نام نویسنده: رضا لالی
بخش مقاله ITiran – آنچه امروزه براى بسيارى از کاربران وب يک معضل و براى بعضى ديگر يک تفريح و وسيله سرگرمى شده است استفاده از راه حل هاى مختلف رسوخ به سايتهاى اينترنتى و استفاده يا از بين بردن اطلاعات آن سايت هاست که غالبا اين امر در سايتهايى که اساس طراحى وپياده سازى آنها بر استفاده از بانکهاى اطلاعاتى است مصداق پيدا مى کند.
اگر چه در اکثر وب سايت هايى که در خارج از ايران بخصوص اروپا و امريکا طراحى مى گردد اين امر به حداقل خود رسيده است اما در کشور عزيزمان به علل زير امکان رسوخ به بسيارى از سايت ها حتى با روشهاى اوليه هک امکان پذير است :
1- عدم دانش کافى مناسب در سطح برنامه نويسان و طراحان وب
2- عدم توجه شرکت هاى مجرى به مقوله امنيت در سايت ها و سرمايه گزارى براى بدست آوردن دانش مناسب
3- عدم وجود مرکز يا صنف براى تاييد شرکت ها ى مجرى پروژه هاى اينترنتى
4- انجام پروژه هاى در ادارات و موسسات توسط نيروى پرسنلى غير حرفه اى
5- وجود طراحان و برنامه نويسان به صورت تک نفره و غير متخصص که با اعلان هزينه هاى کم براى انجام پروژه ها کارفرما ها را به سمت و سوى خود مى کشند.
6- عدم وجود منابع مناسب ( کتاب , سخت افزار و نرم افزار) براى انجام تست هاى امنيتى
7- و…
مار در اين سلسله مقالات سعى بر آن داريم تا با ارائه بعضى از مطالب و راه حل هاى جلوگيرى از رسوخ هکر ها کمکى هر چند کوچک به هر چه تخصصى تر شده علم طراحى و توليد يک سايت در کشور داشته باشيم .
راه حل شماره 1 : از نظر امنيت از چه بانک اطلاعاتى براى نگهدارى اطلاعات يک وب سايت اسفاده نماييم ؟
از آنجايى که روى صحبت ما بيشتر با برنامه نويسان سرور هاى ويندوز است و بانکهاى اطلاعاتى حاضر MS ACCESS و MS SQL مى باشد ما به مقايسه اين دو بانک مى پردازيم و نقاط قوت و ضعف هر کدام را بررسى مى کنيم :
الف : بانک ACCESS
اگر شما وب سايتى با بانک اطلاعاتى اکسس داريد مراقب موارد زير باشيد :
1- حتما براى بانک خود از Username وPassword استفاده کنيد و در کد نويسى اين نام کاربرى و کلمه عبور را خودتان چک کنيد. چرا؟ اگر من مسير بانک اطلاعاتى شما را در اينترنت داشته باشم به اندازه زمان خوردن يک ليوان آب آن را Download مى کنم و به کليه اطلاعات سايت دسترسى دارم.
ممکن است بگوييد خوب اطلاعات به چه درد من مى خورد ؟ سئوال خوبى است . همانطور که مى دانيد همه وب سايت هاى با بانک اطلاعاتى داراى بانک هايى هسند که اطلاعات مهمى مانند اطلاعات اعضاء , کلمات عبور و … در آنها وجود دارد و اينها براى فردى که مى خواهد اطلاعات شما را در وب سايت خراب کند بيسار جالب است.
2- اطلاعات مهم را در بانک اطلاعاتى به صورت کد زخيره کنيد و در هنگام خواندن آن را دى کد کنيد . چرا ؟ اگر من بتوانم از لايه 1 عبور کنم قطعا ازطلاعات شما درخطر خواهد بود .ولى اگر با اطلاعات کد شده مواجه شوم قطعا زمان بيشترى براى دى کد آنها نياز خواهم داشت.
نکته : سعى کنيد از متد هاى کد و دى کدى که در اينترنت وجود دارد استفاده نکنيد يا حد اقل آن را تغيير دهيد چون هکر تمام آنها را دراختيآر دارد و اولين چيزى که چک مى کند اين روشهاست.
3- هميشه سعى کنيد فايل هاى MDB خود را در پوشه DB يا Data يا کلا پوشه اى که در Host شما براى اين امر اختصاص يآفته قرار دهيد . اگر Host شما اين امکان را ندارد آن را کنار بگذارد زيرا بعدا براى خود شما معضل خواهد شد .چرا؟ به يآد دارم يکى از دوستان نرم افزارى نوشته بود که آدرس يک سايت را مى گرفت و کليه پوشه هاى آن را به دنبال فايلهاى با پسوند MDB جستجو مى کرد و مسير آنها را نمايش مى داد.شما با داشتن مسير ها خيلى راحت به بانک هاى اطلاعاتى اکسس را که در پوشه هاى يک سايت بود دسترسى داشتيد. حسن دايرکتورى هايى که براى قرادادن بانک اطلاعاتى هستند اين است که در ليست فايلها و فودرهاى سايت شما قرار نگيرند تا مورد تهاجم اينچنين نر افزارهايى قرار گيرند.
