مردان وردپرس امنیت وردپرس امنیت وردپرس ، انواع روش های نفوذ به سایت

امنیت وردپرس ، انواع روش های نفوذ به سایت

در قسمت اول از آموزش امنیت وردپرس مقدمات این دوره  را گفتیم و می خواهیم اولین قسمت از این دوره را توضیح دهیم.در این قسمت از امنیت وردپرس به بررسی روش های نفوذ  به سایت  ها را  می پردازیم.سپس در قسمت بعدی به روش هایی که به یک سایت وردپرسی می توان نفوذ کرد را بررسی می کنیم.

در ابتدا باید بدانیم اهداف نفوذ و نفوذ گر ها(hackers) چیست؟به طور خلاصه اینگونه است که برخی برای پیدا کردن حفره های امنیتی این کار را انجام می دهند و برخی هم برای خرابکاری یک سایت.برخی از اهداف به طور خلاصه به شرح زیر می باشد

  • اعلان سواد و تسلط بر فن آوری اطلاعات
  • اعلان ضعف امنیت شبکه کامپیوتری 
  • انتقام شخصی یا گروهی
  • بدون دلیل
  • دلایل شخصی
  • دستیابی به اموال مجازی افراد یا شرکتها

انواع هکر ها هم به دسته های زیر تقسیم می شوند

  • هکر  كلاه سفيد
  • هکر کلاه سیاه
  • هکر کلاه خاکستری
  • هکر های کلاه صورتی
  • هکر کلاه قرمز

درمورد روش های نفوذ به سایت می باشد در زیر به چند روش هک می پردازیم

SQL Injection

این حمله معروف و عمومی می باشد .این حمله برای نفوذ در query  پایگاه داده (database )اجرا شده و برای اجراء query های دلخواه نفوذگر، استفاده میشود.

تزریق به پایگاه داده (به انگلیسیSQL injection) نوعی فن تزریق کد است که نقص امنیتی نرم‌افزار وب‌سایت را اکسپلویت می‌کند به این صورت که نفوذگر با یک سری دستورهای اس‌کیوال عملیاتی را (متفاوت با عملیات عادی موردنظر طراح وبسایت) در پایگاه داده وب‌سایت آسیب‌پذیر انجام  می‌دهد.

این آسیب‌پذیری جزو ده آسیب‌پذیری رایج نرم‌افزارهای وب در سال ۲۰۰۷ و ۲۰۱۰ برشمرده شده‌است.

ویکی پدیا


XSS

اسکریپت های نوشته شده به وسیله این حمله  توسط نفوذگر به واسطه  سایت شما برای کاربران اجرا می شود.این نوع حمله ، حمله به کاربران سایت می باشد تا از طریق کوکی (cookies)لاگین ها و یا session های کاربران را سرقت کرد ه و نفوذگر بعد از اینکار می تواند به جای  کاربران در سیستم وارد شده  و یا درصورتی که اطلاعات مهم دیگری نیز در کوکی ها موجود باشد از آن اطلاعات سوء استفاده‌های دیگری هم انجام می دهد.

تزریق اسکریپت از طریق وب‌گاه[۱] (انگلیسی:XSS: Cross site scripting) از روش‌های نفوذ و گرفتن دسترسی غیر مجاز از یک وب‌گاه است که توسط یک هکر به کار می‌رود. در XSS نلاش می‌شود تا یک نبشتۀ اجرایی (همچون جاواسکریپت) یا کد HTML نامطلوب از لایه‌های امنیتی احتمالی یک وب‌گاه گذر داده شود و همراه با کد HTML و نبشته‌های اجرایی اصلی وب‌گاه دوباره به سمت کاربر بازگردانده شود. 

ویکی پدیا

 


XSRF

با این حمله یک دستور/عملیات را از سمت کاربر بدون متوجه شده کاربر از این موضوع ، می توان در سایتی که احتمالا کاربر در آن و ارد شده است اجرا شود. بدین معنی که کاربر بدون اینکه متوجه  چیزی شود، آدرسی از سایت هدف را که عملیات خاصی انجام می دهد در مرورگر خودش تحت ظاهرا سایت دیگری باز خواهد کرد. این حمله نیز از دسته حملات مستقیم به سایت نیست و کاربر را هدف قرار می دهد.

XSRF


DDOS ATTACK

حمله  DoS یا  Distributed Denial of Service نوعی از حمله می باشد و با هدف ،  از کار اندازی سیستم هدف با استفاده از هدر دادن منابع آن ، به طوری که سیستم سرویس دهنده دیگر توانایی پاسخ گویی به کاربران عادی خود را نداشته باشد.

حمله منع سرویس (به انگلیسیDenial of Service attack) (یا به اختصار DoS) در علم رایانه حمله منع سرویس یا حمله منع سرویس توزیع شده، تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش می باشد.اگرچه منظور از حمله DOS و انگیزه انجام آن ممکن است متفاوت باشد، اما به طور کلی شامل تلاش برای قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به اینترنت است.

ویکی پدیا

 


Header Injection

این حمله به فرم های(form) تماسی که از ایمیل استفاده می کنند و کاربر ایمیلش را در فیلد مربوطه  فرم وارد می کند و بعد این آدرس ایمیل بدون اعتبار سنجی کردن در قسمت هدرهای تابع mail درج می شود که بوسیله‌ ی این روش هکر ها  می توانند از طریق فرم تماسی که شما ساخته اید به هر  شخص دیگری که می خواهند ایمیل ارسال کنند.

 


سرقت session یا اطلاعاتش

در راحت ترین این سناریو،  فرد دیگری که با آن  هاست مشترک (هاست های اشتراکی) دارید می تواند به راحتی سشن (session) کاربران سایت شما  را سرقت کرده و با مشخصات کاربری آنان وارد سایت شده و یا اطلاعات درون سشن کاربران سایت را بخواند.حتی ممکن است session  را که بعنوان مدیر وارد شده اید را سرقت کند و بنابراین دسترسی ادمین به نرم افزار سایت را در دست بگیرد و باقی ماجرا را خودتان حدس بزنید


کرک هش پسوردها

در این روش نفوذگر از هش پسوردهای کاربران به خود پسوردها می رسد که نه تنها امنیت اکانت فعلی کاربران در سایت را از بین برده ،  بلکه می تواند برای حمله به حساب های (account) دیگر، کاربران در سایت های دیگر، هم مورد استفاده قرار دهد (بیشتر کاربران از یک پسورد برای چند اکانت و در سایت های مختلف استفاده می کنند که این روش انتخاب  رمز باعث بروز مشکلات امنیتی جدی خواهد شد).



حال سوالی که مطرح است اینست که هکرها چگونه وبلاگهای ما را هک می کنند؟در زیر به برخی از آنان می پردازیم

دلایل هک شدن وب سایت ها

Cross site scripting یا XSS

این مشکل زمان پیش می آید که اطلاعات ارسال شده توسط کاربران و سایت بدون اعتبار سنجی های لازم انجام شود.در این حالت هکر ها می توانند اسکریپت هایی به همراه اطلاعات به همراه مرورگر ارسال کنند و اطلاعاتی را به سرقت ببرند.

 

Injection flaws

در این شیوه هکر به همراه بخشی از اطلاعات یا پارامترهای ارسالی به سایت دستورات غیر مجازی که امکان خواندن، تغییر یا حذف یا درج اطلاعات جدید را فراهم میکند نیز تزریق میکند. یکی از معمول ترین این روشها SQL Injection است که امکان تغییر در اطلاعات و جداول بانک اطلاعاتی یا تغییر در درخواستها از بانک اطلاعات (مانند تعیین اعتبار کاربر و کلمه) را امکان پذیر میکند.

 

 

و…

در قسمت بعدی از امنیت وردپرس به روش هایی که باعث هک شدن یک سایت وردپرسی می شوند می پردازیم.

 

تاریخ آخرین بروزرسانی : ۳ دی ۱۳۹۵
منبع :‌ مردان وردپرس
میلاد میلادی

باور هایت را که پرورش دهی به هرچیزی دست خواهی یافت.

Advertising MiSaCo.
یک نظر برای 1

امنیت وردپرس ، انواع روش های نفوذ به سایت


  1. فرهاد

    بسیار عالی

نظرات خود را اینجا بنویسید

آدرس الکترونیکی شما نمایش داده نمی شود *

Time limit is exhausted. Please reload CAPTCHA.