امنیت و آسیب‌پذیری وب سرورها

وب سرور

امنیت وب سرورها کی از مهم‌ترین دغدغه‌های مدیران وب سایت، مسئولین سرورها و یا حتی کاربرانی که از خدمات هاستینگ استفاده می‌کنند، است. کارشناسان مختلف برای تامین امنیت وب سرورها از روش‎های بسیاری استفاده می‌کنند. این روش‌ها با توجه به مهارت استفاده از آن‌ها متفاوت‌اند. حملات مختلف هکری با مشخصات مختلف و خرابکاری‌های گوناگون ثابت کرده است که امنیت وب مهم‌ترین مسئله برای هر شغلی است که عملیات خود را بصورت آنلاین انجام می‌دهد. وب سرورها، یکی از هدفمندترین چهره‌های عمومی یک سازمان‌اند، به دلیل داده‌های حساسی که این سازمان‌ها در وب سرورها دارند و کوچکترین صدمه به این اطلاعات باعث می‌شود تا امنیت داده‌های آن سازمان به خطر بیوفتد. امنیت یک سرور وب به همان اندازه تأمین امنیت وب سایت یا برنامه‌های تحت وب و شبکه اطراف آن بسیار مهم است.

در مقالات قبل با امنیت هاستینگ و سرور و نکات آن آشنا شدیم، در این مقاله قصد داریم روش‌های حفظ امنیت در وب سرورها را به شما عزیزان آموزش بدهیم، با ما همراه باشید.

امنیت وب سرورها

وب سرور برنامه‌ای است که فایل‌ها (معمولاً صفحات وب) را ذخیره می‌کند و این اطلاعات را به شیوه‌ای خاص از طریق شبکه یا اینترنت در اختیار کاربران قرار می‌دهد. یک وب سرور نیازمند سخت‌افزار و نرم‌افزار است. امنیت وب سرورها از اهمیت بالایی برخوردار است. مهاجمین معمولاً اکسپلوییت‌های موجود در نرم افزارهای وب سرورها را به منظور نفوذ به کار می‌گیرند. خوب این آسیب‌پذیری ها چه هستند؟ لیست برخی از آسیب‌پذیری‌های موجود در سرورها را برای شما بیان کردیم:

تنظیمات پیش‌فرض سرورها:

با این تنظیمات پیش‌فرض نام کاربری و پسوردها را می‌توان به راحتی حدس زد و بکارگرفت. تنظیمات پیش‌فرض ممکن است اجازه انجام دستوراتی خاص بر روی وب سرورها به شما بدهند.

پیکربندی نادرست سیستم عامل ها و شبکه‌ها:

برخی پیکربندی‌ها مثل اجازه به کاربران خاص به اجرای برخی دستورات بر روی سرور ممکن است دردسر ساز باشد.

باگ‌ها در سیستم عامل و امنیت وب سرورها:

باگ‌ها به مرور در سیستم عامل‌ها و نرم افزارهای سرور کشف می‌شوند و سپس این باگ‌ها گزارش شده و توسط توسعه‌دهندگان رفع می‌گردند. قبل از رفع باگ‌ها ممکن است توسط هکرها کشف شوند و مورد بکارگیری و سواستفاده قرار گیرند.

نقص پالیسی‌های امنیتی:

رویه‌های بروزرسانی نرم‌افزارهای آنتی‌ویروس و پچ سیستم عامل یا نرم‌افزار وب سرور می‌تواند موجب بکارگیری و نفوذ شود.

تا اینجا آسیب‌پذیری‌های رایج و امنیت وب سرورها را یاد گرفتیم، حال برای نفوذ به وب سرورها باید با انواع آن‌ها آشنا شویم.

انواع وب سرورها

 ۱- آپاچی (Apache)

رایج‌ترین وب سرور موجود بر روی اینترنت آپاچی است. بستر اصلی وب ‌سرور آپاچی در پلتفرم لینوکس است اما امکان نصب این وب‌ سرور روی پلتفرم ویندوز نیز وجود دارد. وب ‌سرور آپاچی ویژگی‌های زیادی دارد که یکی از مهم‌ترین آن‌ها متن‌باز بودن این وب ‌سرور است. بیشتر وب سایت‌هایی که با پی اچ پی کار می‌کنند از این نوع وب سرور استفاده می‌کنند. آپاچی چیزی بیشتر از ۲۰ سال قدمت دارد و در حال حاضر بیشتر از ۱۰۰ میلیون وب ‌سایت از این وب‌ سرور خدمت می‌گیرند.

۲- (IIS (Internet Infromation Services

این نوع وب سرور توسط مایکروسافت توسعه یافته و بر روی ویندوز ارایه می‌شود و دومین وب سرور رایج موجود در اینترنت است. وب ‌سرور IIS سازگاری خوبی با زبان‌های برنامه‌نویسی ASP.net و Net. دارد و با زبان PHP نیز سازگار است. محدود کردن مصرف پردازنده برای هر برنامه، ماژول‌های متنوع و پشتیبانی از پروتکل WebSocket را می‌توان از دیگر ویژگی‌های IIS نام برد.

۳- آپاچی تامکت (Apache Tomcat)

در حال حاضر فقط کمتر از ۱% از تمام وب سایت‌ها را پشتیبانی می‌کند. “Apache Tomcat” که تحت نسخه دوم مجوز Apache منتشر شده معمولأ برنامه‌های کاربردی جاوا را اجرا می‌کند. اما می‌توان آن را به Coyote توسعه داد به گونه‌ای که بتواند نقش یک وب سرور نرمال که فایل‌های محلی را بصورت اسناد HTTP ارائه می‌دهد را نیز ایفا کند.

  • دیگر وب سرورها شامل ناول، لایت اسپید، IBM و… هستند.

با انواع وب سرورها آشنا شدیم. چه حملات احتمالی بر روی این وب سرورها ممکن است صورت پذیرد؟

انواع حملات بر روی وب سرور

۱- حملات پیمایش پوشه (Directory traversal attacks)

این نوع از حملات باگ‌های موجود در وب سرور را به کار گرفته تا دسترسی غیرمجاز به فایل‌ها و پوشه‌هایی که در مسیر عمومی قرار ندارند را بکار بگیرند. زمانی که هکر دسترسی را بدست آورد می‌تواند اطلاعات حیاتی را دریافت کرده و دستورات دلخواه خود را بر روی وب سرور اجرا کند یا بدافزار نصب کند.

۲- حملات رد سرویس (Denial of Service Attacks)

با استفاده از این نوع حمله، سرور ممکن است از سرویس‌دهی خارج شود و سرویس‌دهی صورت نپذیرد.

۳- سرقت سیستم نام دامنه (Domain Name System Hijacking)

با استفاده از این نوع حمله اطلاعات دی آن اس به نقطه‌ای که هکر می‌خواهد تغییر یافته، در نتیجه همه ترافیکی که بایستی به سرور اصلی هدایت شود به سرور هکر هدایت می‌شود.

۴- شنود (Sniffing)

داده‌های رمزنگاری نشده بر روی شبکه ممکن است به منظور دسترسی بدون مجوز بکار گرفته شوند و شنود شوند.

۵- فیشینگ (Phishing)

این نوع حمله با ایجاد یک صفحه جعلی و هدایت کاربران به صفحه جعلی به منظور سرقت اطلاعات انجام می‌شود.

۶- دیفیس (Defacement)

این نوع حمله معمولاً توسط هکرهای خرده پا صورت می‌گیرد. حملات دیفیس با استفاده از یکی از متدهای تزریق اسکیو ال یا دیگر متدهای حمله به منظور قرار دادن امضای هکر بر روی یکی از صفحات سایت به دلایل شخصی، مذهبی و اعتقادی و یا حتی ضربه زدن به وجهه اجتماعی سایت هدف صورت می‌پذیرد.

مهم‌تر از بروزرسانی اپلیکیشن سایت، اپلیکیشن‌های وب‌اند، که چه یک سیستم مدیریت محتوای وب متن باز مثل جوملا، وردپرس، دروپال و … باشد و چه یک اپلیکیشن اختصاصی، نیاز به بروزرسانی و نصب جدیدترین پچ‌های امنیتی هستند. در صورتی که به هر دلیلی اپلیکیشن بروزرسانی نشود سایت شما با خطر نفوذ مواجه می‌شود. هر روزه باگ‌های امنیتی زیادی در اپلیکیشن‌های تحت وب کشف می‌شود و با وجود کشف باگ و ارایه پچ مشکل اصلی این است که اکثر سایت‌ها از بروزرسانی منظم سر باز زده و این امر در خانه را به روی آسیب‌ها باز می‌کند.

یک نکته‌ای که اغلب توسط مدیران سرورها و مدیران وب سایت‌ها نادیده گرفته می‌شود. نصب سرویس‌های غیرضروری موازی است با مدیریت، پیکربندی و پچ این سرویس‌ها. در نتیجه نصب سرویس‌های غیرضروری و فراوان، در نهایت مساوی با عدم رسیدگی به آن و بازکردن راههای نفوذ است. این مورد درباره اپلیکیشن‌ها و افزونه‌ها نیز صحت دارد. نصب پلاگین‌ها و اپلیکیشن‌های غیرضروری بر روی یک وب سایت، نیاز را برای بروزرسانی دائم آن‌ها ایجاد کرده که اغلب این موضوع به دلیل کمبود وقت و عدم هزینه متولیان سایت‌ها نادیده گرفته می‌شود.

در پایان پیشنهاد می‌کنیم اگر شما هم دانش خوبی در زمینه وب ‌سرورها دارید و تجربه مفیدی از کار با وب‌ سرور دارید در قسمت نظرات ما و سایر کاربران را در جریان این تجربه‌ها قرار دهید.

 

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

فرم درخواست مشاوره

میتوانید جهت دریافت مشاوره سریع با شماره زیر تماس حاصل فرمایید.

همراه: 09124854602

 

جهت درخواست مشاوره و تماس متخصص های ما با شما فرم زیر را کامل نمایید.

فرم درخواست مشاروه