کاربری
کاربر گرامی به انجمن تخصصی بپرس بدون خوش آمدید . اگر این نخستین بازدید شما از سایت است , لطفا ثبت نام کنید:
نمایش نتایج: از شماره 1 تا 1 , از مجموع 1

موضوع: مفاهیم پایه ای امنیت وب سایت

  1. #1
    عضو هیئت مدیره انجمن
    تاریخ عضویت
    May 2014
    محل سکونت
    Sabzevar
    سن
    21
    نوشته ها
    175
    تشکر ها
    4
    تشکر شده 64 بار در 54 ارسال.
    Rep Power
    5
    Array

    مفاهیم پایه ای امنیت وب سایت

    امروزه هر سازمان، شركت و یا كسب و كاری به وب سایتی عمومی برای معرفی، اطلاع رسانی و یا فروش محصول یا سرویس خود وابسته است. وب سایت*های عمومی اغلب هدف حمله قرار می*گیرند. برخی از حملات وب سرورها عبارت است از:

    - سوء استفاده از خطاهای نرم افزاری در وب سرور

    - حملات انكار سرویس و انكار سرویس توزیع شده

    - افشاء داده های پیش زمینه "backend data" با استفاده از حملات تزریق مانند تزریق SQL؛ تزریق LDAP و XSS

    - بدشكل كردن وب سایت با هدف تخریب

    - استفاده از امكانات وب سرورهای مورد سوء استفاده قرار گرفته برای حمله به دیگر نهاده*ها

    - استفاده از وب سرورهای مورد سوء استفاده قرار گرفته برای توزیع بدافزارها

    در ارتباط با امن كردن وب سرور چالش*هایی وجود دارد زیرا نه تنها سیستم عامل باید امن شود بلكه برنامه*های كاربردی و سرویس*های مرتبط كه روی دستگاه اجرا می*شوند نیز باید امن شوند. یكی از مشكل*ترین جنبه*ها، حفظ به روز و وصله*شده سیستم*ها در برابر آسیب پذیری*های جدید و حیاتی سیستم عامل و برنامه*های كاربردی وب است.

    استراتژی*های مقابله
    هدف از این مستند، ارائه راهنمایی*ها و مفاهیم پایه*ای امن نگهداشتن وب سایت*های عمومی جهت كاهش سطح حمله یا مقابله با اثرات سوء استفاده است. باید توجه داشت این راهكارها به تنهایی باعث امن شدن وب سرورها نمی شود بلكه باید از روش ها و استراتژی های پیشرفته دیگر نیز در كنار آن بهره برد. توصیه می*شود سازمان*ها به طور معمول جهت شناسایی نقاط ضعف یا آسیب پذیری*های محیط خود، ارزیابی مخاطرات انجام دهند.

    - امنیت وب سرور:

    o برای امنیت وب سرور موارد زیر توصیه می*شود:


    § از اینكه وب سرور فقط دارای برنامه*های كاربردی و مولفه*های ضروری برای اجرای فعالیت*های تعریف شده برای این وب سرور است، مطمئن شوید. تمام برنامه*های كاربردی اضافی باید حذف یا غیرفعال شوند. به طور مثال، اگر وب سرور نیازمند امكان مرور وب نیست و وب سرور برای كارهای FTP استفاده نمی*شود نباید چنین سرویسی در آن در حال اجرا باشد. حذف یا غیرفعال كردن هر مولفه*ای كه استفاده نمی*شود سطح حمله را كاهش می*دهد.


    § وب سرور باید با امكان دسترسی بسیار محدود به هرگونه داده پیش زمینه، طراحی شده باشد.


    § سرویس*های SQL وبی:

    · از اتصال برنامه*های كاربردی به پایگاه داده*ها با استفاده از ویژگی «دسترسی اختصاصی»، جلوگیری كنید.

    · اندازه، بازه، قالب و نوع ورودی را اعتبار سنجی نمایید.

    · ورودی را به لیست*هایی از كاراكترهای قابل قبول و رد كردن دیگر كاراكترهایی كه در لیست نیستند محدود كنید.

    · استفاده از كد SQL پویا (dynamic SQL code) را محدود كنید. هر زمان كه امكان پذیر است، از عبارات، پرس و جوهای با پارامتر یا رویه*های ذخیره شده از پیش آماده استفاده كنید.


    o برای امنیت سیستم عامل موارد زیر توصیه می*شود:


    § حساب*های كاری كه امكان دسترسی به سیستم عامل وب سرور را فراهم می*كند باید از مفهوم حداقل دسترسی پیروی كند و باید برای هر فردی یكتا باشد. داشتن یك حساب ادمین، از انكارناپذیری فعالیت جلوگیری می*كند و فعالیت*های جرم شناسی را در صورت مورد سوء استفاده قرار گرفتن سیستم عامل محدود می*كند. همچنین، وب سرور باید به عنوان یك سرویس حیاتی درنظر گرفته شود و بنابراین نیازمند احرازهویت دو عاملی است.


    § برای مدیران شبكه، خط مشی ایجاد كلمه عبور قوی را اعمال نمایید؛ چنین خط مشی، به طور مثال، می*تواند دارای ویژگی*های زیر باشد:

    · حداقل 15 كاراكتر برای حساب*های كاربری ویژه

    · استفاده از عدد، حروف بزرگ و كوچك و كاراكترهای خاص

    · الزام به تغییر دوره*ای كلمات عبور مثلاً هر 90 الی 180 روز یكبار

    · عدم استفاده از كلمات عبور قبلی

    · جلوگیری از استفاده از اطلاعات شخصی -مانند شماره*های تلفن، تاریخ تولد، نام و نام خانوادگی- در نام كاربری و كلمات عبور

    · الزام به استفاده از عبارات طولانی به جای كلمات عبور


    § تمام كلمات عبور و نام*های كاربری پیش فرض را تغییر دهید.


    § تمام حساب*های كاربری را كه استفاده نمی*شوند -مانند حساب*های كاربری Guest- غیرفعال یا حذف كنید.


    § در صورت امكان، نگه داری اعتبارنامه ها توسط سیستم را برای سیستم*های حیاتی غیرفعال نمایید.


    o وب سرورها را به روز و وصله شده نگهداری كنید.


    o پست الكترونیك و/یا وب سایت*ها را برای دریافت خبرهای امنیتی مانیتور كنید.


    o وب سرورها باید روی سخت افزارهای جداشده (ایزوله) یا روی فناوری مجازی Multi-tenant ایمن به شرط غیرفعال بودن ارتباط مستقیم با دیگر میزبان*های مجازی ساخته شوند. این كار می تواند كمك كند تا در صورتی كه یك سرویس مورد حمله قرار گیرد، خسارت ناشی از آن و سوء استفاده از سرویس های دیگر محدود شود و هم چنین می تواند سطح حمله به یك سرویس را كاهش دهد.


    o استفاده از فناوری*های رمزنگاری و احراز هویت وب مانند SSL/TLS براساس طبقه بندی داده وب سرور (به طور مثال: حساس، خصوصی، محرمانه و ...) باشد.

    از فرآیندهای كنترل نسخه برای مستندسازی تمام تغییراتی كه در سیستم، برنامه كاربردی یا محتوای وب صورت می*گیرد، استفاده كنید.

    - امن كردن وب سرویس*ها:

    در ادامه به فهرستی از فعالیت*های مقابله*ای كه سازمانی برای امن كردن سرویس*ها و برنامه*های كاربردی وب می*تواند انجام دهد اشاره می*شود. تمام مواردی كه در زیر بدان اشاره شده است برای تمام سازمان*ها قابل اعمال نیست و توازنی میان هزینه*هایی كه هر فعالیت دارد و سطح مخاطراتی كه هر سازمان برای سرویس*های وب خود می*پذیرد باید انجام شود.


    o فعال كردن ثبت وقایع به صورت گسترده: آدرس IP سیستمی كه به سرویس دسترسی پیدا كرده، نام كاربری، منابعی كه دسترسی یافته، تغییرات امتیاز حساب كاربری، آیا تلاشش برای انجام كاری موفقیت آمیز بوده یا نبوده است و هر گونه فعالیت مشكوك دیگر را جمع آوری كنید. دسترسی مشكوك و غیرمعمول باید بلافاصله گزارش و بررسی شود.


    o تكرار سرویس داده: حملات انكار سرویس و انكار سرویس توزیع شده جدید نیستند اما هنوز وجود دارند. بنابراین هر سازمانی باید در بازه*های زمانی مختلف از برنامه*های كاربردی و داده خود تكرار یا پشتیبان داشته باشد و ترجیحاً آنرا در یك مكان ذخیره سازی آفلاین نگهداری كند. روش ذخیره سازی آفلاینِ پشتیبان*ها، از تغییر داده و برنامه*های كاربردی جلوگیری می*كند و علاوه بر این، افزونگی را در زمانی كه داده و برنامه*های كاربردی باید به پلت فرم دیگری منتقل شوند فراهم می*كند.


    o سرویس*های ثبت وقایع: این سرویس*ها برای تامین انكارناپذیری و حسابرسی هر تراكنشی كه در سرور انجام می*شود لازم است. ثبت وقایع همچنین، برای شناسایی فعالیت*های مخرب بعد از سوء استفاده*ای كه اتفاق افتاده است و یا در حال وقوع است امری ضروری است. میزان (حجم) ثبت وقایع و بازه*های زمانی برای آرشیو كردن لاگ*ها به میزان فضای ذخیره سازی در دسترس و میزان فعال بودن شبكه شما بستگی دارد. برای برخی از سازمان*ها، ممكن است برای پشتیبانی از سطح امنیت و حسابرسی و انكارناپذیری، سرویس*ها و نرم افزارهای بیشتری لازم باشد.


    o طراحی و توسعه امن نرم افزار: توسعه امن نرم افزار یكی از مهمترین جنبه*ها در امنیت برنامه*های كاربردی است چراكه هر چقدر آسیب پذیری*های درونی هر برنامه كاربردی كم باشد، احتمال اینكه مورد سوء استفاده قرار گیرد كمتر می*شود. جنبه دیگر نرم افزار امن، حفظ امنیت نرم افزار است. این كار می*تواند از طریق نصب دوره*ای وصله*های نرم افزارها و مانیتور پایگاه داده آسیب پذیری*ها برای اطلاع از آسیب پذیری*های جدید انجام ش
    o ود.


    o امن كردن زیرساخت*های وب سرور: وب سرورها باید در ساختار DMZ امن قرار گیرند به طوریكه یك رابطه اعتماد یكطرفه میان DMZ و شبكه داخلی طوری پیكربندی شده باشد كه در این رابطه DMZ به شبكه داخلی اعتماد می*كند اما شبكه داخلی به DMZ اعتماد ندارد. همچنین هر برقراری ارتباطی یا درخواستی از وب سرورها به منابع داخلی باید محدود باشد.

    به طور خلاصه، سرویس*ها و سرورهای وب برای بسیاری از كسب و كارها و سازمان*ها مولفه ضروری هستند. فقدان این سرویس*ها می*تواند نتایج اسفباری داشته باشد. به همین دلیل محافظت از این سرویس*ها امری ضروری است.

  2. 4 کاربر مقابل از Erfan.Akbarimanesh عزیز به خاطر این پست مفید تشکر کرده اند .

    ahad (05-21-2014),csharpiest (02-28-2016),milad_d993 (08-04-2014),parsoua (07-19-2017)

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  
درباره ما

انجمن بپرس بدون در 24 اردیبهشت سال 1393 افتتاح شد و هدف آن کمک رسانی به برنانویسان و طراحان وبسایت می باشد. امیدواریم که بتوانیم در این راه شما را یاری رسانیم

دوستان ما
لینک های مفید
ابزار ها
session بارگذاری مجدد کد امنیتی مندرج در تصویر را وارد کنید: