امنیت در وب

امنیت در دنیای واقعی ما امری اجتناب ناپذیر است و همگی‌مان به نوعی سعی داریم تا امنیت را در محیط پیرامونمان ایجاد كنیم. همانطور كه شما برای ساختمان خود چندین كلید تعبیه می كنید، از ابزارهای امنیتی برای كنترل ورود و خروج استفاده می كنید و حتی در سطح ابتدایی از حدود افراد ناشناس به حیطه ی منزل خود جلوگیری می‌كنید، نشان می دهد كه شما به امنیت محیط زندگی خود اهمیت می دهید. در دنیای واقعی تضمین امنیت امری مهم، مشكل و سخت می باشد. همچنین هزینه ی بالای این ضمانت نیز قابل توجه است. برای مثال بسیاری از پروژه ها با هزینه ای معلوم ساخته می شود ولی برای اخذ مدرك و جهانی شدن باید هزینه ای معادل چند ده برابر هزینه ی ساخت پروژه خرج شود تا صحت و امنیت سیستم مورد تأیید قرار گیرد. در دنیای پیچیده ی مجازی اینترنت امنیت نمودی دیگر دارد، این تفاوت می تواند بیان كننده ی پیچیدگی خاص این سطح از امنیت دارد. برای مثال اگر شما سایتی در اینترنت به صورت فعال داشته باشید و هزینه ی زیادی برای طراحی و پیاده سازی برنامه ی كاربردی خود خرج كرده باشید، بسیار متعجب خواهید شد اگر ببینید كه سایت شما مورد حمله قرار گرفته و تقریباً تخریب شده است. این حمله بسیار سخت و غیر قابل درك است. این امر در مورد سایت های تجاری و یا بانك های اعتباری الكترونیكی بسیار خطرناك است. چرا كه با حمله‌ای به این سیستم احتمال خاش شدن اطلاعات حساب هزاران نقد وجود دارد. پس این سطح از امنیت بسیار مهم و حیاتی می نماید و اگر شما نتوانید تصویر قابل قبول و مطمئنی از سایت خود ایجاد كنید آنگاه یا تمامی مشتریان خود را از دست خواهید داد و تجارت الكترونیك شما نابودی شود یا اینكه اطلاعات مشتریان فاش شده تبعات قانونی این اقدام، اعم از شكایات مشتریان دامن شما و شركت شما را می‌گیرد. به همین علت ایجاد یك ساختار ایمن سخت افزاری و نرم افزاری و فیزیكی تجهیزات شما یكی از واجبات ساخت یك برنامه‌ی كاربردی موثر در سطح شبكه است. این پروژه كه در پیش روی دارید شما را با انواع تهاجمات و حملات به سایت های مختلف و طرق نفوذ به برنامه‌های كاربردی آشنا می كند. به صورت خلاصه با انواع ابزارهای خاص حمله اعم از ویروس ها، كرم ها، برنامه های ولگرد، تكنیك اسب تروا آشنا می كند. در ادامه به بررسی چگونگی حملات معروف در طول تاریخ شبكه می پردازیم، دزدان كارتهای اعتباری را از حیث عملكرد با بقیه ی هكرها مقایسه می كنیم و تكنیك های جلوگیری از هك شدن را آموزش می دهیم.

فهرست مطالب:

فصل اول :نگاهی به هكرها و شیوه عملكردشان

مقدمه ...........................................................................................................

هكر به چه معناست ....................................................................................

اهداف هكر ..................................................................................................

روشهای نفوذ هكرها ..................................................................................

اصول ابتدایی برای گریز از كرك شدن .....................................................

استفاده از FAKE PAGE ها ..................................................................

مهندسی اجتماعی چیست؟............................................................................

ترو جان ها .................................................................................................

تكنیكهای انتخاب كلمه عبور ........................................................................

استاندارد 17799ISO................................................................................

فیشینگ Phishing چیست؟.........................................................................

مشخصات مشترك بین فیشینگ و ایمیل .....................................................

قوانین مواجهه با عملیات فیشینگ ...............................................................

روشهای معمول حمله به كامپیوترها ..........................................................

برنامه های اسب تراوا ................................................................................

اسكریتیهای Cross-site ............................................................................

ایمیلهای جعلی .............................................................................................

پسوردهای مخفی فایل ................................................................................

حملات Pharming چیست؟........................................................................

بررسی زینای واقعی ...................................................................................

دیواره آتش Fire walls ............................................................................

فصل دوم : به كارگیری اصول امنیت

مقدمه ...........................................................................................................

امنیت به عنوان یك زیربنا ..........................................................................

امنیت فراتر از یك كلمه رمز ......................................................................

اول خطرات سطح بالا و مهمتر را برطرف نمایید. ......................................

امنیت به عنوان یك محدودیت ....................................................................

تهاجم DDOS چیست؟...............................................................................

تهاجمات مصرف منبع ................................................................................

كالبد شكافی یك تهاجم سیل SYN............................................................

كالبد شكافی یك تهاجم DDOS ................................................................

ابزارهای مهاجمین برای انجام خدمات DDOS ........................................

روشهای اساسی حفاظت ............................................................................

فیلترسازی ورودی و خروجی ....................................................................

محكم كردن پپكربندیهای دیوار آتش ..........................................................

اجرای یك مرور كننده (Scanner) آسیب پذیری .....................................

مقایسه قابلیت های امنیت سرور وب ..........................................................

تصدیق (Authentication) .......................................................................

كلمات عبور .................................................................................................

گواهی نامه ها و امضاهای دیجیتالی ..........................................................

به كارگیری برنامه های كاربردی CGI .....................................................

IIS...............................................................................................................

پورت ها، سرویس ها و اجزاء بلا استفاده را غیر فعال كنید.

اسكریپت ها و فایل های غیر لازم را پاك كنید ...........................................

هك كردن كلمه عبور و ابزار تجزیه و تحلیل...................................................

فصل سوم: متدولوژی هك كردن

- مقدمه ...................................................................................................

درك سطوح و شرایط.................................................................................

- خلاصه ی تاریخچه ی هك كردن.........................................................

1- سیستم هك كردن تلفن.........................................................................

2- سیستم هك كردن كامپیوتر.........................................................................................

- عوامل تحریك هكرها چیست؟...............................................................

1- عوامل غیر اخلاقی محرك هكرهای بداندیش........................................

2- كاركردن با حرفه ای ها عرصه ی امنیت داده ها...........................................

3- كم كردن مشكلاتی با به خدمت گرفتن سیستم امنیتی...................................

- شناخت انواع حملات در سیستم های موجود.......................................

- Dos/ DDos.....................................................................................................................

- ویروسهای هك كننده.....................................................................................................

- اسب تروآ.............................................................................................................................

- كرمها......................................................................................................................................

- برنامه های ولگرد............................................................................................................

- دزدی كردن........................................................................................................................

1- دزدان كارتهای اعتباری.......................................................................

2- دزدان موجودیها (هویت).............................................................................................

3- در خلال و راه زنان اطلاعات.....................................................................................

- درك شیوه ی سیستم پیشگیری كننده امنیتی برنامه های كاربردی و تهدیدات آن

1- اخلالهای پنهان......................................................................................

2- پارامترهای جعلی و پنهان.....................................................................

3- برش ابتدایی..........................................................................................

4- پر شدن و سرریز بافر.........................................................................

5- شیرینی زهرآلود...................................................................................

- جلوگیری از هك شدن با روش فكر كردن مثل یك هك كننده................

فصل چهارم : چگونه از تبدیل شدن به یك برنامه نویس سطح پایین جلوگیری كنیم.

مقدمه ..........................................................................................................

برنامه نویسان ایجاد كننده‌ی كدهای بی ارزش كیستند؟.............................

از قانون تبعیت كنیم. ...................................................................................

وقتی برنامه نویسی می كنیم خلاقیت داشته باشیم .....................................

اجازه‌ی فكر كردن به خود بدهید.................................................................

برنامه های ماژولار درست تر كار می كند. ...............................................

ساخت كد در فضای تهی ............................................................................

ساخت برنامه های معین و قابل اجرا و ایجاد امنیت داده ها .....................

در آخر بدانید برنامه ی كه من قابل اجراست! ...........................................

بجنبید و برنامه هایتان را امن و قابل اجرا كنید.........................................

فصل پنجم درك رابطه خطرها با mibile code

مقدمه..........................................................................................................

تشخیص ضربه حملات Mobile code......................................................

ماكروها و اسكریپتهای خرابكار.................................................................

زبانهای ماكرو (VBA)..............................................................................

مشكلات امنیتی با VBA............................................................................

ویروس melisa.........................................................................................

حملات در برابر ویروسهای WBA...........................................................

Javascript...............................................................................................

امنیت در Javascript................................................................................

جاوااسكریپت و مشكلتی كه پدید می آورند................................................

مشكلات امنیتی............................................................................................

حملات web-bused Email......................................................................

بازنگری مهندسی اجتماعی (Social engineering).................................

پایین آوردن خطرات امنیتی Javascript...................................................

VBscrpt...................................................................................................

امنیت در VBscrpt...................................................................................................................

مشكلات امنیت در VBscrpt.........................................................................

پیشگیریهای امنیتی VBscrpt....................................................................

برنامه های كاربری جاوا............................................................................

مشكلات امنیتی در java.............................................................................

نگاهی به كنترلهای Activex......................................................................

مشكلات امنیتی با Activex.......................................................................

اشتباه در انتقال و جایگزینی كاراكترها......................................................

غیرفعال كردن كنترلهای Activex............................................................

متعلقات ایمیل..............................................................................................

برنامه های امنیتی.......................................................................................

كشف كنننده های حفره ها..........................................................................

نرم افزار فایروار........................................................................................

فصل ششم ایمن كردن كدهای جاوا

مقدمه..........................................................................................................

جلوگیری از مشكلات ناشی از جاوا ، جاوا اسكریپت و Active x............

برنامه نویسی اسكریپ های ایمن...............................................................

سیاست امنیت چیست..................................................................................

ارزش در برابر ریسك...............................................................................

سیاست امنیت می بایست شامل چه عناصر باشد......................................

هجومهای دسترسی به فایل........................................................................

تهاجمات اطلاعات غلط................................................................................

هجوم های دسترسی به فایل / بانك اطلاعاتی ویژه...................................

منابع