11 روش هک وب سایت ها که هکرها انجام می دهند
Categoriesامنیت By

در این مقاله 11 روش هک وب سایت ها که هکرها انجام می دهند را توضیح داده ایم.

رایج ترین تکنیک های هک وب سایت در سال 2021:

برای اینکه از هک شدن وب سایتتان جلوگیری کنید باید یک سری تدابیر امنیتی اتخاذ کنید که به چند مورد از آنها ما اشاره میکنیم:

  1. استفاده از رمزنگاری SSL: اطمینام حاصل کنید که ssl روی وب سایت شما فعال است و اطلاعات شما رمزگذاری میشود.
  2. به‌روزرسانی نرم‌افزارها و افزونه‌ها: اگر از سیستم مدیریت محتوا استفاده میکنید حتما افزونه ها را آپدیت کنید.
  3. استفاده از رمزهای قوی و تغییر دوره‌ای آنها: رمزهای پیچیده و قوی برای ورود به سایت استفاده کنید و دوره‌ای آنها را تغییر دهید.
  4. پشتیبان‌گیری منظم از داده‌ها: ایجاد نسخه‌پشتیبان مداوم از داده‌ها و پایگاه های داده وب سایت شما
  5. کنترل دسترسی: محدود کردن دسترسی به پنل مدیریت وب‌سایت و فقط اختصاص دسترسی به افرادی که واجد نیاز هستند.
  6. استفاده از فایروال و ابزارهای امنیتی: برای جلوگیری از تهدید ها حتما فایروال و ابزارهای امنیتی استفاده کنید.
  7. مانیتورینگ و لاگ‌ها: نظارت بر فعالیت‌های سایت و بررسی لاگ‌ها برای تشخیص فعالیت‌های نامناسب یا مشکوک.
  8. آموزش کاربران: آموزش به کاربران برای استفاده امن از وب‌سایت و اطلاعیه‌هایی در مورد رفتارهای امنیتی.
  9. تست امنیتی و اسکن: انجام بازرسی‌های امنیتی دوره‌ای و اسکن‌های امنیتی برای تشخیص آسیب‌پذیری‌ها.
  10. حفاظت از فایل‌ها و دسترسی به سرور: محافظت از فایل‌ها و سرور در برابر دسترسی غیرمجاز و ممنوع کردن دسترسی به فایل‌های حساس.
  11. استفاده از افزونه‌های امنیتی: استفاده از افزونه‌های امنیتی موجود برای CMS‌ها مانند وردپرس، جوملا، دروپال و…

امنیت وب‌سایت یک فرآیند مداوم است و باید به صورت منظم بررسی و به‌روزرسانی شود. همچنین، مشاوره با حرفه‌ای‌های امنیتی همیشه می‌تواند به بهبود امنیت وب‌سایت شما کمک کند.

 لیستی از رایج ترین تکنیک های هک وب سایت:

1. تزریق SQL

SQL Injection یکی از رایج ترین تکنیک های هک وب سایت در سال 2021 است زیرا اکثر وب سایت ها از SQL برای تعامل با پایگاه داده استفاده می کنند.نرم افزارهای پایگاه داده مانند SQLite، Microsoft SQL Server، MySQL، PostgreSQL و غیره همگی برای ایجاد، خواندن، به روز رسانی و حذف سوابق پایگاه داده به زبان SQL متکی هستند.

یک مهاجم مقداری کد SQL را در یک فرم وب قرار می دهد . سعی می کند سرور را وادار به اجرای آن کند. می توان از آن برای دسترسی غیرمجاز به یک برنامه یا برای پاک کردن، تغییر یا درج رکوردهای پایگاه داده جدید استفاده کرد. در واقع، ابزارهای زیادی وجود دارد که می توانید از آنها برای راه اندازی یک حمله تزریق SQL استفاده کنید.

2. اسکریپت متقابل سایت (XSS)

XSS که با نام Cross Site Scripting نیز شناخته می شود، یکی دیگر از روش های بسیار محبوب هک وب سایت است. که هکرها برای حمله به وب سایت از آن استفاده می کنند.از طریق این روش، یک مهاجم کد جاوا اسکریپت مخرب سمت سرویس گیرنده را در یک صفحه وب با لینک‌ها وارد می‌کند. هنگامی که کاربر روی این لینک کلیک می کند، کد جاوا اسکریپت اجرا می شود . می تواند منجر به تسخیر حساب کاربر، ربودن جلسه، سرقت اطلاعات محرمانه و غیره شود.

در سایت‌های رسانه‌های اجتماعی و انجمن‌های وب رایج است و نیازی به ورود کاربر ندارد. CSRF را بررسی کنید. چون مهاجم کدهای مخرب را روی یک کاربر قبلاً وارد شده یا تأیید شده اجرا می‌کند.

3. جعل درخواست متقابل سایت (CSRF)

CSRF با نام Cross Site Request Forget نیز شناخته می شود. این یک تکنیک هک وب است که در آن دستورات غیرمجاز از طریق یک کاربر تأیید شده انجام می شود.

هنگامی که یک کاربر وارد سیستم می شود، یک مهاجم سعی می کند با ارسال یک درخواست HTTP جعلی، اطلاعات شخصی حساس او را جمع آوری کند. این دستورات جعلی را می توان از طریق فرم های مخفی، AJAX یا تگ های تصویر ارسال کرد.

با پیروی از چک لیست صحیح تست نفوذ وب سایت، اطمینان حاصل می کنید که این آسیب پذیری ها قبل از استقرار برنامه وب شما برای تولید از بین می روند.نکته جالب توجه این است که در حالی که سرورها فکر می‌کنند این دستور یک کاربر واقعی است.کاربر حتی متوجه نخواهد شد که چنین دستوری ارسال شده است.

4. سرقت کوکی

سرقت کوکی یکی دیگر از انواع بسیار رایج هک وب سایت است. که به هکرها امکان می دهد اطلاعات محرمانه را سرقت کنند.

کوکی‌ها معمولاً در مرورگر وب یافت می‌شوند. برای نگهداری اطلاعات مختلف وب‌سایت مانند اعتبار کاربر، رمز عبور و تاریخچه مرور و سایر موارد استفاده می‌شوند. از آنجایی که آنها اغلب به صورت متن ساده ذخیره می شوند، هکرها می توانند از افزونه های مرورگر برای سرقت این اطلاعات استفاده کنند.

هنگامی که یک مهاجم این اطلاعات را داشته باشد، به راحتی می تواند هویت شما را فرض کند .سپس شما را به صورت آنلاین جعل کند.

5. جعل DNS

جعل DNS، همچنین به عنوان مسمومیت کش DNS شناخته می شود.یک تکنیک هک وب است که اغلب توسط هکرهای کلاه سیاه به صورت آنلاین استفاده می شود.

این می تواند داده های سیستم دامنه فاسد را به حافظه پنهان حل کننده DNS تزریق کند. که به شما امکان می دهد ترافیک را از یک وب سایت قانونی به یک وب سایت جعلی هدایت کنید. این وب سایت جعلی می تواند یک وب سایت مخرب با بدافزار باشد. که می تواند اطلاعات بازدیدکنندگان وب را جمع آوری کند.

در واقع این نوع حمله سایبری می تواند به راحتی خود را از یک سرور DNS به سرور دیگر تکرار کند .سپس همه چیز را در مسیر خود مسموم کند.

6. حمله انکار سرویس (Dos & DDoS)

انکار سرویس یا حمله انکار سرویس توزیع شده یک تکنیک هک وب سایت است. که در آن شما یک سیل را هک می کنید.

سروری با درخواست های جعلی برای غلبه بر آن، خراب کردن آن و غیرقابل دسترس کردن آن برای سایر کاربران.

این با استفاده از رایانه‌هایی اجرا می‌شود که به بدافزار آلوده شده‌اند که حملات DoS همزمان را روی یک سرور خاص انجام می‌دهند. صاحبان این رایانه های هک شده ممکن است ندانند که رایانه های آنها در حال ارسال درخواست های داده به این سرورها هستند.

یک مهاجم یک حمله DDoS را برای قطع موقت خدمات یا از بین بردن کامل یک سیستم با موفقیت اجرا می کند.

7. هک سایت و مهندسی اجتماعی

مهندسی اجتماعی همچنین یکی از روش های محبوب هک وب سایت است که در آن یک هکر از کارکنان خود شرکت برای نفوذ به سیستم سوء استفاده می کند.

جایی است که یک هکر مخرب ترفندهای روانی را بر روی کاربر یا مدیر وب سایت انجام می دهد تا اطلاعات خاصی را فاش کند که آنها می توانند از آن برای سوء استفاده از وب سایت استفاده کنند.

به عنوان مثال، یک کارمند شرکت یک تماس تصادفی از شخصی دریافت می کند که ادعا می کند بخشی از تیم پشتیبانی فنی جدید است. آنها سپس نام کاربری شخصی و رمز عبور ورود به سیستم را درخواست می کنند و ادعا می کنند که برای برخی به روز رسانی های سیستم به آنها نیاز دارند. کارکنان با خوشحالی بدون اینکه بدانند این اطلاعات را تحویل می دهند، که سپس برای دسترسی و به خطر انداختن وب سایت شرکت استفاده می شود.

8. هک سایت با فیشینگ

فیشینگ یک روش هک وب سایت است که کاملاً شبیه به مهندسی اجتماعی است که در آن هکر به دنبال سوء استفاده از ساده لوحی کاربران برای دسترسی به آن است.

درست همانطور که قبلاً در این پست تکنیک های هک رمز عبور توضیح دادم، یک مهاجم با ارسال یک ایمیل فیشینگ برای شما شروع می کند. این ایمیل‌ها قانونی به نظر می‌رسند و شما را به کلیک روی پیوندی هدایت می‌کنند که شما را به وب‌سایت دیگری می‌برد که از یک وب‌سایت قانونی تقلید می‌کند، جایی که اطلاعات شخصی شما به سرقت می‌رود.

کاربران ناآگاهانه به طور داوطلبانه نام کاربری، رمز عبور و اطلاعات کارت اعتباری خود را با این تصور که وارد یک وب سایت قانونی می شوند، ارائه می دهند. یک بار با این اطلاعات، هکر می تواند پول یا هویت شما را بدزدد.

9. حمله نیروی Brute Force

حمله Brute Force یک تکنیک بسیار رایج برای هک کردن وب‌سایت‌ها است که بیشتر با هدف دستیابی به دسترسی غیرمجاز انجام می‌شود.

این با استفاده از ابزارهای مختلف هک رمز عبور برای تلاش برای شکستن رمز عبور یک کاربر وب سایت به منظور دسترسی به حساب کاربری خود اجرا می شود. حتی با آموزش عالی ایمنی آنلاین کاربران، تعجب آور است که چگونه مردم هنوز از کلمات قابل پیش بینی ساده برای رمزهای عبور خود استفاده می کنند.
موفقیت فوق العاده این ابزارها در هک رمز عبور کاربران و دسترسی به حساب کاربری، گواه این امر است.پس از ورود، مهاجم می تواند هویت کاربر را جعل کند و اقدامات مخرب انجام دهد.

10. حملات غیر هدفمند به وب سایت

حملات غیر هدفمند وب سایت یک روش هک وب سایت است .که در آن یک هکر وب سایت خاصی را هدف قرار نمی دهد.بلکه آسیب پذیری هایی را که در یک CMS، افزونه یا قالب وجود دارد مورد هدف قرار می دهد.

فرض کنید یک هکر یک اکسپلویت ایجاد می کند که نسخه خاصی از وردپرس را هدف قرار می دهد.

سپس یک ربات ساده می نویسد که وب سایت هایی را جستجو می کند. که این نسخه خاص وردپرس را اجرا می کنند.سپس لیستی از اهداف بالقوه را تشکیل می دهد و سپس حمله می کند.

بسته به نوع آسیب پذیری، این می تواند منجر به تزریق بدافزار، پاک کردن داده ها یا سرقت اطلاعات شود.

11. Clickjacking

Clickjacking یک ترفند متداول «رباینده» کلیک است .که بیشتر توسط وب‌سایت‌های پخش ویدیو مورد استفاده قرار می‌گیرد. تا شما را وادار کند بدون شک بر روی پیوندهای پنهان کلیک کنید.

هایپرلینک معمولاً در زیر برخی از محتوای قابل کلیک مانند دکمه پخش ویدیو پنهان می شود. من اغلب متوجه می شوم که روی این پیوندها کلیک می کنم. اغلب آنها من را به تبلیغات، صفحات دانلود نرم افزار یا صفحات دوستیابی آنلاین هدایت می کنند. سپس با انزجار دوباره کلیک می‌کنم و نمی‌دانم که چرا آنقدر باهوش نیستم که این اتفاق را ببینم.

با استفاده از این روش یواشکی هک وب سایت، یک حمله شما را فریب می دهد. تا روی پیوندی که از آن اطلاعی ندارید کلیک کنید. در حالی که آنها ممکن است به دنبال سرقت اطلاعات شخصی از شما نباشند. آنها به دنبال کلیک های تبلیغاتی “تقلبی” هستند که سپس برای آنها درآمد کسب می کنند.

 

برای امتیاز دهی به این پست کلیک کنید
[Total: 1 میانگین: 3]