وبلاگ تخصصی آموزش کامپیوترودانلود نرم افزار (خداجون دوستت دارم)
آموزش و راه کارهای کامپیوتر -مقاله کامپیوتر-قالب -ویندوز XP- ویستا -رمزوبلاگ تخصصی آموزش کامپیوترودانلود نرم افزار (خداجون دوستت دارم)
آموزش و راه کارهای کامپیوتر -مقاله کامپیوتر-قالب -ویندوز XP- ویستا -رمزدرباره من
روزانهها
همه- آخرین برگ خاطرات احسان
- دانستنیهای دنیای کامپیوتر
- پایگاه اطلاع رسانی حضرت آیت الله العظمی خامنه ای
- مرکز اطلاع رسانی شهیدآوینی
- پخش زنده از حرم امام علی (ع)
- دانشگاه علوم پزشکی شهید صدوقی یزد
- شرکت خدمات مهندسی آینده گستر
- پخش زنده از حرم امام حسین (ع)
- پخش زنده از حرم امام رضا (ع)
- پسوند ir برای وبلاگ شما به دنیای جهانی ir بپیوندید
پیوندها
- راز و رمز کامپیوتر
- تکنولوژی Technology
- ویندوز و رجیستری
- ۩۞۩ تنهاترین تنهایان ۩۞۩
- ترفندهای جالب در مورد اینترنت،ویندوز،تلفن و همه چیز
- دنیای فناوری
- یادگیری و یاددهی learning & teaching
- وبلاگ آموزش طراحی وب سایت
- مدیریت و دانلود کتاب
- اموزش زبان utopia
- جامعه القرآن
- سازمان نظام پزشکی
- بیمه تامین اجتماعی
- دانشگاه علوم پزشکی کرمان
- کرمان خبر
- نشریه الکترونیکی کویران
- کرمان ما
- پارس پیشتاز - مدیریت محتوای وب
- عکس روز
- بهترین نرم افزارهای آموزشی و کاربردی
- خبرهای روز کامپیوتر
- آخرین برگ خاطرات احسان
دستهها
ابر برجسب
Thread هسته core Ryzen AMD Trnascoding CPU Definition Update بروز رسانی SUS به WSUS WSUS نرم افزار No Hidden قابلیت های نرم افزار No Hidden Rename ویروس دانشگاهبرگهها
جدیدترین یادداشتها
همه- 7 نکته در انتخاب CPU مناسب که باید بدانید
- نکته: دلایل عدم نمایش کامپیوترها در کنسول WSUS
- نکاتی در مورد راه اندازی WSUS
- آموزش: آموزش گام به گام نصب و راه اندازی سرویس WSUS- قسمت سوم
- آموزش گام به گام نصب و راه اندازی سرویس WSUS- قسمت دوم
- آموزش: آموزش گام به گام نصب و راه اندازی سرویس WSUS- قسمت اول
- No Hidden 2.3 نرم افزار رفع مخفی شدن بر اثر ویروس
- خاموش کردن خودکار رایانه بدون نیاز به نرم افزار
- [ بدون عنوان ]
- اگر فلش مموری دارید بخوانید
- [ بدون عنوان ]
- چگونه ویندوز 7 را با فلش USB نصب کنیم!
- [ بدون عنوان ]
- برخی کلیدهای میانبر ویندوز 7
- [ بدون عنوان ]
- روشی برای احیا باطری های لپ تاپ
- 10 دلیل که ویندوز 8، سِوِن را نابود می کند
- معرفی سایت یا وبلاگ به موتورهای جستجو
- معرفی Mpls
- تلفنی از طریق شبکه VOIP
- مرکز تلفن پیشرفته شبکه ای (IP PBX)
- امنیت از راه دور
- ایراد در ساختار فرمت PDF و تهدیدهای مربوط به آن
- راهنمای خرید مادربرد ۵
- راهنمای خرید مادربرد ۴
- راهنمای خرید مادربرد۳
- راهنمای خرید مادربرد ۲
- راهنمای خرید مادربرد ۱
- دانلود نرم افزار تشخیص چهره برای ورود به ویندوز Luxand Blink v2.
- ویندوز 8؛ نخستین زمزمهها
- مقایسه بین آنتی ویروسهای کرک شده و نسخه اصلی
- پنج اشتباه متداول درباره امنیت شبکههای بیسیم
- Belkin Gigabit powerline HD starter kit
- امنیت فیزیکی در مراکز حساس IT
- تغییر دائمی MAC Address کارت شبکه
- کاهش فضای رم اشغال شده توسط نرمافزارهای سنگین در جهت افزایش کار
- قابلیت ویندوز ۸ معرفی شد
- امنیت در NTFS
- از درون آتش - بررسی پنج فایروال برای کامپیوترهای شخصی
- راز های مخفی مایکروسافت – ۱۰ برنامه محبوب ناشناخته ویندوز
- اقدامات امنیتی به هنگام اتصال به شبکه های Wireless
- روابط Trust – قسمت دوم
- نسل بعدی مراکز داده
- روابط Trust – قسمت اول
- فرمانروایی در قلمرو ویندوز
- Active Directory Federation Services – قسمت دوم
- Active Directory Federation Services – قسمت اول
- فقط چند گام تا یک دسکتاپ رویایی
- طراحی اتاق سرور استاندارد
- ثبت دامین در موتورهای جستجوی Google, yahoo! یا bing
بایگانی
- شهریور 1398 1
- خرداد 1397 5
- بهمن 1395 1
- بهمن 1393 1
- بهمن 1391 2
- اردیبهشت 1391 2
- آذر 1390 3
- اردیبهشت 1390 3
- اسفند 1389 3
- دی 1389 7
- آبان 1389 1
- شهریور 1389 2
- مرداد 1389 5
- تیر 1389 1
- خرداد 1389 2
- اردیبهشت 1389 10
- فروردین 1389 2
- بهمن 1388 7
- دی 1388 1
- آبان 1388 1
- مهر 1388 2
- مرداد 1388 1
- تیر 1388 1
- خرداد 1388 3
- اردیبهشت 1388 2
- فروردین 1388 2
- بهمن 1387 2
- آذر 1387 3
- شهریور 1387 2
- مرداد 1387 3
- تیر 1387 4
- خرداد 1387 3
- اردیبهشت 1387 6
- فروردین 1387 2
- اسفند 1386 5
- بهمن 1386 4
- دی 1386 7
- آذر 1386 6
- آبان 1386 10
- مهر 1386 10
- شهریور 1386 14
- مرداد 1386 14
- تیر 1386 16
- خرداد 1386 15
- اردیبهشت 1386 13
- فروردین 1386 14
- اسفند 1385 48
- بهمن 1385 4
- دی 1385 41
- آذر 1385 1
آمار : 692315 بازدید
Powered by Blogsky
ده دلیل اصلی هک شدن سایتها
هکرها معمولا از نواقص و عدم رعایت نکات امنیتی توسط طراحان سایتها و برنامه نویسان جهت نفوذ به سایتها استفاده میکنند مواردی که با کمی دقت قابل پیش بینی و رفع هستند. در ادامه به برخی از مهمترین نواقص و موارد رایج در هک سایتها در سالهای اخیر اشاره شده است.
1. Cross site scripting یا XSS
این مشکل زمانی ایجاد می شود که اطلاعات ارسالی بین کاربران و سایت بدون بررسی و اعتبار سنجی لازم توسط نرم افزار سایت صورت گیرد. در این حالت هکرها میتوانند اسکریپتهایی را همراه اطلاعات به نرم افزار سایت تزریق کنند و این اسکریپتها هنگام نمایش اطلاعات در مرورگر دیگر کاربران سایت اجرا شده و مشکلاتی همچون سرقت اطلاعات نشست (Session) و دسترسی به اختیارات و اطلاعات دیگر کاربران و یا تغییر در صفحات سایت را ایجاد کند.
2.Injection flaws
در این شیوه هکر به همراه بخشی از اطلاعات یا پارامترهای ارسالی به سایت دستورات غیر مجازی که امکان خواندن،تغییر یا حذف یا درج اطلاعات جدید را فراهم میکند نیز تزریق میکند.یکی از معمول ترین این روشها SQL Injection است که امکان تغییر در اطلاعات و جداول بانک اطلاعاتی یا تغییر در درخواستها از بانک اطلاعات (مانند تعیین اعتبار کاربر و کلمه) را امکان پذیر میکند.
3.Malicious file execution
این مسئله به هکر ها اجازه اجرای برنامه یا کدی را میدهد که امکاناتی در تغییرات یا مشاهده اطلاعات یا حتی تحت کنترل گرفتن کل نرم افزار سایت یا سیستم را میدهد. این مشکل در سایتهایی که امکان ارسال فایل را به کاربران بدون بررسی ماهیت اطلاعات را می دهد اتفاق می افتد (مثلا ارسال یک اسکریپ PHP یا ASP به جای فایل تصویری توسط کاربر)
4.Insecure direct object reference
این مشکل عموما در دستکاری پارامترهای ارسالی به صفحات یا اطلاعات فرمهایی هست که بصورت مستقیم به فایل، جداول اطلاعاتی،فهرستها یا اطلاعات کلیدی اتفاق می افتد و امکان دسترسی یا تغییر فایلهای اطلاعاتی دیگر کاربران را ایجاد میکند. (مانند ارسال کد کاربر یا نام فایل مخصوص او بصورت پارامتر در آدرس صفحه که با تغییر آن امکان دسترسی یا تغییر در اطلاعات کاربر دیگری وجود خواهد داشت)
5.Cross site request forgery
در اینگونه حملات هکر کنترل مرورگر قربانی را یدست آورده و زمانی که وی وارد سایت (login) شده درخواستهای نادرستی را به سایت ارسال می کند. (نمونه آن چندی پیش دز سایت myspace اتفاق افتاده بود و هکری با استفاده از یک کرم اینترنتی پیغامی را در میلیونها صفحه کاربران این سایت نمایش داد)
6.Information leakage and improper error handling
همانطور که از نام این مشکل مشخص است زمانی که در خطاهای نرم افزار سایت به شکل مناسبی مدیریت نشوند در صفحات خطا اطلاعات مهمی نمایش داده شود که امکان سوء استفاده از آنها وجود داشته باشد.(نمونه ای از همین مشکل چندی پیش برای یکی از سایتهای فارسی نیز بوجود آمد و اطلاعات کاربری و کلمه عبور اتصال به بانک اطلاعات در زمان خطا نمایش داده می شد و باعث سوء استفاده و تغییر اطلاعات کاربران این سایت شد )
7.Broken authentication and session management
این مشکل در زمانی که نشست کاربر (Session) و کوکی اطلاعات مربوط به ورود کاربر به دلایلی به سرقت می رود یا به دلیلی نیمه کاره رها می شود ایجاد می شود. یکی از شیوه های جلوگیری از این مشکل رمز نگاری اطلاعات و استفاده SSL است.
8.Insecure cryptographic storage
این مشکل نیز چنانچه از عنوان آن مشخص است بدلیل اشتباه در رمزنگاری اطلاعات مهم (استفاده از کلید رمز ساده یا عدم رمز نگاری اطلاعات کلیدی) است.
9.Insecure communications
ارتباط ناامن نیز مانند مشکل قبلی است با این تفاوت که در لایه ارتباطات شبکه است.هکر در شرایطی میتواند اطلاعات در حال انتقال در شبکه را مشاهده کند و از این طریق به اطلاعات مهم نیز دست پیدا کند. همانند مشکل قبلی نیز استفاده از شیوه های رمزنگاری و SSL راه حل این مشکل است.
10.Failure to restrict URL access
برخی از صفحات سایتها (مانند صفحات بخش مدیریت سایت) می بایست تنها در اختیار کاربرانی با دسترسی خاص باشند.اگر دسترسی به این صفحات و پارارمترهای ارسالی آنها به شکل مناسبی حفاظت نشده باشد ممکن است هکرها آدرس این صفحات را حدس بزنند و به نحوی به آنها دسترسی پیدا کنند.
1. Cross site scripting یا XSS
این مشکل زمانی ایجاد می شود که اطلاعات ارسالی بین کاربران و سایت بدون بررسی و اعتبار سنجی لازم توسط نرم افزار سایت صورت گیرد. در این حالت هکرها میتوانند اسکریپتهایی را همراه اطلاعات به نرم افزار سایت تزریق کنند و این اسکریپتها هنگام نمایش اطلاعات در مرورگر دیگر کاربران سایت اجرا شده و مشکلاتی همچون سرقت اطلاعات نشست (Session) و دسترسی به اختیارات و اطلاعات دیگر کاربران و یا تغییر در صفحات سایت را ایجاد کند.
2.Injection flaws
در این شیوه هکر به همراه بخشی از اطلاعات یا پارامترهای ارسالی به سایت دستورات غیر مجازی که امکان خواندن،تغییر یا حذف یا درج اطلاعات جدید را فراهم میکند نیز تزریق میکند.یکی از معمول ترین این روشها SQL Injection است که امکان تغییر در اطلاعات و جداول بانک اطلاعاتی یا تغییر در درخواستها از بانک اطلاعات (مانند تعیین اعتبار کاربر و کلمه) را امکان پذیر میکند.
3.Malicious file execution
این مسئله به هکر ها اجازه اجرای برنامه یا کدی را میدهد که امکاناتی در تغییرات یا مشاهده اطلاعات یا حتی تحت کنترل گرفتن کل نرم افزار سایت یا سیستم را میدهد. این مشکل در سایتهایی که امکان ارسال فایل را به کاربران بدون بررسی ماهیت اطلاعات را می دهد اتفاق می افتد (مثلا ارسال یک اسکریپ PHP یا ASP به جای فایل تصویری توسط کاربر)
4.Insecure direct object reference
این مشکل عموما در دستکاری پارامترهای ارسالی به صفحات یا اطلاعات فرمهایی هست که بصورت مستقیم به فایل، جداول اطلاعاتی،فهرستها یا اطلاعات کلیدی اتفاق می افتد و امکان دسترسی یا تغییر فایلهای اطلاعاتی دیگر کاربران را ایجاد میکند. (مانند ارسال کد کاربر یا نام فایل مخصوص او بصورت پارامتر در آدرس صفحه که با تغییر آن امکان دسترسی یا تغییر در اطلاعات کاربر دیگری وجود خواهد داشت)
5.Cross site request forgery
در اینگونه حملات هکر کنترل مرورگر قربانی را یدست آورده و زمانی که وی وارد سایت (login) شده درخواستهای نادرستی را به سایت ارسال می کند. (نمونه آن چندی پیش دز سایت myspace اتفاق افتاده بود و هکری با استفاده از یک کرم اینترنتی پیغامی را در میلیونها صفحه کاربران این سایت نمایش داد)
6.Information leakage and improper error handling
همانطور که از نام این مشکل مشخص است زمانی که در خطاهای نرم افزار سایت به شکل مناسبی مدیریت نشوند در صفحات خطا اطلاعات مهمی نمایش داده شود که امکان سوء استفاده از آنها وجود داشته باشد.(نمونه ای از همین مشکل چندی پیش برای یکی از سایتهای فارسی نیز بوجود آمد و اطلاعات کاربری و کلمه عبور اتصال به بانک اطلاعات در زمان خطا نمایش داده می شد و باعث سوء استفاده و تغییر اطلاعات کاربران این سایت شد )
7.Broken authentication and session management
این مشکل در زمانی که نشست کاربر (Session) و کوکی اطلاعات مربوط به ورود کاربر به دلایلی به سرقت می رود یا به دلیلی نیمه کاره رها می شود ایجاد می شود. یکی از شیوه های جلوگیری از این مشکل رمز نگاری اطلاعات و استفاده SSL است.
8.Insecure cryptographic storage
این مشکل نیز چنانچه از عنوان آن مشخص است بدلیل اشتباه در رمزنگاری اطلاعات مهم (استفاده از کلید رمز ساده یا عدم رمز نگاری اطلاعات کلیدی) است.
9.Insecure communications
ارتباط ناامن نیز مانند مشکل قبلی است با این تفاوت که در لایه ارتباطات شبکه است.هکر در شرایطی میتواند اطلاعات در حال انتقال در شبکه را مشاهده کند و از این طریق به اطلاعات مهم نیز دست پیدا کند. همانند مشکل قبلی نیز استفاده از شیوه های رمزنگاری و SSL راه حل این مشکل است.
10.Failure to restrict URL access
برخی از صفحات سایتها (مانند صفحات بخش مدیریت سایت) می بایست تنها در اختیار کاربرانی با دسترسی خاص باشند.اگر دسترسی به این صفحات و پارارمترهای ارسالی آنها به شکل مناسبی حفاظت نشده باشد ممکن است هکرها آدرس این صفحات را حدس بزنند و به نحوی به آنها دسترسی پیدا کنند.
علی فاریابی
دوشنبه 5 آذرماه سال 1386 ساعت 10:42
سلام مطلب خوب و کاربردی بود موفق باشید موارد ۱ و ۲ بزرگترین مشکلات سایتها هستند
با سلام
وبلاگ جالب و خوب و زیبایی دارید
من مایل به تبادل لینک با شما هستم
در صورت تمایل من را با نام
وبلاگ آموزش و دانلود ایرانیان
لینک کنید و به من اطلاع بدهید که شما را لینک کنم.
با تشکر و آرزوی موفقیت برای شما دوست عزیز
سلام خسته نباشید. مطا لبتون خیلی عالی و مفید بود موفق و سربلند باشی منتظر حضور سبزتان هستم