوذ گران انتشار ویروس و تروجان در سطح اینترنت می‌باشد. معمولاً این نرم‌افزارهای مخرب بدون اطلاع مدیران سایت که در حال استفاده از کامپیوتر ، تبلت و یا کافی نت آلوده می‌باشند تمامی رمز عبورها را مخفیانه برای نفوذگر ارسال می‌نمایند و نفوذگر به راحتی و بدون اطلاع مدیر سایت از اینکه در زمانی رمز وی لو رفته سایت را هک می ‌نمایند.

برخی از مشتریان امنیت وب سایت و سرور آرتیمان

چه چیزهایی ارزیابی امنیت می‌شوند

در تست نفوذ لازم است تمام سرویس‌های داخلی و خارجی كه توسط مجموعه ارائه می‌شوند، مورد بررسی و آزمون قرار گیرند . سرویس‌هایی مانند  Mail،  DNS، سیستم‌های فایروال ، ساختار كلمات عبور، سیستم‌های پروتكل انتقال فایل ، وب سرورها و ... . طبق نیازهای مجموعه وب سایت های داخلی نیز مورد تست قرار می‌گیرند. از طرف دیگر روش‌های بالقوه نفوذ مانند دسترسی به منابع شبكه و شیوه به دست آوردن اطلاعات نیز مورد بررسی قرار می‌گیرند.

باید دقت داشت كه تست نفوذ تنها یك تصویر لحظه‌ای از سیستم‌ها و شبكه‌ها در یك زمان مشخص است. تست نفوذ تنها بر روی سیستم‌هایی كه در زمان اجرای تست در دسترس هستند و آسیب پذیری‌ها و نقص‌های امنیتی كه توسط تیم تست‌نفوذ قابل شناسایی هستند، انجام می‌شود. به عبارت دیگر پروسه امنیت شبكه و سیستم، یك پروسه پیوسته و دائمی است، زیرا به محض تمام شدن تست، ممكن است یك سیستم و یا برنامه كاربردی دیگر به مجموعه اضافه شده و در صورت اجرای دوباره تست نفوذ، نتایج متفاوتی حاصل گردد.

تست نفوذ چیست؟

تست نفوذ یاPenetration Test  یك پروسه مجاز، برنامه‌ریزی شده و سیستماتیك برای به كارگیری آسیب‌پذیری‌ها جهت نفوذ به سرور، شبكه و یا منابع برنامه های كاربردی است. در واقع تست نفوذ روشی برای ارزیابی امنیتی یك سیستم یا شبكه كامپیوتری است كه از طریق شبیه‌سازی حمله یك هكر یا نفوذگر صورت می‌گیرد. پروسه تست نفوذ یك تحلیل فعال از سیستم برای یافتن هر حفره، آسیب‌پذیری و نقص فنی است كه بالقوه یك ضعف امنیتی سیستم محسوب می‌شود. این تحلیل در مقام یك هكر بالقوه انجام می‌شود و در آن می‌توان از آسیب‌پذیری‌های امنیتی فعال برای اجرای حملات استفاده كرد. همه مشكلات امنیتی باید همراه با ارزیابی میزان اهمیت آنها و همچنین پیشنهاد‌هایی برای كاهش اثر خطرات و یا راه‌ حل‌های فنی به صاحب سیستم ارائه شوند. تست نفوذ می‌تواند با استفاده از منابع داخلی همچون سیستم امنیتی میزبان و یا منابع خارجی همچون اتصالات شركت به اینترنت هدایت شود. در این تست معمولاً از یك سری ابزارهای اتوماتیك و یا دستی برای آزمودن منابع سیستم استفاده می‌شود.

آزمون‌های نفوذ و تست‌های آسیب‌پذیری در چهار سطح زیر قابل انجام خواهد بود:

  • استفاده از متدولوژی OWASPیا SANS در تست‌های جعبه سیاه
  • استفاده از متدولوژی OSSTMMدر تست‌های جعبه سفید
  • استفاده ترکیبی از ۲ متدولوژی فوق در تست‌های جعبه خاکستری
  • استفاده از متدولوژی و سیستم CVSSدر ارزیابی آسیب‌پذیری‌های کشف شده


لزوم استفاده مداوم از خدمات تست نفوذ

باید دقت داشت که تست نفوذ تنها یک تصویر لحظه ای از سیستم ها و شبکه ها در یک زمان مشخص است. تست نفوذ تنها بر روی سیستم هایی که در زمان اجرای تست در دسترس هستند و آسیب پذیری ها و نقص های امنیتی که توسط ابزارها و بسته های مختلف قابل شناسایی هستند، انجام می شود. به عبارت دیگر پروسه امنیت شبکه و سیستم، یک پروسه پیوسته و دائمی است زیرا به محض تمام شدن تست، ممکن است یک سیستم و یا برنامه کاربردی دیگر به مجموعه اضافه شده و در صورت اجرای دوباره تست نفوذ، نتایج متفاوتی حاصل گردد.

 ابزارهای مورد استفاده در تست نفوذ

در یک تست نفوذ با توجه به نوع تست نفوذ، وسعت آن و محدودیت‌های تعریف شده توسط کارفرما، از ابزارهای متفاوتی استفاده می‌شود. ابزارهایی که به طور معمول در تست‌های نفوذ توسط «پیمانکار» مورد استفاده قرار می‌گیرد شامل موارد ذیل می‌باشد:

ü  Nessusü  Acunetix WVS
ü  Netsparkerü  NTO Spider
ü  Metasploitü  HP WebInspect
ü  Kali/BackTrack Linux Toolsü  Cain
ü  Burp Suiteü  THC Hydra
 

بررسی زمان انجام پروژه

امنیت وب سایت

امنیت وب سایت


بررسی هزینه های پروژه

با بررسی های ارائه شده توسط آن مجموعه محترم، هزینه تست نفوذ دامنه ها به صورت ذیل پیشنهاد می گردد :
  • هزینه تست نفوذ دامنه... مبلغ ............ ريال
  • هزینه تست نفوذ و کانفیگ سرور شرکت ...... مبلغ ................. ريال
  • هزینه پشتیبانی سایت و سرور شرکت ....... به مدت .... سال مبلغ .........