امنیت وب

امنیت وب

اسلاید 1: امنیت وبWeb SecuritySajjad ghabel

اسلاید 2: خطرتوسعه فناوری و اطلاعات

اسلاید 3: دنیای وب مثله اینکه تو باتلاق قدم بزاری!

اسلاید 4: فهرست موضوعی 1.خطرات 2.سود! 3.انواع مهاجمان 4.انواع از حمله 5.چگونگی حمله 6.راه های مقابله

اسلاید 5: سرقت اطلاعات حساس نظير: اطلاعات امنیتی وسری شماره کارت اعتباری شيوع يک ويروس کامپيوتری استفاده از کامپيوتر شما برای تهاجم عليه ديگران! حتی هتک حرمت و...

اسلاید 6: البته یه سودی هم داره :رونق گرفتن بازار کار امنیت اطلاعات در سرتاسر دنیا شد!

اسلاید 7: انواع مهاجمان

اسلاید 8: 1. هکر ها یا Hackers 2. جوجه هکر ها یا Script Kiddies 3. جاسوس ها یا Spies  4. پرسنل و کارکنان خودی یا Insiders  5. تبهکاران یا مجرمان سایبری یا Cybercriminal 6. تروریست های سایبری یا Cyber terrorists مهاجمین يا Attacker ها چه کسانی هستند ؟

اسلاید 9: Hackersبه هکر هایی که هدف آنها کمک به پیدا کردن نقاط ضعف و شناسایی آنها می باشد و هدف تخریبی ندارند هکرهای خوب یا هکرهای کلاه سفید ( White hat ) )گفته می شود و به هکر هایی که هدف آنها تخریب و سرقت اطلاعات و جاسوسی است در اصطلاح هکرهای بد یا کلاه سیاه (Black Hat ) گفته می شود.

اسلاید 10: Script Kiddies40 درصد حملات هکری که در سالهای اخیر صورت گرفته است توسط اینگونه افراد انجام شده استاینگونه افراد اصلا دارای مهارت واقعی در هک نیستند!

اسلاید 11: افرادی هستند که استخدام می شوند تا بتوانند اطلاعات کامپیوترها را بصورت غیر مجاز به دست بیاورند. هدف اصلی این افراد به سرقت بردن اطلاعات بدون جا گذاشتن رد پا از خودشان می باشد و برای اینکار هم دانش کامپیوتری مورد نیاز را دارندSpies

اسلاید 12: پرسنل خودی به عنوان یکی از مهمترین و خطرناک ترین عاملین مهاجم به امنیت اطلاعات شناخته می شوند! طبق آمار بدست آمده تا سال 2010 بیش از 48 درصد حملات و مشکلات امنیتی از طرف اینگونه افراد صورت گرفته است!Insiders

اسلاید 13: این افراد معمولا گروهی و شبکه ای تهاجم را انجام می دهند. یک گروه تبهکار سایبری ممکن است ماه ها برای انجام یک حمله برنامه ریزی کند. از تکنیک های سرقت هویت ، Spam سازی ، تقلب ها و حیله های مالی و ... استفاده کنند. سرمایه گذاری بسیار زیادی برای اینگونه حملات انجام می شود. اینگونه افراد مجموعه ای هدفمند از جوان های متخصص در امور کامپیوتر هستند. بیشترین گروه هایی که از این نوع در در دنیا وجود دارد از اروپای شرقی ، آسیا و کشورهای جهان سوم تشکیل شده اند. یکی از معروف ترین کشورها در زمینه هک و امنیت در کشور هند می باشد!  Cybercriminal 

اسلاید 14:  اینگونه حملات توسط افرادی با اهداف و انگیزه های ایدئولوژیکی ( جهانبینی و طرز نگرش ) انجام می شود. برخی از دولت ها هستند که برای هجوم به کشورهای دیگر از این روش استفاده می کنند.Cyber terrorists 

اسلاید 15: عدم شناسایی نوع حملهگوناگونی بسیارزیاد حمله ها

اسلاید 16: انواع حمله

اسلاید 17: حمله با استفاده از بدافزار جعل هویت یا Impersonation فیشینگ یا Phishing فارمینگ یا Pharming فیشینگ هدفمند یا Spear Phishing Whaling Phishing Vishing اسپم یا Spam هوکس یا Hoax حملات مهندسی اجتماعی

اسلاید 18: Impersonationدر این نوع حمله مهاجم هویت شخصی که شما از وی شناخت دارید را جعل کرده و خود را به جای وی جا می زند

اسلاید 19: Phishingدر اینگونه حملات که بیشتر توسط ایمیل انجام می شود ، برای شما ایمیلی ارسال می شود که در آن از طرف بانکی که شما در آن حساب سپرده دارید درخواست شده است که نام کاربری و رمز عبور خود را در کادر مشخص شده وارد کنید تا حساب شما فعال شود و یا اینکه هر درخواستی مبنی بر وارد کردن اطلاعات شخصی کاربران را از طریق ایمیل از شما می خواهند.

اسلاید 20: Pharmingمهاجم با استفاده از یک لینک وب سایت که به ظاهر به وب سایت اصلی بانک یا مرجع مورد نظر متصل است شما را فریب می دهد و یک وب سایت جعلی مشابه وب سایت اصلی طراحی و به شما برای وارد کردن اطلاعات معرفی می کند ، اینگونه حملات معمولا از تکنیک های هکینگ سرویس DNS برای جعل آدرس وب سایت استفاده می کنند که معمولا با استفاده از دستکاری فایل Hosts موجود بر روی سیستم شما و یا نقاط ضعفی که بر روی سرور DNS وجود دارد انجام می شود. 

اسلاید 21: Spear Phishingمهاجم ابتدا در خصوص افراد هدفی که می خواهد به آنها حمله کند اطلاعاتی بدست آورده و با استفاده از این اطلاعات بدست آمده حمله خود را انجام می دهدWhaling Phishing

اسلاید 22: Vishingواژه این نوع حمله از دو کلمه تشکیل شده است Voice و Phishing ، در این نوع حمله مهاجم با استفاده از تلفن با قربانی تماس گرفته و از وی می خواهد که برای تکمیل اطلاعات بانکی خود با یک شماره تلفن تماس بگیرد

اسلاید 23: Spamاسپم ها ایمیل های ناخواسته ای هستند که برای شما ارسال می شوند و می توانند واقعا در نقش یک ابزار تخریبی برای قربانی نقش آفرینی کنند. اولویت کاری و هدف اصلی یک اسپم انتشار بدافزارها و کدهای مخرب می باشد

اسلاید 24: Hoaxاینگونه مهندسی های اجتماعی را بیشتر در رده بندی آزار و اذیت قرار می دهند تا انتشار کدهای مخرب و تخریب سیستم ها ، در این نوع از حملات معمولا برای شما نامه ای ارسال می شود که در خصوص موضوعی جعلی اطلاع رسانی کرده استممکن است از Hoax ها برای انجام مراحل اولیه حملات هکری استفاده شود

اسلاید 25: روش های فیزیکی Dumpster Divingجستجو در زباله های سازمانیTailgatingدربShoulder Surfing  شخص مهاجم در بالای سر قربانی قرار گرفته و زیر چشمی به کلید هایی که وی بر روی کیبورد خود وارد می کند نگاه می کند

اسلاید 26: چگونگی حمله مهاجمان(ابزار هکرها)

اسلاید 27:

اسلاید 28:

اسلاید 29: وراه مقابله؟؟

اسلاید 30: 1. Cross-Site Scripting یا xss 2. SQL Injection 3. XML Injection 4.تزریق دستورات یا Directory Traversa 5. حمله DDOS(denial of service attack) 6. درهای پشتی و برنامه‌های مدیریت از راه دور 7. کدهای قابل انتقال (Java ، JavaScript و ActiveX) 8. Keylogger ابزاری برای جاسوسی 9. اسکریپتهای Cross-Site 10.و... چگونگی حمله

اسلاید 31: به نرم افزارهای تحت وب از طریق اسکریپت نویسی حمله می کند.هدف اصلی این نوع حمله بدست آودن اطلاعات از کاربران و کلاینت هایی است که به سرور متصل می شود.مرورگرها توانایی تشخیص این را ندارند که اسکریپتی که بر روی کامپیوتر آنها اجرا می شود آلوده است یا خیر ؟یشتر اطلاعاتی که از طریق XSS بدست می آید از طریق Cookieدر این نوع حمله معمولا URL ها با متدهایی مثل Hex و یا هر متد کدگذاری دیگری که URL ها را بصورت معتبر نمایش می دهد، کدگذاری می شوند.xss

اسلاید 32: فیلترکردن ورودی ها جلوگیری ازوارد کردن تگ‌های HTML و...  امن کردن کوکی‌ها غیرفعال کردن جاوا اسکریپت وب‌سایت‌ها برایجلوگیری از به سرقت رفتن کوکی‌ها می‌توانند به طور کل جاوا اسکریپت راغیرفعال کرده روش اول بهترین روش و روشهای دیگر برای محافظت بیشترراه های مقابله با تزریق کد

اسلاید 33: یکی از فیلدهایی که در وب سایت ها بسیار مورد حملات SQL Injection قرار می گیرد ، فیلد Forgot Password هرگاه فیلد ورود و خروج اطلاعاتی وجود داشته باشد که در پس زمینه آن یک پایگاه داده باشد ، می توانیم با دستورات غیرمعمول زبان SQL در این فیلد ها پاسخ هایی از سرور دریافت کنیم که حاوی اطلاعات می باشند.SQL Injection

اسلاید 34:

اسلاید 35: فیلترکردن ورودی هاهمیشه اطلاعات مهم مانند رمزهای عبور را به صورت کدشده در پایگاه داده(Database) ذخیره کنید. راه های مقابله با تزریق کد

اسلاید 36: کد مخرب در ورودی : ‘ or 1=1 or ‘ با استفاده از این Query هکر می تواند نام اولین کاربر و رمز آن را بدست بیاورداکثرا وب سایت هایی که از XML استفاده می کنند مورد حمله حملات XML Injection یا XPath Injection قرار بگیرند. XML Injection

اسلاید 37: تکرار تمام مراحل قبل به ویژه:وارد کردن validation برای فیلد های ورودی اطلاعاتراه های مقابله با XPath Injection

اسلاید 38: در نظر نگرفتن دسترسی مناسب برای پوشه ریشه که:باعث شود مهاجم با وارد کردن کاراکترهای مشخصی به Parent Directory یا پوشه بالاسری دسترسی پیدا کند.Directory Traversa

اسلاید 39: باعث از کارافتادن یا مشغول شدن بیش از اندازه کامپیوتر می شوداز آدرس های IP جعلی استفاده می شود.DDOS

اسلاید 40: Egress filtering فیلترینگ را بر روی ترافیک خروجی اجرا کرده و تنها به بسته هایی که دارای آدرس مبدا معتبراند اجازه خروج از شبکه را می دهد.راه های مقابله با حمله ddos

اسلاید 41: راه کارهای عمومینرم افزارها را به روز نگه داریدرمزهای عبور قوی و مطمئن انتخاب کنیدمجوز (permission) فایل های سایت را محدود و قفل کنیداز امنیت میزبان وب Web Hosting خود با اجرایsuPHP اطمینان حاصل کنیدبه لینک ها دقت کنیدبرای ارسال ایمیل ها حتما از لایه اس اس ال استفاده کنیدنگاهی به سرویس میزبانی مشترکتوجه مستمر به فایل های لاگ بر روی سرور

اسلاید 42: نتیجه گیری:چیزی به اسم امنیت در فضای اینترنت وجود نداره!تمام این کارها فقط برای محافظت و آسیب کمتره!