بخشی از پاورپوینت
اسلاید 1 :
به نام خدا
مبحث امنیت وبسات ها
اسلاید 2 :
مبحث امنیت وبسات ها
در ابتدا آشنایتی جزئی با نحوه کار وعملکرد وبسایت ها خدمت دوستان
ارائه خواهیم داد تا در ادامه به امنیت این مقوله وارد جزئیات شویم .
این مباحث برگرفته از جمع بندی حدودا 17 مقاله در طراحی اجرا و امنیت
وبسایت ها میباشد که در مواردی توسط تجربیات بنده تکمیل شده است .
جهت سهولت در آشنایی بیشتر و بهتر با موارد امنیتی این مبحث
به سه بخش اصلی تقسیم شده است
امید است این گفتار آشنایتی خدمت دوستان ایجاد نمایید .
اسلاید 3 :
مبحث امنیت وبسات ها
فصل اول : امنیت کاربر - شخصی سازی
فصل دوم : امنیت کدینگ - طراحی صفحات
فصل سوم : امنیت سرور ها - تجهیزات
اسلاید 4 :
مبحث امنیت وبسات ها
فصل اول : امنیت کاربر - شخصی سازی
امروزه با افزایش استفاده از اینترنت برای تبادل اطلاعات مهم و اساسی بحث امنیت
در فضای مجازی از اهمیت بالایی برخوردار شده است .
امنیت در لفظ گفتاری بدین معناست که جلوی گیری از نفوذ به اطلاعاتی که ما به صورت عمومی
انها را در اختیار نگذاشته ایم .
* اطلاعات هر انقدر هم که فاقد ارزش باشند برای افرادی جهت سوء استفاده و دستکاری بالاترین
ارزش را دارند پس میتوان گفت هیچ اطلاعاتی وجود ندارد که فاقد ارزش باشند .
* لازم به ذکر است که قابل تامل میباشد شبکه های اجتماعی که بزرگترین سرقت اطلاعات رو
از طریق خود افشایی را در سطح جامعه ما دارند .
از انجایی که در مبحث امینت وبسایت در این فصل امنیت کاربر و شخصی سازی مورد بحث میباشد
ایمیل های شخصی نیز در این بخش میباشند پس دقت داشته باشید همانطور که گفته شده هیج
اطلاعاتی فاقد ارزش نیستند .
اسلاید 5 :
مبحث امنیت وبسات ها
فصل اول : امنیت کاربر - شخصی سازی
در صفحه قبل توضیحاتی از امنیت کاربر خدمت دوستان ارائه شد در ادامه ما به سرفصل های
اصلی بصورت خلاصه اشاره خواهیم نمود .
محرمانگی کاربر
از انجایی که رمزهای عبور کاملا شخصی بوده پس بایستی دقت داشته باشیم در حفظ نگه داری انها
رمزهای عبوری که ما برای ورود به بخش های مدیریتیه وبسایت ها ایمیل ها و سرور ها استفاده
می کنیم بایستی دارای الگوریتم باشد که هم از نفوذ سریع و فراموش شدن انها جلوگیری شود .
* محرمانگی و الگوریتمی بودن رمزهای عبوری اولین و پایه ترین امنیت کاربر میباشد .
منظور از محرمانگی رمزهای عبوری این است که از افشای انها به صورت نوشتاری در محل خاص
ویا تکرار گفتاری رمز در هنگام تایپ خوداری نماییم .
در مواردی زیادی قربانیان هکرها توسط تکرار دوباره یوزرنیم های کاربر بجای پسورد
اقدام به نفوذ می نمایند پس توجه داشته باشید که از این عمل جدا خوداری نمایید .
اسلاید 6 :
مبحث امنیت وبسات ها
فصل اول : امنیت کاربر - شخصی سازی
پس از بخش محرمانگی کاربر به بخش انتخاب رمزهای عبوری میرسیم که اکثر کارشناسان این
بخش رو بخش هسته ی اولیه و مدیریت کاربر می نامند .
انتخاب رمز عبور
در این بخش کاربر بایستی مواردی دقت داشته باشد تا یک رمز عبور مطمعا رو برای ورود با سامانه
تعریف نماید .
در بخش قبل ما گفتاری از الگوریتم ها داشتیم حال از ان برای انتخاب یک رمز عبور مطمعا استفاده
خواهیم کرد .
-الگوریتم نامتعارف : در زبان عامیانه به اعمال رمز های عبوری که ترکیبی از
حروف و علائم / اعداد و حالت بزرگی و گوچکی حروف استفاده گردد می گویند .
الگوریتم متعارف ( هش ) : به رمزنگاری های نرم افزاری و دیتابیسی که از یک الگوریتم خاص
جهت تولید رمز استفاده میکنند می گویند .
در صفحه بعد نگاهی به انواع رمزهای عبوری خواهیم داشت .
اسلاید 7 :
مبحث امنیت وبسات ها
فصل اول : امنیت کاربر - شخصی سازی
در این جدول ساده ما نحوه ی پیدا کردن و زمان تقریبی یافتن رمز کاربر رو توسط ساده ترین
نرم افزار رندم رمز های عبوری
نشان داده ایم .
ساخت پسورد رندم :
مشاهده پسورد ها :
Password Generator Professional 5.54
See Password 2.05
اسلاید 8 :
مبحث امنیت وبسات ها
فصل اول : امنیت کاربر - شخصی سازی
در بخش های قبل با محرمانگی و رمزنگاری اشنا شدیم در این بخش سیستم مورد استفاده کاربر
از نظر امنیت نرم افزاری و دیواره آتش مورد بررسی قرار میگیرد .
سیستم کاربر
در این بخش همانطور که اکثریت کاربران عموما مورد استفاده قرار میدهند همان
آنتی ویروس ها هستند . ولی ما به انتی ویروس ها که اپدیت هم هستند اکتفا نمی کنیم و به سراغ
انتی اسپمر ها و انتی تروجان ها میرویم .
* اکثر هک هایی که فقط برای سرقت رمزهای عبوری میباشند توسط تروجان ها انجام می پذیرد .
ما بایستی با فعال سازی دیواره اتش ویندوز و بروز رسانی تمامی نرم افزار های انتی ویروس ها و
آنتی تروجان ها از ورود این مخرب ها به سیستم کاربر برای جلو گیری از لو رفتن رمز های عبوری
استفاده نماییم .
در صفحه بعد با نرم افزار های تروجان ساز و نرم افزار های انتی تروجان آشنا می شویم .
اسلاید 9 :
مبحث امنیت وبسات ها
فصل اول : امنیت کاربر - شخصی سازی
تروجان ها فایل هایی اجرایی با پسوند های مختلف هستند که اکثرا هکر ها کوچک برای یافتن
رمزهای عبوری ایمیل ها پورت های باز سیستم و پسورد مدیریت وبسایت و ده ها
بخش مورد تحدید قرار میدهند .
* اکثر این فایل های پس از اجرا که عمدتا توسط خود کاربر دریافت و نصب می شوند در Dll
ویندوز در قسمت های مختلف کپی و مخفی میشوند . که فقط با انتی تروجان های اپدیت قابل
شناسایی و پاکسازی می باشند .
لازم به ذکر است که بعضی از این تروجان ها امکان عکس برداری از صفحه نمایش شما را نیز دارا
میباشند .
* پس میتوان کفت تروجان ها پایه های هک نرم افزاری میباشند و تحدیدی بر امنیت وبسایت ها
میباشند .
نرم افزار تروجان ساز : نرم افزار انتی تروجان :
MPS-15-Final
Loaris Trojan Remover 1.2.9
اسلاید 10 :
مبحث امنیت وبسات ها
فصل اول : امنیت کاربر - شخصی سازی
توصیه های امنیتی
با پایان این سر فصل به نکاتی امنیتی و حساس اشاره می نماییم که توجه به انها می تواند ما را
بیشتر به امنیت کاربر و شخصی سازی نزدیک سازد :
1 . عدم استفاده از رمزهای قابل حدس
2 . عدم تجمع کاربر مدیریتی در وبسایت
3 . عدم افشای رمز در موارد گفته شده
4 . عدم استفاده از رمزها در سیستم های نا امن و مشکوک
5 . خروج از محیط مدیریتی پس از انجام مدیریت
6 . به روز رسانی نرم افزار های انتی
7 . عدم نصب نرم افزارهای مشکوک و کم حجم
8. تغییر دوره ای رمزهای عبور
موفق باشید پایان فصل اول
اسلاید 11 :
مبحث امنیت وبسات ها
فصل دوم : امنیت کدینگ - طراحی صفحات
در این فصل آشنایتی با نحوه ی طراحی و عملکرد صفحات وب به منظور مقابله از نفوذ خواهیم
داشت .
تمامی صفحات وب از نظر ماهیتی به دو بخش تقسیم می شوند که در ادامه به انها اشاره می نماییم
1 . استاتیک – ثابت 2 . داینیمیک – پویا
- استاتیک : به وبسایت هایی که دارای صفحات ثابت و غیر متغییر هستند و به طور عادی امکان
مدیریت و ارسال مطلب را ندارند می گویند .
این وبسایت ها عموما جهت معرفی محصول خاص / متن یا تصویر خاص یا ارتباط با صفحات دیگر
با کد نویسی تک زبانه یا ترکیبی ایجاد می شوند .
* منظور از تک زبانه یا ترکیبی نحوه کد نویسی میباشد که در اکثر این موارد از زبان Html
پایه کد نویسی بوده و زبان های Java Script / Css / JQuery را به عنوان زبان های ترکیبی
برای جلوه دهی به صفحات مورد استفاده قرار می دهند .
* این قبیل از وبسایت ها برای اینکه از بانک های اطلاعاتی استفاده نمی کنند از امنیت
بالایی برخوردار هستند ولی فوق العاده با محدودیت ویرایشی مواجه اند .
اسلاید 12 :
مبحث امنیت وبسات ها
فصل دوم : امنیت کدینگ - طراحی صفحات
وبسایت های استاتیک همانطور که گفتیم نیازی به دیتابیس و بانک های اطلاعاتی ندارند ولی
باز هم در مواردی مورده حمله قرار می گیرند . حمله هایی که به این وبسایت ها میشود به هاست
یا سرور هاست پس در فصل بعدان اشاره مینماییم .
داینیمیک : وبسایت های پویا یا همان داینیمیک وبسایت هایی که دارای مدیریت هستند و به زبان
هایی که امکان ارتباط با بانک اطلاعاتی را دارند طراحی می شوند این زبان عبارتند از Php /
ASP … هستند .
در این وبسایت ها امکان مدیریت اسانتر و ویرایش مطالب سریعتر را دارا می باشد .
ارتباط این وبسایت ها با بانک های اطلاعاتی Php اکثرا صورت میپذیرد .
در این وبسایت ها SQL Server به عنوان ذخیره گاه و استایل بندیه قسمت های مختلف این
وبسایت ها عمل می کند .
در این بخش با نحوه ی عملکرد وبسایت های پویا به صورت تیتر وار اشنا شدیم در صفحات بعد
با نحوه عملکرد و نحوه ی نفوذ و امنیت انها اشنا خواهیم شد .
اسلاید 13 :
مبحث امنیت وبسات ها
فصل دوم : امنیت کدینگ - طراحی صفحات
نحوه ی عملکرد
در این قبیل از وبسایت ها ما با دو بخش اصلی جهت برقراری ارتباط با بانک اطلاعاتی و ذخیره
گاه وبسایت اشنا خواهیم شد .
1 . بخش صفحات کاربری که تمامی کاربران این وبسایت ها توانایی مشاهده انها را دارند .
2 . بخش صفحات مدیریتی که جهت مدیریت مطالب و این قبیل امکانات هستند که با بخش صفحات
کاربری ارتباط مستقیم دارند .
صفحات کاربری توسط کدهای استاتیک پایه گذاری می شوند و توسط ماژول یا همان رابط های
مدیریتی جهت انتقال به ذخیره گاه بانک اطلاعاتی وبسایت طراحی می شوند .
* ماژول ها همان کدهای داینیمیک هستند که توسط جداول بانک های اطلاعاتی کوتاه شده و به
صورت کلید واژه در بخش های مختلف مورد استفاده قرار میگیرند .
* صفحات مدیریتی نیز توسط پسورد ها که در بانک اطلاعاتی ذخیره می شوند محافظت می شوند
و مانند توضیحات صفحات کاربری با ماژول های خاص مدیریتی در ارتباطند .
جداول بانک اطلاعاتی توسط بخش MY Php Admin مدیریت و قابل مشاهده و در مواردی
قابل ویرایش هستند .
اسلاید 14 :
مبحث امنیت وبسات ها
10
فصل دوم : امنیت کدینگ - طراحی صفحات
نحوه ی نفوذ و امنیت
ما در این قسمت با اطلاحات و تعریف هایی اشنا خواهیم شد که توانایی ایجاد حفاظ های امنیتی را
به ما خواهند داد .
* بررسی نحوه نفوذ به وبسایت های دانیمیک مورد بررسی قرار خواهد گرفت .
هر وبسایت پویا داری بانک اطلاعاتی میباشد و جهت مدیریت یک بخش مدیریتی در ان ایجاد
می شود ما قصد داریم توسط بانک اطلاعاتی به بخش مدیریتی نفوذ کنیم .
در این مورد بایستی ما از باگ ها و پورت های باز و زبان های مورد استفاده در وبسایت اطلاعاتی
کسب کنیم در این باب استفاده می کنیم از نرم افزار های انالیزگر وسایت جهت نمایش موارده
خواسته شده .
* باگ به کدها یا حفره های در دسترس جهت تبادل اطلاعات با بانک اطلاعاتی را گویند .
در ادامه به پورت های باز و زبان ها و . اشاره خواهیم نمود .
برخی از نرم افزار های انالیزگر وبسایت را در این قسمت معرفی می کنیم .
SiteQLT 1.1 | Acunetix web vulnerability scanner v8.0
اسلاید 15 :
مبحث امنیت وبسات ها
11
فصل دوم : امنیت کدینگ - طراحی صفحات
نحوه ی نفوذ و امنیت
ما بایستی توجه داشته باشیم که قبل از این وارد نقاط دسترسی کاربری و نمایشی فایل ها و
فولدرهای سرویس دهنده هاست خود شویم و محدودیت های لازم را اعمال نماییم .
Permissions یا همان نقاط دسترسی که در هاست اعمال میشود را در قسمت های بعد توضیح
خواهیم داد .
برخی از نقاط دسترسی فایل ها و فولدر ها :
فولدرها اکثرا در تمامیه هاست ها از قبیل لینوکس و ویندور به صورت پیش فرض 775 قرار داده
می شود تا قابل نمایش باشند .
فایل ها نیز اکثرا به همین صورت میباشند ولی نقاط دسترسی انها محدودتر بوده و 644 میباشد.
در صفحه بعد با تشریح نقاط دسترسی مفهوم اعداد نیز قابل فهمتر و کاربردی تر خواهند شد .
اسلاید 16 :
مبحث امنیت وبسات ها
12
فصل دوم : امنیت کدینگ - طراحی صفحات
نقاط دسترسی
برای اشناییت بیشتر با جدول نقاط دسترسی ما کاربران وبسایت رو از نظر ماهیتی به سه دسته ی
کاربر عام / کاربر اشنا و کاربر عضو دسته بندی میکنیم .
کاربران وبسایت از نظر دسترسی نیز به سه دسته ی خواننده / نویسنده / اجراگر تقسیم می شوند .
اشنایی با اعداد و نقاط دسترسی :
حالت ها
کاربر عضو
کاربر اشنا
کاربر عام
خواننده
نویسنده
اجراگر
نقاط دسترسی
777 بالاترین نقاط دسترسی و 000 پایین ترین حالت درسترسی کاربر میباشد .
7 = 1 + 2 + 4
7 = 1 + 2 + 4
7 = 1 + 2 + 4
اسلاید 17 :
مبحث امنیت وبسات ها
13
فصل دوم : امنیت کدینگ - طراحی صفحات
نحوه ی نفوذ و امنیت
پس از این مقدمات در بخش دیتابیس بایستی کدهایی که مورد استفاده قرار می گیرند نیز تست
شوند و قفل شوند تا در حالت های نفوذ امنیت لازمه را داشته باشند .
باگ ها همان کدهای شکسته شده و اوپن سرس هستند که هکر ها با استفاده از حالت های مختلف
که به انها در فصل بعد اشاره می کنیم با انها توانایی اجرایی و دریافت اطلاعات را دارند .
در امنیت کدینگ ده ها نوع هک وجود دارد که با توانایی ارتباط با SQL را دارند .
Shell یکی از ده ها نوع هک است که در محیط داس با استفاده از کد های خاص خود ارتباط
میان سیستم هکر و Sql برقرار می کند .
TelNet نیز از طریق محیط داس ارتباط متقابل مانند سوال و جواب را به هکر می دهد .
* در هک و نفود بایستی ادرس سایت به ای پی تبدیل شود که راه های مختلفی برای این امر
وجود دارد . از قبیل CMD و وبسایت های Whois که مشخصات سرور ای پی . را در اختیار
ما قرار میدهد .
اسلاید 18 :
مبحث امنیت وبسات ها
14
فصل دوم : امنیت کدینگ - طراحی صفحات
نحوه ی نفوذ و امنیت
به علت کبود وقت و نیاز بیشتر به دیتا های هک از مقوله ارسال پاکت به دیتابیس ها صرف نظر
می کنیم و امنیت کدینگ رو خلاصه به این می نماییم که :
1 . وبسایت ها دارای مدیریت را داینمیک و پویا می نامند .
2 . وبسایت های دارای مدیریت با Php My Admin در ارتباطند .
3 . وبسایت های مدیریتی بایستی دارای دیتابیس و یوزر دیتابیس باشند .
4 . وسایت های مدیریتی میتوانند از طریق دیتابیس به جذب و ثبت نام کاربر نمایند .
5 . نقاط دسترسی فایل ها 644 و فولدرها 755 به صورت پیش فرض تعیین می گردند .
6 . تمامی نقاط دسترسی ها با جمع کردن ماهیت کاربران در نقاط دسترسی حالت هابدست میاید .
در ادامه به فصل سوم امنیت سرور ها - تجهیزات میرسیم که بخش حساس و تعیین کننده امنیت
در تمامیه وب سایت ها از قبیل استاتیک و داینیمیک می باشد .
اسلاید 19 :
مبحث امنیت وبسات ها
15
فصل سوم : امنیت سرور ها - تجهیزات
از انجایی که ما برای داشتن یک وبسایت برای مشاهده همه به امکانات و تجهیزاتی نیاز داریم
به صورت خلاصه به انها اشاره می کنیم .
برای راه اندازی یک وب سایت ما نیاز به یک دامنه و فضای مجازی داریم که توضیحاتی رو در ادامه
ارائه می نماییم :
دامنه – دامین – Domain : دامین به نام وبسایتی که ما ان را جهت ارائه خریداری میکنیم و
آدرس ان را به صورت سالانه با حفظ منافع شخصی از بین پسوند های موجود انتخاب و ثبت مینمایم
دامین ها توسط مراکز انفورماتیک و سرورهای تعیین کننده پسوند توسط کشورهای مختلف عرضه
می شوند . دامین ها تعیین کننده ادرس ورودی سایت ها هستند .
فضا – هاست – Host : به مقدار هارد ها در سرورها هاست می گویند که در هاست بخش های
مختلفی جهت استفاده های مختلف از قبیل بارگزاری صفحات وب سایت ایجاد دیتابیس ایجاد ایمیل
. در اختیار ما قرار میگیرد .
*هاست ها از دو قسمت هارد یا Disk Space و پهنای باند یا Bandwidth Transfer تشکیل
شده است .
پهنای باند به مقدار بارگزاری بر مبنای 100 به 1 در حالت عادی تعیین می شود .
100 مگابایت X 100 = 10000 مگابایت = 10 گیگابایت
اسلاید 20 :
مبحث امنیت وبسات ها
16
فصل سوم : امنیت سرور ها - تجهیزات
تا حدودی با راه اندازی تجهیزاتی و امکاناتی وب سایت اشنا شدیم . حال به توضیحاتی در زمینه ی
سرور ها می پردازیم .
عموما سرور ها از نظر سیستم عامل مدیریتی به دو محور لینوکس و ویندور سرور تقسیم می شوند .
لینوکس : اکثریت فضاهای مصرفی از طریق سیستم عامل لینوکس تامین می شوند چرا که این سیستم عامل
جدیدتر و سریعتر در حال رشد و تکمیل شدن هست و تعداد خطاها و ضریت امنیت این سیستم عامل نسبتا
بهتر بوده و ناحیه کاربری و کاربردی ان بیشتر در بین کاربران مورد استفاده قرار می گیرد .
از نظر امنیتی این سیستم عامل با تمامی پروتکل ها قابل استفاده هست ولی در مواردی جهت محلی سازی
وبسایت نیز با مشکل مواجه است که توانایی همگام سازی با این بحث را تا به اینجا نداشته ولی شایان ذکر که
با مدیریت هایی که بر روی این سیستم عامل ها عمال شده سهولت در کار با سرورها بهتر شده است
برای مثال سی پنل و دایرکت ادمین دو سیستم مدیریتیه کاربر پسند هستند که بر روی سیستم عامل لینوکس
عمال شده اند .
ویندوز : در سیستم عامل های ویندوز که بایستی از طریق ریموت دسکتاپ مورده استفاده قرار گیرند این
سیستم عامل نیز دارای مدیریت های مختلفی میباشد که : 2005 / 2008 / 2000 میباشد .
در ادامه به تفاوت های میان این دو می پردازیم و به امنیت نیز خواهیم پرداخت .
