۱۰ راهکار امنیتی برتر برای وب سایت
۱۰ راهکار امنیتی برتر برای وب سایت
امنیت وب سایت یک زمینه گسترده است، اما بسیاری از وب طراحی سایت دارای مسائل امنیتی مشترک هستند که صرف نظر از فن آوری های خاص استفاده شده یا عملکردهای مستقر شده، باید مورد توجه قرار گیرند. هر یک از این ۱۰ راهکار برتر ممکن است نیاز به بازبینی مجدد نسبت به شرایط، عملکرد و محیط پروژه های وب سایت خاص داشته باشند.
- اعتبار سنجی ورودی و خروجی
همه داده های استفاده شده توسط وب سایت (از کاربران، سرورهای دیگر، وب سایت های دیگرطراحی وب سایت و سیستم های داخلی) باید برای نوع ( به عنوان مثال عددی، تاریخ، رشته)، طول (به عنوان مثال حداکثر ۲۰۰ کاراکتر، و یا یک عدد صحیح مثبت) ، ترکیب نحوی (برای مثال کد محصول با ۲ حرف شروع و در ادامه ۵ رقم دارد) و قوانین کسب و کار (به عنوان مثال حداکثر ۲۰ سفارش در طول روز می توان ثبت کرد و یا سقف اعتباری نباید بیش از توان باشد) تایید شوند. همه داده های نوشته شده به عنوان خروجی (نمایش داده شده) باید برای قرار دادن در لینک های مرورگرها، سرویس گیرنده ایمیل یا نرم افزار های دیگر امن باشند و یکپارچگی و درستی هر داده ای که بازگشته باید چک شود.
- دسترسی به داده های مستقیم
اگر داده ها موجود باشند، می توان آنها را بطور بالقوه مشاهده و یا استخراج کرد. اجتناب از ذخیره سازی داده هایی که بر روی وب سایت و پایگاه داده های آن مورد نیاز شما نیست – برای مثال برخی از داده های مربوط به کارت های پرداخت تسهیلات هرگز نباید ذخیره شوند.
- مسمومیت داده
اگر کاربران بتوانند بصورت نامناسب اصلاح یا حذف اطلاعات کنند و این اطلاعات پس از آن برای به روز رسانی سیستم های داخلی استفاده شوند، اطلاعات کسب و کار از دست خواهند رفت. این موارد به سختی قابل شناسایی هستند، بنابراین مهم است که قوانین کسب و کار مورد بررسی قرار گیرند و برای اعتبار سنجی تغییرات داده برای اطمینان از این که مسمومیت داده اتفاق نیفتاده است اجرا شوند.
- از بین بردن فایل های مخرب
فایل های آپلود شده یا فید داده های دیگر ممکن است آنچه که به نظر می رسند نباشند. هرگز اجازه ندهید اطلاعات کاربری در نام فایل یا مسیر فایلی استفاده شود. فایل های آپلود شده ممکن است شامل بار مخرب باشند بنابراین نباید در مکان های در دسترس وب ذخیره شوند.
- احراز هویت و مدیریت
وب سایت ها بر شناسایی کاربران به منظور ارائه مجوزهای دسترسی به داده ها و توابع اتکا می کنند. اگر احراز هویت، مجوز و مدیریت ورود بتواند دور زده شده یا تغییر یابد، کاربر می تواند به منابعی که اجازه ندارد، دسترسی داشته باشد.
- معماری سیستم و تنظیمات
مدل معماری سیستم اطلاعات باید به حساسیت داده های مشخص شده در طول نیازها و الزامات و مشخصات فنی مرحله یک پروژه وب سایت بپردازد. این ممکن است مستلزم داشتن وب جداگانه، نرم افزار و کاربرد و سرورهای پایگاه داده یا خوشه بندی، موازنه بار یا مجازی سازی باشد.
- حملات فیشینگ
فیشینگ، زمانی که کاربران هدایت می شوند به باور برخی از نهادهای دیگر یا تعلق دارند به سازمان خود ( پیام های ایمیل و وب سایت ها بیشترین ترکیب مشترک)، بهترین راهکار از طریق آموزش کاربران است. اما روشی که وب سایت طراحی شده است، معماری و چگونگی ارتباط با کاربران می توانند خطر را کاهش دهند.
- حملات رد سرویس
کاربران مخرب ممکن است سعی کنند سرورهای وب را با تعداد زیادی از درخواست ها یا اقداماتی که عملکرد آن را کاهش می دهند، پر کنند (پر کردن log ها، آپلود فایل های بزرگ و …). حملات رد سرویس شامل قفل کردن حسابهای کاربری معتبر و یا مشکلات برنامه نویسی ایجاد شده نیز (به عنوان مثال نشت حافظه، منابع منتشر نشده) می باشند.
- سیستم نشت اطلاعات
سرویس دهنده های وب، خطاها، کارکنان، سازمان های همکار، موتورهای جستجو و زباله همه می توانند منبع اطلاعات مهم در مورد وب سایت شما باشند- آن فن آوری، منطق کسب و کار و روش های امنیتی می باشد. یک مهاجم می تواند از چنین اطلاعاتی به نفع خودش استفاده کند بنابراین مهم است که از سیستم نشت اطلاعات تا آنجا که امکان پذیر است، اجتناب شود.
- رفع خطا
استثنائات مانند پیام های اعتبار سنجی داده های کاربری، داده های از دست رفته و خطاهای سرور باید توسط کدها بکار گرفته شوند به طوریکه یک صفحه سفارشی که هیچ یک از اطلاعات سیستم به کاربر طراحی سایت ارائه نشده، نمایش داده می شود.
