بررسی امکان هک شدن وب سايت شما

شيوه‌هاي مورد علاقه هکرها جهت حمله به وب سايت‌ها :

• SQL Injection  :
يک هکر دستورات SQL Query  را  توسط يک برنامه تحت وب ، به يک بانک اطلاعاتي مستقر در سرور اصلي وب سايت هدف مي‌فرستد. اين عمليات به دو روش انجام مي‌شود :
دستورات SQL از طريق صفحات وب وارد مي‌گردند و يا  SQL Queries خود را در قالب پارامتر‌هاي مورد نياز وارد مي‌کنند . اين بدين معناست که هکر توانسته است دستورات و SQL Queries را در سرور وب سايت شما اجرا کند.

•  Cross-site scripting : در اين روش هکر اطلاعات مخرب را در يک صفحه پويا و يا Dynamic جاي مي‌دهد.وب سايت‌‌هايي که تنها داراي صفحات ايستا يا Static هستند قابليت کنترل فعاليت کاربر را دارند چرا که صفحات ايستا صفحاتي ” فقط خواندني ” مي‌باشند و اجازه  هيچ فعل و انفعالي را به کاربر نمي‌دهند .از اين رو هکر فقط امکان مشاهده صفحات را دارد بدون اينکه بتواند خرابي در آنها ايجاد کند.
از آنجائي که صفحات پويا امکان ايجاد تغييرات را براي کاربر فراهم مي‌کنند ، بنابراين يک هکر مي‌تواند محتوي پرخطري را در وب سايت جاي دهد، بدون آنکه برنامه تحت وب توانائي تشخيص اين اطلاعات از اطلاعات بي ضرر و يا واقعي را داشته باشد .
نکته‌ايي که در آسيب پذيري CSSها وجود دارد، اين است که  يک هکر مي‌تواند سرور اصلي را مجبور به ارسال صفحه وبي با محتوي مخرب براي يک کاربر بي‌گناه کند‌. بنا براين هکر مي‌تواند اطلاعات ثبت شده توسط کاربر را به سرور ديگري ارسال کند .

Directory traversal attacks: اين نوع حمله را همچنين/ ..   (dot dot Slash) مي‌نامند.با استفاده از اين نوع حمله ، با  دستکاري برنامه‌هاي تحت وب ،امکان دسترسي به فايل‌ها و ديگر منابعي که بصورت معمول دسترسي به آنها امکان پذير نمي‌باشد فراهم مي‌شود. اين نوع از حمله با تغيير پارامترها ، برنامه تحت وب را وادار به دسترسي به فايل‌هاي اصلي مي‌کند .
به عنوان مثال فرض کنيد به جاي مقدار اصلي يک پارامتر ، مسير يک فايل خاص وارد شود . قراردادن / ..  در ابتداي پارامتر برنامه را مجبور به دسترسي به فايل‌هاي Parent مي‌کند.
با قراردادن يکسري / ..  و سپس قراردادن نام‌هاي متعددي از فايل‌هاي مختلف در انتهاي پارامتر، فايل‌هاي مختلفي قابل دسترس خواهد بود .

Parameter Manipulation: اين نوع حمله ، اطلاعات ارسالي بين يک Browser و برنامه تحت وب را دستکاري مي‌کند. دستکاري پارامترها از طرق ذيل انجام مي‌گردد :


۱ـ Cookie manipulation : جايگاه اصلي نگهداري اطلاعات کاربر که از طريق HTTP وارد گرديده است Cookie‌ها هستند . تمامي‌Cookie‌ها در ايستگاه کاري قابل تغيير بوده و سپس بنا به درخواست يک URL ، امکان ارسال تمامي‌Cookie‌ها به سرور ديگري امکان پذير مي‌گردد.بنابراين هکر مي‌تواند بسادگي اطلاعات مستقر در Cookie‌ها را دستکاري کند.

۲ـ HTML Header manipulation : HTTP Header ‌ها شامل کنترل اطلاعات ارسالي از يکWeb Client به يک Web Server در حين درخواست‌هاي HTTP  مي‌باشند ، سپس اين اطلاعات از Web Server به Web Client در حين پاسخگويي HTTP ارسال مي‌گردد.تا زماني که درخواست‌هاي HTTP Header توسط کاربر ايجاد شده است ، يک هکر بسادگي امکان ويرايش آنها را دارد.

۳ـ HTML Form Field manipulation : فيلدهاي يک فرم شامل Check Box ، Radio Button‌هاي انتخاب شده ، فيلدهاي متني پر شده و يا هرگونه عملکردي که توسط کاربر در يک صفحه وب انجام مي‌گردد را HTML Form Field مي‌نامند. اين اطلاعات پس از تکميل شدن به سرور ارسال مي‌گردند . بعلاوه فيلدهاي پنهاني نيز وجود دارند که از ديد کاربر دور بوده و به همراه ديگر فيلدها به سرور ارسال مي‌گردند. يک هکر فعال مي‌تواند فيلدهاي يک فرم را به منظور ارسال هرگونه اطلاعاتي دستکاري کند.
يک مثال ساده از اين نوع دستکاري اينست که هکر با يک کليک راست ساده و انتخاب گزينه View Source مي‌تواند تغييرات لازم را انجام داده ، آن را ذخيره کند و مجددا صفحه را در پويشگر اجرا کند.

۴ـ URL manipulation  : فرم‌هاي HTML که در بالا به آنها اشاره شد، طي فرآيندي ثبت مي‌گردند که نياز به نمايش اطلاعات معين به کاربر را دارد، قبل از آنکه اين اطلاعات در يک صفحه تازه نمايش داده شود.URL اين صفحه حاوي اطلاعات کامل نام فيلدها و مقدار مربوطه آنها مي‌باشد، که به راحتي قابل دستکاري خواهد بود.

Authentication Attack : هکرها با جستجو براي  بدست آوردن  شناسه‌هاي معتبر به دنبال ورود به سرورها از طريق يک برنامه تحت وب مي‌ باشند. در چنين حملاتي يک بانک اطلاعاتي شامل اطلاعات کاربري، نام کاربر و رمز عبور که جهت به حداکثر رساندن امنيت در شناسايي کاربر ايجاد شده است ،به وسيله اي براي دسترسي هکرها مبدل مي‌شود.

Known exploits : جامعه هکرها بسيار به هم نزديک مي‌باشند ، اخيرا اين موضوع کشف شده است که بسياري از هکرها بصورت گروهي با ورود به فوروم‌ها عمليات نفوذ را آماده سازي مي‌کنند تا عمليات آتي هک را راحت‌تر کنند، البته اين روش‌ها و فوروم‌ها تنها براي اين گروه از هکرها شناخته شده مي‌باشد.

Directory enumeration: هکرها با آناليز ساختار داخلي فولدرهاي يک وب سايت ، به دنبال فولدرهاي پنهان مي‌باشند.شايان ذکر است که  امکان دارد اين فولدرها داراي اطلاعات مربوط به مديريت سايت باشد ، که يک هکر بمحض شناسايي آنها به سوء استفاده  خواهد پرداخت.