امنیت وب

صفحه 1:
Sajjadghabel 

صفحه 2:


صفحه 3:


صفحه 4:
فهرست موضجعی ا.خطرات ۲.سودا ۳.انواع مهاجمان عا.انواع از حمله 0 نتكى حمله ب.راه هاى مقابله 

صفحه 5:
سرقت اطلاعات حساس نظیر: اطلاعات امنیتی وسری شماره کارت اعتباری شیوع یک ویروس کامییوتری استفاده از کامپیوتر شما برای تهاجم علیه دیگران۱ حتى هتک مرمت )2009 

صفحه 6:
البته یه سودی هم داره : رونق گرفتن بازار کار امنیت اطلاعات در سرتاسر دنیا شدا 

صفحه 7:


صفحه 8:
مهاجمین یا 72۲۱۰۲ ها چه کسانی هستند ؟ 310.115 ‏هكر ها يا‎ .١ 2. جوجه هكر ها يا 9100325 اماك 5 2. جاسوس هايا دع أآبرد پرسنل و کارکنان خودی یا 115108275 ON Acoma UM MOMS COUN |e NCU MOWs) Gt SUEZ Oy ‏مت‎ 

صفحه 9:
Hackers به هكر هايى كه هدف آنها کمک به پیدا کردن نقاط ضعف و شناسایی آنها می باشد و هدف تخریبی ندارند ‎near yery‏ 9 م6 ) آگفته می شود و به هکر هایی که هدف آنها تخريب و سرقت اطلاعات و جاسوسى است در اصطلام هكرهاى بد يا كلاه سياد (غ.6310ع.8)0 ) كفته مى شنود. 

صفحه 10:
Script Kiddies اینگونه افراد اصلا دارای مهارت واقعی در هک نیستند! ۰ درصد هملات هکری که در سالهای اخیر صورت گرفته است توسط اینگونه افراد انجام شده است 

صفحه 11:
SS افرادی هستند که استخدام می شوند تا بتوانند اطلاعات كامييوترها را بصورت غير مجاز به دست بياورند. هدف اصلى اين افراد به سرقت بردن اطلاعات بدون جا كذاشتن رد يا از خودشان مى باشد و براى اينكار هم دانش کامپیوتری مورد نیاز را دارند 

صفحه 12:
۱ پرسنل خودی به عنوان یکی از مهمترین و خطرناک ترین عاملین مهاجم به امنیت اطلاعات شناخته می شوندا طبق ‎WSCC IPH COMER SON MIND ON‏ 1 حملات و مشكلات امنيتى از طرف اينكونه افراد صورت كرفته است! 

صفحه 13:
یره اين افراد معمولا كروهى و شبكه اى تهاجم را انجام مى دهند. يك كروه تبهكار سايبرى ممكن است ماه ها براى انجام يى حمله برنامه ريزى كند. از تكنيى هاى سرقت هويت . .57211 سازى . تقلب ها ؟ حيله هاى مالى و ... استفاده كنند. سرمايه تذارى بسيار زيادى براى اينكونه حملات انجام مى شود. اینگونه افراد مجموعه ای هدفمند از جوان های متفصص در امور كامييوتر هستند. بيشترين كروه هايى كه از اين نوع در در دنيا وجود دارد از اروياى ‎PANS yt‏ ا ل كم ل ا ا ۱ ۳۹ 

صفحه 14:
Oma APS CCt RE AKC SCHR CIN MCU ee) PCI TN| ‏ايدئولوزيكى ( جهانبينى و طرز نكرش ) انجام مى شود.‎ برخی از دولت. ها هستند که برای هجوم به كشورهاى ديكر از اين روش استفاده مى كنند. 

صفحه 15:


صفحه 16:


صفحه 17:
هملات مهندسی اجتماعی 00100 U.VAy IMPERSONATION & Gu9o Jar 131115311 9126© ‏فيشينق يا‎ PHARMING b Sixsyld SPEARPHISHI NG b sindso ‏فيشينق‎ ‎WHALING PHISHING VISHING اسیم یا 52401 هوکس یا 31020 

صفحه 18:
Impersonation * دراين نوع حمله مهاجم هويت شخصى كه شما از وى شناخت داريد را جعل كرده و خود را به جاى وى جا مى زند 

صفحه 19:
Phishing * در اينكونه حملات كه بيشتر توسط ايميل انجام مى شود . برای شما ایمیلی ارسال می شود که در آن از طرف بانکی که شما در آن حساب سپرده دارید درخواست شده است که نام کاربری و رمز عبور خود را در کادر مشخص شده وارد كنيد تا حساب شما فعال شود و يا اينكه هر درخواستى مبنى بر وارد كردن اطلاعات شخصى كاربران را از طریق ایمیل از شما می خواهند. 

صفحه 20:
Wee aL, * مهاجم با استفاده از یک لینک وب سایت که به ظاهر به وب سایت اصلی بانک یا مرجع مورد نظر متصل است شما را فريب مى دهد و يك وب سايت جعلى مشابه وب سايت اصلى طراحى و به شما براى وارد كردن اطلاعات معرفى مى كند . اينكونه حملات معمولا از تكنيك هاى هكينك سرويس 22/5 براى جعل آدرس وب سايت استفاده مى كنند كه معمولا با استفاده از دستکاری فایل 360515 موجود بر روی سیستم شما و یا ‎a ar‏ ا ا ا ا ا ل شلود. 

صفحه 21:
Spear Phishing * مهاجم ابتدا در خصوص افراد هدفى كه مى خواهد به آنها حمله كند اطلاعاتى بدست. آ ورده و با استفاده از این ‎all)‏ 5200 حمله خود را انجام مى دهد Whaling Phishing 

صفحه 22:
Vishing * واه اين نوع حمله از دو كلمه تشكيل شده است م7012 و 8 ماد در اين نوع حمله مهاجم با استفاده از تلفن با قربانی تماس گرفته و از وی می خواهد که برای تکمیل اطلاعات بانكى خود با يك شماره تلفن تماس بكيرد 

صفحه 23:
000 و ارسال مى شوند و مى توانند واقعا در نقش يك ابزار تخريبى براى قربانى نقش آفرينى كنند. اولويت كارى و هدف اصلى يك اسيم انتشار بدافزارها و كدهاى مخرب مى باشد 

صفحه 24:
Hoax * اينكونه مهندسى هاى اجتماعى را بيشتر در رده بندى آزارو اذيت قرار مى دهند تا انتشار كدهاى مخرب و تخريب سيستم هاء در اين نوع از حملات معمولا براى شما نامه اى ارسال مى شود كه در خصوص موضوعى جعلى اطلاع رسانى كرده است * ممکن است از ‎oly lo Hoax‏ انجام مرامل اولیه هملات و 

صفحه 25:
۳ Dumpster Diving ° ل 2 Tailgating ° ‏درب‎ ‎Shoulder Surfing ° شخص مهاجع در بالاى سر قربانى قرار كرفته 9 زير شمى به كليد هايى كه وى بر روى كيبورد خود وارد مى كند نكاه مى كند 

صفحه 26:
۲ 

صفحه 27:


صفحه 28:


صفحه 29:
راه مقابله؟؟ 

صفحه 30:
XSS _& CROSS-SITESCRIPTING | 2.SQLINJECTION 3.XMLINJECTION 121158521013( 115571185 2 ‏4.تزريق دستورات يا‎ DDOS(DENIAL OF SERVICE ATTACK) ‏همله‎ ۶ SPUR Rete Ne LA e WAN t nT SN /. كدهاى قابل انتقال ‎(ACTIVEX 9 JAVA. JAVASCRIPT)‏ ۷۴۶۷۲۴ .۸ ابزاری برای جاسوسی ©2055-5111 ‏اسكرييتهاى‎ .9 eT 

صفحه 31:
205 به نرم افزارهاى تحت وب از طريق اسكرييت نويسى حمله مى ‎iS‏ هدف اصلى اين نوع حمله بدست آودن اطلاعات از كاربران و لكا اك ۱ ‎aC eI ye‏ ا ل ا ل لي روى كامييوتر انها اجرا مى شود الوده است يا خير؟ ‏یشتر اطلاعاتی که از طریق 2655 بدست می آید از طریق ‎Cookie‏ ‎۱ MUON LV NSEC CMAN WSCLB SY ‏يا هر متد کدگذاری دیگری که 111۶ ها ۱ بصورت معتبر‎ ۳ ‏ره‎ ۱ ۱ 

صفحه 32:
راه های مقابله با تزریق کد * فیلترکردن ورودی ها جلوگیری ازوارد کردن تگ‌های 2012۷۶ و... امن كردن کوکی‌ها غيرفعال كردن جاوا اسكرييت وبسايتها برايجلوكيرى از به سرقت رفتن کوکی‌ها می‌توانند به طور كل جاوا اسكرييت راغيرفعال كرده روش اول بهترین روش و روشهای دیگر برای 

صفحه 33:
SQLInjection هركاه فيلد ورود ‎١‏ خروج اطلاعاتى وجود داشته باشد كه در يس زمينه آن یک پایگاه داده باشد , مى توانيم با دستورات غيرمعمول زبان 59,2 در اين فيلد ها ياسخ هايى از سرور دريافت كنيم كه حاوى اطلاعات مى باشند. يكى از فيلدهايى كه در وب سايت ها بسيار مورد حملات 92د سن ديد را 019 30100 درفي و 0 ننه 

صفحه 34:
وير 

صفحه 35:
راه های مقابله با تزریق کد فیلترکردن ورودی ها همیشه اطلاعات مهم مانند رمزهای عیور را به صورت کدشده در پایگاه داده(۲۵6۵۵/6) ذفیره کنید. 

صفحه 36:
XMLInjection اکثرا وب سایت هایی که از 262/۶ استفاده می کنند مورد همله ‎Laan mew Oe MNE yh Le ake mes ey‏ ل ل 02-7 > با استفاده از این 911210 هکر می تواند نام املین کاربر و رمز آن را بدست بیاورد 

صفحه 37:
XPathInjection L aylis gle ol) تکرار تمام مراحل قبل به ویژه: وارد کردن ۷۵۲۲۵۵101 برای فیلد های ورودی اطلاعات 

صفحه 38:
‎ay ae LC‏ ادا ‏در نظر نگرفتن دسترسی مناسب برای پوشه ريشه که: ‏باعث شود مهاجم با وارد كردن كاراكترهاى مشخصى به ‎Parent Directory‏ 4 پوشه بالاسرى دسترسى بيدا كند. 

صفحه 39:
DDOS باعث از كارافتادن يا مشغول شدن بيش [[ اندازه كامييوتر مى شود ‎ETSY |‏ ا ‎RAW SUES‏ 

صفحه 40:
زأه هاى مقابله با ههله 0005 28125511118 فيلترينكرا بر روىت رلفيكفروجى لجا کرده و تنها به بسته هایی‌که دارلیآ دیسمبدا معتبرلند لجانه خرمج از شبکه را می‌دهد 

صفحه 41:
(اه کارهای عموامی © نرم افزارها را به روز نكه داريد © رمزهاى عبور قوى و مطمئن انتخاب كنيد ”هجوز (2©1111:551:011) فايل هاى سايت را محدود و قفل كنيد امنیت ميزبان وب 210518 7/76 خود با اجراى ‎suPHP‏ ‏اطمينان حاصل كنيد به لينك ها دقت كنيد © براى ارسال ايميل ها حتما از لايه اس اس ال استفاده كنيد © نكاهى به سرویس میزبانی مشتری توجه مستمر به فايل هاى لاك بر روى سرور 

صفحه 42:
نتيجه كيرى: مِيزى به اسم امنيت در فضاى اينترنت وجود ندارها تمام اين كارها فقط براى محافظت و آسيب كمترها 

صفحه 43:


امنیت وب Web Security Sajjad ghabel توسعه فناوری و اطالعات خطر د ن ی ا ی و ب م ث ل ه ا ی ن ک ه ت و ب ا ت ال ق ق د م بزاری! فهرست موضوعی .1خطرات .2سود! .3انواع مهاجمان .4انواع از حمله .5چگونگی حمله .6راه های مقابله سرقت اطالعات حساس نظير: اطالعات امنیتی وسری شماره کارت اعتباری شيوع يک ويروس کامپيوتری استفاده از کامپيوتر شما برای تهاجم عليه ديگران! حتی هتک حرمت و... البته یه سودی هم داره : رونق گرفتن بازار کار امنیت اطالعات در سرتاسر دنیا شد! انواع مهاجمان مهاجمین يا Attackerها چه کسانی هستند ؟ .1هکر ها یا Hackers .2جوجه هکر ها یا Script Kiddies .3جاسوس ها یا Spies .4پرسنل و کارکنان خودی یا Insiders .5تبهکاران یا مجرمان سایبری یا Cybercriminal .6تروریست های سایبری یا Cyber terrorists Hackers به هکر هایی که هدف آنها کمک به پیدا کردن نقاط ضعف و شناسایی آنها می باشد و هدف تخریبی ندارند هکرهای خوب یا هکرهای کاله سفید ( White ) ) hatگفته می شود و به هکر هایی که هدف آنها تخریب و سرقت اطالعات و جاسوسی است در اصطالح هکرهای بد یا کاله سیاه ( ) Black Hatگفته می شود. Script Kiddies اینگونه افراد اصال دارای مهارت واقعی در هک نیستند! 40درصد حمالت هکری که در سالهای اخیر صورت گرفته است توسط اینگونه افراد انجام شده است Spies افرادی هستند که استخدام می شوند تا بتوانند اطالعات کامپیوترها را بصورت غیر مجاز به دست بیاورند. هدف اصلی این افراد به سرقت بردن اطالعات بدون جا گذاشتن رد پا از خودشان می باشد و برای اینکار هم دانش کامپیوتری مورد نیاز را دارند Insiders پرسنل خودی به عنوان یکی از مهمترین و خ̀طرناک ترین عاملین مهاجم به امنیت اطالعات شناخته می شوند! طبق آمار بدست آمده تا سال 2010بیش از 48درصد حمالت و مشکالت امنیتی از طرف اینگونه افراد صورت گرفته است! Cybercriminal این افراد معموال گروهی و شبکه ای تهاجم را انجام می دهند. یک گروه تبهکار سایبری ممکن است ماه ها برای انجام یک حمله برنامه ریزی کند. از تکنیک های سرقت هویت Spam ،سازی ،تقلب ها و حیله های مالی و ...استفاده کنند. سرمایه گذاری بس`یار زیادی برای اینگونه حمالت انجام می شود. اینگونه افراد مجموعه ای هدفمند از جوان های متخصص در امور کامپیوتر هستند. بیشترین گروه هایی که از این نوع در در دنیا وجود دارد از اروپای شرقی ،آسیا و کشورهای جهان سوم تشکیل شده اند. یکی از معروف ترین کشورها در زمینه هک و امنیت در کشور هند می باشد! Cyber terrorists اینگونه حمالت توسط افرادی با اهداف و انگیزه های ایدئولوژیکی ( جهانبینی و طرز نگرش ) انجام می شود. برخی از دولت` ها هستند که برای هجوم به کشورهای دیگر از این روش استفاده می کنند. گ و ن ا گ و ن ی ب س ی ا ح ر ز م ل یاد ه ها عدم شناسایی نوع حمله انواع حم̀له حمالت مهندسی اجتماعی حمله با استفاده از بدافزار جعل هویت یا IMPERSONATION فیشینگ یا PHISHING فارمینگ یا PHARMING فیشینگ هدفمند یا SPEAR PHISHING ‏WHALING PHISHING ‏VISHING اسپم یا SPAM هوکس یا HOAX Impersonation • در این نوع حمله مهاجم هویت شخصی که شما از وی شناخت دارید را جعل کرده و خود را به جای وی جا می زند Phishing • در اینگونه حمالت که بیشتر توسط ایمیل انجام می شود ،برای شما ایمیل̀ی ارسال می شود که در آن از طرف بانکی که شما در آن حساب سپرده دارید درخواست شده است که نام کاربری و رمز عبور خود را در کادر مشخص شده وارد کنید تا حساب شما فعال شود و یا اینکه هر درخواستی مبنی بر وارد کردن اطالعات شخصی کاربران را از طریق ایمیل از شما می خواهند. Pharming • مهاجم با استفاده از یک لینک وب سایت که به ظاهر به وب سایت اصلی بانک یا مرجع مورد نظر متصل است شما را فریب می دهد و یک وب سایت جعلی مشابه وب سایت اصلی طراحی و به شما برای وارد کردن اطالعات معرفی می کند ،اینگونه حمالت معموال از تکنیک های هکینگ سرویس DNSبرای جعل آدرس وب سایت استفاده می کنند که معموال با استفاده از دستکاری فایل Hostsموجود بر روی سیستم شما و یا نقاط ضعف̀ی که بر روی سرور DNSوجود دارد انجام می شود. Spear Phishing • مهاجم ابتدا در خصوص افراد هدفی که می خواهد به آنها حمله کند اطالعاتی بدست` آورده و با استفاده از این اطالعات بدست` آمده حمله خود را انجام می دهد ‏Whaling Phishing Vishing • واژه این نوع حمله از دو کلمه تشکیل شده است Voiceو ، Phishingدر این نوع حمله مهاجم با استفاده از تلفن با قربانی تماس گرفته و از وی می خواهد که برای تکمیل اطالعات بانکی خود با یک شماره تلفن تماس بگیرد Spam • اسپم ها ایمیل های ناخواسته ای هستند که برای شما ارسال می شوند و می توانند واقعا در نقش یک ابزار تخریبی برای قربانی نقش آفرینی کنند .اولویت کاری و هدف اصلی یک اسپم انتشار بدافزارها و کدهای مخرب می باشد Hoax • اینگونه مهندسی های اجتماعی را بیشتر در رده بندی آزار و اذیت قرار می دهند تا انتشار کدهای مخرب و تخریب سیستم ها ،در این نوع از حمالت معموال برای شما نامه ای ارسال می شود که در خصوص موضوعی جعلی اطالع رسانی کرده است • ممکن است از Hoaxها برای انجام مراحل اولیه حمالت هکری استفاده شود روش های فیزیکی • Dumpster Diving جستجو در زباله های سازمانی • Tailgating درب • Shoulder Surfing شخص مهاجم در باالی سر قربانی قرار گرفته و زیر چشمی به کلید هایی که وی بر روی کیبورد خود وارد می کند نگاه می کند چگونگی حمله مهاجمان(ابزار هکرها) و راه مقابله؟؟ چگونگی حمله XSS یاCROSS-SITE SCRIPTING .1 2. SQL INJECTION 3. XML INJECTION DIRECTORY TRAVERSA تزریق دستورات یا.4 DDOS(DENIAL OF SERVICE ATTACK) حمله. 5 درهای پشتی و برنامه‌های مدیریت از راه دور.6 )ACTIVEX وJAVA ، JAVASCRIPT( کدهای قابل انتقال.7 ابزاری برای جاسوسی8. KEYLOGGER CROSS-SITE اسکریپتهای.9 ...و.10 • • • • • ‏xss به نرم افزارهای تحت وب از طریق اسکریپت نویسی حمله می کند. هدف اصلی این نوع حمله بدست آودن اطالعات از کاربران و کالینت هایی است که به سرور متصل می شود. مرورگرها توانایی تشخیص این را ندارند که اسکریپتی که بر روی کامپیوتر آنها اجرا می شود آلوده است یا خیر ؟ یشتر اطالعاتی که از طریق XSSبدست می آید از طریق ‏Cookie در این نوع حمله معموال URLها با متدهایی مثل Hexو یا هر متد کدگذاری دیگری که URLها را بصورت معتبر نمایش می دهد ،کدگذاری می شوند. راه های مقابله با تزریق کد • فیلترکردن ورودی ها جلوگیری ازوارد کردن تگ‌های HTMLو... امن کردن کوکی‌ها غیرفعال کردن جاوا اسکریپت وب‌سایت‌ها برایجلوگیری از به سرقت رفتن کوکی‌ها می‌توانند به طور کل جاوا اسکریپت راغیرفعال کرده روش اول بهترین روش و روشهای دیگر برای محافظت بیشتر SQL Injection هرگاه فیلد ورود و خروج اطالعاتی وجود داشته باشد که در پس زمینه آن یک پایگاه داده باشد ،می توانیم با دستورات غیرمعمول زبان SQLدر این فیلد ها پاسخ هایی از سرور دریافت کنیم که حاوی اطالعات می باشند. یکی از فیلدهایی که در وب سایت ها بسیار مورد حمالت SQL INJECTIONقرار می گیرد ،فیلد FORGOT PASSWORD راه های مقابله با تزریق کد فیلترکردن ورودی ها همیشه اطالعات مهم مانند رمزهای عبور را به صورت کدشده در پایگاه داده( )Databaseذخیره کنید. XML Injection اکثرا وب سایت هایی که از XMLاستفاده می کنند مورد حمله حمالت XML Injectionیا XPath Injectionقرار بگیرند. کد مخرب در ورودی : ‘ ‘ OR 1=1 OR با استفاده از این QUERYهکر می تواند نام اولین کاربر و رمز آن را بدست بیاورد راه های مقابله با ‏XPath Injection تکرار تمام مراحل قبل به ویژه: وارد کردن validationبرای فیلد های ورودی اطالعات Directory Traversa در نظر نگرفتن دسترسی مناسب برای پوشه ریشه که: باعث شود مهاجم با وارد کردن کاراکترهای مشخصی به Parent Directoryیا پوشه باالسری دسترسی پیدا کند. DDOS باعث از کارافتادن یا مشغول شدن بیش از اندازه کامپیوتر می شود از آدرس های IPجعلی استفاده می شود. راه های مقابله با حمله ddos Egress filteringف``یلتر̀ینگرا ب```ر ر̀ویت``ر̀ا̀فیکخ`ر̀و ج`ی̀اجرا ک``رد`ه` و ت```ن̀ها ب```ه ب```سته ها̀ییک``ه دار̀ایآد̀رسم`بدا م`عتبر̀اند ̀اجا̀ز ه` خ`ر̀وج از ش``بکه را م`ید`هد. راه کارهای عمومی ‏نرم افزارها را به روز نگه دارید ‏رمزهای عبور قوی و مطمئن انتخاب کنید ‏مجوز ( )permissionفایل های سایت را محدود و قفل کنید ‏از امنیت میزبان وب Web Hostingخود با اجرایsuPHP اطمینان حاصل کنید ‏به لینک ها دقت کنید ‏برای ارسال ایمیل ها حتما از الیه اس اس ال استفاده کنید ‏نگاهی به سرویس میزبانی مشترک ‏توجه مستمر به فایل های الگ بر روی سرور نتیجه گیری: چیزی به اسم امنیت در فضای اینترنت وجود نداره! تمام این کارها فقط برای محافظت و آسیب کمتره!