معرفي مطالب جالب با لينك منبع

نكات امنيتي اينترنت احتمالا شما هم تحت عنوان يك رئيس تارنما , با خويش تامل نموده ايد كه داده ها وبسايت معمولي شما بها ربودن و هك نمودن را ندارد , ولي بايستي دقت داشته باشيد كه همه وبسايت ها همواره در معرض تهاجم ها هكرها قرار دارا هستند .
طراحي سايت در مشهد
مغاير تصور عموم , انگيزه عمده رخنه هاي امنيتي صورتگرفته خير سرقت داده ها شما و يا اين كه از دسترس بيرون نمودن تارنما بلكه سوء استفاده از اينترنت سرور در جهت منافع هكر ها است . در بعضي از مورد ها هكر ها كارايي دارا‌هستند با استفاده از اينترنت سرور شما يك سيستم Email Relay فعال‌سازي كرده و مبادرت به ارسال پست الكرونيكي هاي انبوه تبليغاتي كنند و در بعضا ديگر از مواقع هم از سرور شما تحت عنوان يك منبع پوشه سرور براي لود فولدر هاي كثيف و غير رسمي خويش استفاده مي نمايند .
چنين هك هايي معمولا به طور خودكار و بوسيله اسكريپت هاي از پيشين مهيا شده اي انجام ميگردند . اسكريپت هاي مذكور كليه وب را براي يافتن وب سايت هايي با حفره هاي امنيتي تعريف شده , كاوش كرده تا انگيزه آخري خويش را پيدا نمايند .
در‌اين اينجا به شرح بعضا نكات حساس كه در تيم پرتوبيتا براي محافظت امنيت داده ها و وبسايت هاي مشتريان خويش مورد علاقه قرار داده است ميپردازيم .
امنيت سرور
تمام موردها امنيتي حتمي را براي مراقبت از سرورها و همينطور سايت شما انجام رعايت ميگردد , بعضا از اين مورد ها عبارتند از :
اخذ ورژن پشتوانه سرور به طور زمان اي . استفاده از فايروال هاي توانمند و مسدود كردن همگي پورت هاي غير لازم سرور . استفاده از سرور جداازهم براي حفظ ديتابيس ها تا در صورت هك شدن سرور اساسي داده ها زخم نبيند . ايمن مقابل SQL Injection
حمله ها SQL Injection وقتي فيس مي دهند كه اشخاص هكر از پارامترهاي URL با فرم زير اينترنت براي دسترسي به ديتابيس شما استفاده نمايند . هنگامي كه از قالب استاندارد Transact SQL استعمال شود , اضافه كردن كدهاي مخرب و دزد دربين كدها به آساني به وسيله هكرها قابليت پذير خواهد بود .

سئو در مشهد
اين اشخاص با اضافه كردن چنين كدهايي مي‌توانند جداول شمارا تغيير تحول دهند , داده ها ديتابيس شمارا اخذ نمايند و يا اين كه بعضي داده ها داراي اهميت شمارا حذف كنند . البته مي توان از پيدايش چنين اتفاقاتي با استفاده از كوئري هاي پارامتردار جلوگيري كرد . در گويش هاي برنامه نوسي اي كه بوسيله كارشناسان تيم پرتوبيتا مورد استفاده قرار ميگيرد از اين قابليت و امكان پشتيباني نموده و بانك هاي اطلاعاتي شما ايمن خواهند بود .
استفاده از SSL
SSL يك پروتكل امنيتي براي امن سازي فضاي انتقال داده ها در وب مي‌باشد . بدين ترتيب استفاده از اين پروتكل در مواردي كه نياز به انتقال داده ها فردي و خصوصي يوزرها بين تارنما و اينترنت سرور يا اين كه ديتابيس موجود است , قادر است موجب ارتقا امنيت انتقال اطلاعات گردد . اهميت استفاده از SSL از آنجاست كه اكثري از هكرها داده ها انتقال يافته بين سرور و وبسايت ها را رديابي ( Sniff ) مي نمايند و درصورتي كه محيط اين انتقال از امنيت كافي برخوردار نباشند , آن‌ها مي‌توانند به راحتي داده ها كاربري و فردي هر يك از يوزرها را به سرقت ببرند .
اس اس ال سازه به درخواست شما در پباده سازي و پياده سازي تارنما شما از اين پروتكل رمز گذاري اطلاعات استفاده خواهد شد تا امنيت داده ها يوزرها شما مراقبت شود .
ايمن مقابل XSS
عمليات Cross site scripting به هنگامي گفته ميگردد كه شخص هجوم كننده عملكرد نمايد تا با بيش تر نمودن كدهاي اسكريپت JavaScript به فرم اينترنت , كدهاي مخرب خويش را براي بازديدكنندهاي سايت شما اجرا كند . در مجموعه پرتوبيتا هنگام پباده سازي و ساخت سايت هاي مشتريان , داده ها پيش از ارسال كد گذاري ميشود تا چنين عملي ممكن نباشد .
اعتبار سنجي سمت سرور و اعتبار سنجي فرم ها ( Server side/Form Validation )
عمليات اعتبار سنجي در سايت ها مدام مي بايست در هردو سمت مرورگر و سرور صورت بپذيرد . مرورگر مي تواند تا بعضي از خطاها معمولي و متداول مثل عدم وارد كردن داده ها در فيلدهاي واجب يا اين كه وارد كردن نوشته در فيلد شماره گوشي تلفن را شناسايي و به استفاده كننده اعلام كند .
اما چنين اعتبارسنجي هايي شايد كنار نهاده شوند . ما در اينجا تمام مواقعي از اين دست را به وسيله مرورگر اعتبار سنجي كرده و تاييد اعتبار موردها پيچيده خيس نظير جلوگيري عمليات به دليل وجود كدهاي مخرب , داخل شدن اسكريپت هاي مازاد به ديتابيس يا اين كه وجود احتمال پيدايش نتايج غير مناسب در برنامه را بر عهده سرور قرار ميدهيم .
استفاده از قابل انعطاف افزارها و تكنولوژي هاي جديد!
اين مسئله شايد به عينه براي همگان صريح باشد , ولي تاكيد آن هم خالي از لطف نيست به اين دليل‌كه آپديت محافظت همه قابل انعطاف افزارهاي مورد استفاده براي نگهداري امنيت تارنما به طور كامل با اهميت است . اين مورد نيز براي سيستم ادله سرور صاحبخانه و نيز براي قابل انعطاف افزارهاي مورد استفاده در وبسايت مثل CMS ها يا اين كه Forum ها راستگو است . وقتي كه حفره هاي امنيتي اگرچه كوچك در يك اپليكيشن پديد آيند , هكر ها تخت گاز با سوء استفاده از آن‌ها به سرور يا اين كه وب سايت شما رخنه مي نمايند . لذا همگي آفريننده هاي اپليكيشن در عالم همت مي نمايند تا حفره هاي امنيتي جانور در توليدات خويش را با ارايه بسته هاي پيدايش رساني به يوزرها برطرف سازند و به مرور زمان اپليكيشن خويش را عليه نفوذهاي امنيتي مقاوم خيس نمايند .
در استفاده از سرويس ها مجموعه پرتوبيتا مي‌توانيد اين اطمينان را داشته باشيد كه كليه قابل انعطاف افزارهاي مورد استفاده در ساخت وبسايت شما و مراقبت سرورهاي كمپاني از جديدترين و ايمن ترين توليد ها روز جهان استفاده مي‌شود .
رمز گذاري توسعه يافته در گذرواژه ها
نسبتاً تمامي مي‌دانند كه بايستي از پسوردهاي پيچيده استفاده نمايند ولي متاسفانه اطلاع آنها از اين قضيه به‌اين معني نيست كه در كار هم مدام آن را رعايت مي نمايند . تعيين سر هاي عبور پيچيده و طولاني براي بخش هاي مديريتي سرور و تارنما , امري به طور كامل حساس است . البته همينطور بايستي با تمرين يوزرها معمولي براي تعيين پسوردهاي مطلوب هم به مراقبت امنيت حساب هاي كاربري آن‌ها امداد نمود .
احتمال دارد يوزرها معمولي شما از اعمال چنين قانون ها مشقت بار گيرانه اي چندان خشنود نشوند البته اعمال شرايطي مثل الزام به تعيين پسوردهايي با دست‌كم هشت كاراكتر و ساخته شده از حروف بزرگ و كوچك انگليسي , اعداد و علامت ها قادر است ياري بسزايي در ارتقاء ضريب امنيتي حساب هاي يوزرها كند .

در پباده سازي و پياده سازي وبسايت ها بوسيله مجموعه پرتوبيتا پسوردهاي گزينش شده براي كليه حساب ها با مقادير رمزنگاري شده در مقر هاي داده مراقبت شوند .
مثلا پسوردها با الگوريتم hashing مثل SHA ذخيره ميشوند . با استفاده از اين الگوريتم , در هر توشه كه استفاده كننده پسورد خويش را براي ورود به سيستم وارد مي نمايد , در واقع صرفا مقادير كدشده بين استفاده كننده و سرور جابجا مي گردند و رديابي آن‌ها به آساني قابليت پذير نخواهد بود .
همينطور براي امنيت بيشتر سيستم احراز نام و نشان از طريق Salt نمودن پسوردها استفاده مي‌شود . روش Salt در هنگام ذخيره پسورد در مقر داده , اندازه حرفه اي تصادفي را به آن طولاني تر خواهد كرد و در واقع سر عبور استفاده كننده را با كاراكترهاي ديگر مخلوط كرده و بعد آن را ذخيره مي نمايد . با استفاده از الگوريتم رمزنگاري SHA و همينطور روش Salt به طور تركيبي , از امنيت در ذخيره پسوردها اطمينان حاصل مي‌نماييم . با اين روش , حتي‌در در صورتي هكرها به ديتابيس شما SQL Injection هم كنند , بازهم توانا به دستيابي به رمزهاي عبور نيستند . همينطور براي حدس زدن و يافتن چنين پسوردهاي حفاظت شده اي از روش تهاجم ها Bruteforce هم هكرها به زمان فراوان مضاعف و امكانات فراوان گران قيمتي نيازمندند .
استفاده از ابزارهاي امنيتي
وقتي كه تصور ميگردد همه استراتژي هاي حتمي و قابليت پذير را براي مراقبت امنيت وبسايت به عمل بسته شده‌است , بعد از آن زمان آن فرا مي‌رسد تا امنيت تارنما يا اين كه سرور را آزمون كنيم . موثرترين روش انجام اينكار استفاده از ابزارهاي امنيتي است كه معمولا با اسم امتحان نفود ( Penetration Test ) شناخته مي گردند .
در تيم پرتوبيتا در توليدات قدرتمندي دراين باره استفاده ميشود . اين ابزارها مشابه به اسكريپت هاي درج شده به وسيله هكر ها كار مي كنند و همه احتمال ها و ضعف هاي امنيتي تارنما يا اين كه سرور را مي سنجند تا در غايت با يك كدام از متدهايي كه پيش از اين توضيح داده شد , نظير SQL Injection به آن نفود كنند .
بعضا از توليد ها كه براي اين مراد مورد استفاده قرار ميگيرند :
Netsparker : مطلوب براي آزمون كردن روش هاي يورش SQL Injection و XSS OpenVAS : اين اپليكيشن تحت عنوان يكي‌از توسعه يافته ترين ابزارهاي اسكنر امنيتي نوشته گشوده شناخته مي گردد . اين ابزار دلخواه براي كپي بيش تر از 25000 جور از زخم پذيري هاي احتمالا . متخصصان پرتوبيتا يك قدم به بالاتر برداشته و به طور دستي نسبت به نفود به ديوار امنيتي خويش با استفاده از تغيير تحول مقادير Post و Get مي‌كنند تا از امنيت بي نقص سرورها اطمينان حاصل نمايند . ابزارهاي Debugging غير مجاز مي باشد با آماده كردن قابليت جداسازي اين مقادير در يك درخواست HTTP كه بين مرورگر و سرور در حالا انتقال است , قابليت و امكان بررسي اين مورد را مي دهند . يكي اشكال چنين ابزارهاي محبوبي Fiddler اسم دارااست .

نكات امنيتي اينترنت احتمالا شما هم تحت عنوان يك رئيس تارنما , با خويش تامل نموده ايد كه داده ها وبسايت معمولي شما بها ربودن و هك نمودن را ندارد , ولي بايستي دقت داشته باشيد كه همه وبسايت ها همواره در معرض تهاجم ها هكرها قرار دارا هستند .
طراحي سايت در مشهد
مغاير تصور عموم , انگيزه عمده رخنه هاي امنيتي صورتگرفته خير سرقت داده ها شما و يا اين كه از دسترس بيرون نمودن تارنما بلكه سوء استفاده از اينترنت سرور در جهت منافع هكر ها است . در بعضي از مورد ها هكر ها كارايي دارا‌هستند با استفاده از اينترنت سرور شما يك سيستم Email Relay فعال‌سازي كرده و مبادرت به ارسال پست الكرونيكي هاي انبوه تبليغاتي كنند و در بعضا ديگر از مواقع هم از سرور شما تحت عنوان يك منبع پوشه سرور براي لود فولدر هاي كثيف و غير رسمي خويش استفاده مي نمايند .
چنين هك هايي معمولا به طور خودكار و بوسيله اسكريپت هاي از پيشين مهيا شده اي انجام ميگردند . اسكريپت هاي مذكور كليه وب را براي يافتن وب سايت هايي با حفره هاي امنيتي تعريف شده , كاوش كرده تا انگيزه آخري خويش را پيدا نمايند .
در‌اين اينجا به شرح بعضا نكات حساس كه در تيم پرتوبيتا براي محافظت امنيت داده ها و وبسايت هاي مشتريان خويش مورد علاقه قرار داده است ميپردازيم .
امنيت سرور
تمام موردها امنيتي حتمي را براي مراقبت از سرورها و همينطور سايت شما انجام رعايت ميگردد , بعضا از اين مورد ها عبارتند از :
اخذ ورژن پشتوانه سرور به طور زمان اي . استفاده از فايروال هاي توانمند و مسدود كردن همگي پورت هاي غير لازم سرور . استفاده از سرور جداازهم براي حفظ ديتابيس ها تا در صورت هك شدن سرور اساسي داده ها زخم نبيند . ايمن مقابل SQL Injection
حمله ها SQL Injection وقتي فيس مي دهند كه اشخاص هكر از پارامترهاي URL با فرم زير اينترنت براي دسترسي به ديتابيس شما استفاده نمايند . هنگامي كه از قالب استاندارد Transact SQL استعمال شود , اضافه كردن كدهاي مخرب و دزد دربين كدها به آساني به وسيله هكرها قابليت پذير خواهد بود .

سئو در مشهد
اين اشخاص با اضافه كردن چنين كدهايي مي‌توانند جداول شمارا تغيير تحول دهند , داده ها ديتابيس شمارا اخذ نمايند و يا اين كه بعضي داده ها داراي اهميت شمارا حذف كنند . البته مي توان از پيدايش چنين اتفاقاتي با استفاده از كوئري هاي پارامتردار جلوگيري كرد . در گويش هاي برنامه نوسي اي كه بوسيله كارشناسان تيم پرتوبيتا مورد استفاده قرار ميگيرد از اين قابليت و امكان پشتيباني نموده و بانك هاي اطلاعاتي شما ايمن خواهند بود .
استفاده از SSL
SSL يك پروتكل امنيتي براي امن سازي فضاي انتقال داده ها در وب مي‌باشد . بدين ترتيب استفاده از اين پروتكل در مواردي كه نياز به انتقال داده ها فردي و خصوصي يوزرها بين تارنما و اينترنت سرور يا اين كه ديتابيس موجود است , قادر است موجب ارتقا امنيت انتقال اطلاعات گردد . اهميت استفاده از SSL از آنجاست كه اكثري از هكرها داده ها انتقال يافته بين سرور و وبسايت ها را رديابي ( Sniff ) مي نمايند و درصورتي كه محيط اين انتقال از امنيت كافي برخوردار نباشند , آن‌ها مي‌توانند به راحتي داده ها كاربري و فردي هر يك از يوزرها را به سرقت ببرند .
اس اس ال سازه به درخواست شما در پباده سازي و پياده سازي تارنما شما از اين پروتكل رمز گذاري اطلاعات استفاده خواهد شد تا امنيت داده ها يوزرها شما مراقبت شود .
ايمن مقابل XSS
عمليات Cross site scripting به هنگامي گفته ميگردد كه شخص هجوم كننده عملكرد نمايد تا با بيش تر نمودن كدهاي اسكريپت JavaScript به فرم اينترنت , كدهاي مخرب خويش را براي بازديدكنندهاي سايت شما اجرا كند . در مجموعه پرتوبيتا هنگام پباده سازي و ساخت سايت هاي مشتريان , داده ها پيش از ارسال كد گذاري ميشود تا چنين عملي ممكن نباشد .
اعتبار سنجي سمت سرور و اعتبار سنجي فرم ها ( Server side/Form Validation )
عمليات اعتبار سنجي در سايت ها مدام مي بايست در هردو سمت مرورگر و سرور صورت بپذيرد . مرورگر مي تواند تا بعضي از خطاها معمولي و متداول مثل عدم وارد كردن داده ها در فيلدهاي واجب يا اين كه وارد كردن نوشته در فيلد شماره گوشي تلفن را شناسايي و به استفاده كننده اعلام كند .
اما چنين اعتبارسنجي هايي شايد كنار نهاده شوند . ما در اينجا تمام مواقعي از اين دست را به وسيله مرورگر اعتبار سنجي كرده و تاييد اعتبار موردها پيچيده خيس نظير جلوگيري عمليات به دليل وجود كدهاي مخرب , داخل شدن اسكريپت هاي مازاد به ديتابيس يا اين كه وجود احتمال پيدايش نتايج غير مناسب در برنامه را بر عهده سرور قرار ميدهيم .
استفاده از قابل انعطاف افزارها و تكنولوژي هاي جديد!
اين مسئله شايد به عينه براي همگان صريح باشد , ولي تاكيد آن هم خالي از لطف نيست به اين دليل‌كه آپديت محافظت همه قابل انعطاف افزارهاي مورد استفاده براي نگهداري امنيت تارنما به طور كامل با اهميت است . اين مورد نيز براي سيستم ادله سرور صاحبخانه و نيز براي قابل انعطاف افزارهاي مورد استفاده در وبسايت مثل CMS ها يا اين كه Forum ها راستگو است . وقتي كه حفره هاي امنيتي اگرچه كوچك در يك اپليكيشن پديد آيند , هكر ها تخت گاز با سوء استفاده از آن‌ها به سرور يا اين كه وب سايت شما رخنه مي نمايند . لذا همگي آفريننده هاي اپليكيشن در عالم همت مي نمايند تا حفره هاي امنيتي جانور در توليدات خويش را با ارايه بسته هاي پيدايش رساني به يوزرها برطرف سازند و به مرور زمان اپليكيشن خويش را عليه نفوذهاي امنيتي مقاوم خيس نمايند .
در استفاده از سرويس ها مجموعه پرتوبيتا مي‌توانيد اين اطمينان را داشته باشيد كه كليه قابل انعطاف افزارهاي مورد استفاده در ساخت وبسايت شما و مراقبت سرورهاي كمپاني از جديدترين و ايمن ترين توليد ها روز جهان استفاده مي‌شود .
رمز گذاري توسعه يافته در گذرواژه ها
نسبتاً تمامي مي‌دانند كه بايستي از پسوردهاي پيچيده استفاده نمايند ولي متاسفانه اطلاع آنها از اين قضيه به‌اين معني نيست كه در كار هم مدام آن را رعايت مي نمايند . تعيين سر هاي عبور پيچيده و طولاني براي بخش هاي مديريتي سرور و تارنما , امري به طور كامل حساس است . البته همينطور بايستي با تمرين يوزرها معمولي براي تعيين پسوردهاي مطلوب هم به مراقبت امنيت حساب هاي كاربري آن‌ها امداد نمود .
احتمال دارد يوزرها معمولي شما از اعمال چنين قانون ها مشقت بار گيرانه اي چندان خشنود نشوند البته اعمال شرايطي مثل الزام به تعيين پسوردهايي با دست‌كم هشت كاراكتر و ساخته شده از حروف بزرگ و كوچك انگليسي , اعداد و علامت ها قادر است ياري بسزايي در ارتقاء ضريب امنيتي حساب هاي يوزرها كند .

در پباده سازي و پياده سازي وبسايت ها بوسيله مجموعه پرتوبيتا پسوردهاي گزينش شده براي كليه حساب ها با مقادير رمزنگاري شده در مقر هاي داده مراقبت شوند .
مثلا پسوردها با الگوريتم hashing مثل SHA ذخيره ميشوند . با استفاده از اين الگوريتم , در هر توشه كه استفاده كننده پسورد خويش را براي ورود به سيستم وارد مي نمايد , در واقع صرفا مقادير كدشده بين استفاده كننده و سرور جابجا مي گردند و رديابي آن‌ها به آساني قابليت پذير نخواهد بود .
همينطور براي امنيت بيشتر سيستم احراز نام و نشان از طريق Salt نمودن پسوردها استفاده مي‌شود . روش Salt در هنگام ذخيره پسورد در مقر داده , اندازه حرفه اي تصادفي را به آن طولاني تر خواهد كرد و در واقع سر عبور استفاده كننده را با كاراكترهاي ديگر مخلوط كرده و بعد آن را ذخيره مي نمايد . با استفاده از الگوريتم رمزنگاري SHA و همينطور روش Salt به طور تركيبي , از امنيت در ذخيره پسوردها اطمينان حاصل مي‌نماييم . با اين روش , حتي‌در در صورتي هكرها به ديتابيس شما SQL Injection هم كنند , بازهم توانا به دستيابي به رمزهاي عبور نيستند . همينطور براي حدس زدن و يافتن چنين پسوردهاي حفاظت شده اي از روش تهاجم ها Bruteforce هم هكرها به زمان فراوان مضاعف و امكانات فراوان گران قيمتي نيازمندند .
استفاده از ابزارهاي امنيتي
وقتي كه تصور ميگردد همه استراتژي هاي حتمي و قابليت پذير را براي مراقبت امنيت وبسايت به عمل بسته شده‌است , بعد از آن زمان آن فرا مي‌رسد تا امنيت تارنما يا اين كه سرور را آزمون كنيم . موثرترين روش انجام اينكار استفاده از ابزارهاي امنيتي است كه معمولا با اسم امتحان نفود ( Penetration Test ) شناخته مي گردند .
در تيم پرتوبيتا در توليدات قدرتمندي دراين باره استفاده ميشود . اين ابزارها مشابه به اسكريپت هاي درج شده به وسيله هكر ها كار مي كنند و همه احتمال ها و ضعف هاي امنيتي تارنما يا اين كه سرور را مي سنجند تا در غايت با يك كدام از متدهايي كه پيش از اين توضيح داده شد , نظير SQL Injection به آن نفود كنند .
بعضا از توليد ها كه براي اين مراد مورد استفاده قرار ميگيرند :
Netsparker : مطلوب براي آزمون كردن روش هاي يورش SQL Injection و XSS OpenVAS : اين اپليكيشن تحت عنوان يكي‌از توسعه يافته ترين ابزارهاي اسكنر امنيتي نوشته گشوده شناخته مي گردد . اين ابزار دلخواه براي كپي بيش تر از 25000 جور از زخم پذيري هاي احتمالا . متخصصان پرتوبيتا يك قدم به بالاتر برداشته و به طور دستي نسبت به نفود به ديوار امنيتي خويش با استفاده از تغيير تحول مقادير Post و Get مي‌كنند تا از امنيت بي نقص سرورها اطمينان حاصل نمايند . ابزارهاي Debugging غير مجاز مي باشد با آماده كردن قابليت جداسازي اين مقادير در يك درخواست HTTP كه بين مرورگر و سرور در حالا انتقال است , قابليت و امكان بررسي اين مورد را مي دهند . يكي اشكال چنين ابزارهاي محبوبي Fiddler اسم دارااست .