پشتیبانی: 09131253620
ارتباط با ما
تلگرام: 09131253620


یکی دیگر از خدمات ما طراحی وب سایتهای واکنشگرا یا Responsive با کیفیت بالا می باشد. برای طراحی این وب سایتها از تکنولوژیهای روز دنیا استفاده می شود.


       
صفحه اصلی  |  فروشگاه ما  |  استخدام  |  نرم افزار مدیریت برنامه غذایی رستوران ها  |  seo تضمینی اصفهان  |  ثبت نام  |  طراحی وب سایت در اصفهان  |  برنامه نویسی اصفهان  |  انجام پروژه های پایگاه داده SQL Server  |  انجام پروژه مهندسی نرم افزار  |  انجام پروژه های مالتی مدیا بیلدر  |  در مورد ما  |  انجام پروژه های اکسس Microsoft access  |  نمونه پروژه ها  |  ارتباط با ما  |  اخبار و مقاله  |  انجمن رفع اشکالات مشتریان
برجسته ترین ها
گروه های مقاله ها
HyperLink


چگونه فروشگاه اینترنتی بسازیم بخش دهم تاریخ درج: ١٣٩۴/٠٨/١٧

 تزریق کورکورانه sql چیست

اجازه دهید بحث ساده ای درمورد قدیمی و زواید تزریق sql داشته باشیم.این یک روش هک کردن است که اجازه میدهد یک حمله کننده غیر مجاز به سرور دیتا بیس دستیابی پیدا کند. این مساله توسط یک برنامه نویسی رایج ، تسهیل شده است: برنامه ای که داده ها را از Cielnt و اجرای نمایش داده شده sql بدون اعتبار ورودی Client میپذیرد.  حمله کننده برای استخراج ، حذف و یا اضافه کردن داده ها آزاد است. در برخی شرایط ممکن است از طریق سیستم عامل به صورت مستقیم به پایگاه داده نفوظ نماید. هکرها به طور نمونه برای آسیب پذیری تزریق sql آزمایش سیستم را آزمایش می نمایند و با ارسال داده نرم افزاری که باعث میشود سرور یک پرس وجوی بی اعتبار sql تولید کند. اگر سرور یک پیام خطا برای به مشتری بدهد حمله گر ممکن است تلاش کند با استفاده از مهندس معکوس و بخشی از پرس و جوی اصلی sql با استفاده از اطلاعات بدست آمده از این پیام های خطا به Database دسترسی پیدا کند. به طور نمونه ایجاد یک صفحه خطا  به سادگی از نمایش پیام های خطای دیتابیس جلوگیری میکند که متاسفانه برای حفلظت از پایگاه داده کافی نیست. اگر چه درخواست شما پیام خطا را باز نمی گرداند ولی ممکن است هنوز به حملات تزریق sql  حساس باشد. [13]

راه حل ها
دو راه حل مطمئن برای مقابله با حملات تزریق sql ، پیشنهاد می کنیم : پاکسازی داده ها وایجاد  امنیت برای نرم افزار 

پاکسازی داده ها
همه ی داده های کاربر نیاز به پاکسازی شدن از کاراکترها یا رشته هایی دارندکه احتمالا به خوبی نمی توانند مورد استفاده قرار بگیرند. این موضوع باید در همه ی نرم افزارها انجام شود ، نه فقط آن هایی که از پرس و جوهای sql ، استفاده می کنند. پاک کردن عبارت های نقل شده یا قرار دادن بک اسلش ها در مقابل آن ها ، در این جا کافی است. بهترین روش برای فیلتر کردن داده های خود ، استفاده از یک عبارتی است که به طور پیش فرض و منظم انکار شده است ، دلیل استفاده از این روش این است که شما فقط از کاراکترهایی که می خواهید استفاده می کنید. به عنوان مثال ، عبارت منظم زیر فقط حروف و شماره ها را بر می گرداند :
پاکسازی داده ها 
 
فیلتر خود را ظریف و ویژه ، انجام دهید و در هر کجا که ممکن است فقط شماره ها را استفاده کنید. [15] پس از آن ، فقط از شماره ها و حروف استفاده کنید. اگر در جایی نیاز به سمبل یا نقطه گذاری در هر نوع ، داشتید ، با اطمینان آن ها را تبدیل به جایگزین های html  کنید. مثل &quote یا &gt . برای مثال ، اگر کاربر یک آدرس ایمیل را ارائه کرده است ، اجازه دهید که علامت "at" ، برای تاکید و خط رابط ، بین کلمات و اعدادی که در سطر بعدی قرار می گیرند ، واقع شود و به آن ها اجازه دهید تا بعد از این کاراکترها ، تبدیل به جایگزین های HTML شوند.

ایجاد امنیت کد SQL برای نرم افزارهای وب
قوانین کم اما ویژه ای برای تزریق SQL ، وجود دارد. 1 ) پیش فرض و اضافه کردن عبارت نقل شده به همه ی کاربران ورودی ، حتی اگر داده ها عددی باشند. 2) حقوق کاربران پایگاه داده را محدود کنید. اجازه ندهید که کاربر به تمام فرایندهای ذخیره شده سیستم ، دسترسی پیدا کند و اگر آن کاربر نیاز به دسترسی داشت ؛ در این صورت ، فقط اجازه دهید که به تعداد کمی از داده ها و اطلاعاتی  که توسط خود کاربر تعریف شده است ، دسترسی پیدا کند.
برای امنیت یک درخواست در هنگام تزریق sql ، توسعه دهنده ها هرگز نباید اجازه دهند که Server و یا نرم افزارهای خدمت دهنده به مشتری ، داده های ارسالی از سمت مشتری را اصلاح نمایند. بنابراین بهترین گزینه برای جلوگیری از حمله می تواند گزینه جداسازی درخواست وب از پرس و جوی SQL باشد. همه ی پرس و جوها sql نیازمند درخواستی هستند تا دراین Stored Procedure  ها ذخیره شوند و در سرور دیتا بیس نگهداری شوند . درخواست باید SP را با استفاده از یک رابط مطمئن مثل JDBCS یا ADOS مدیریت و فراخوانی نماید. هم پرس و جو آماده شده و هم فرایند ذخیره شده پرس و جو SQL را قبل از اینکه ورودی کاربر اضافه شود کامپایل میکنند. ایجاد این روند برای کاربر غیر ممکن است تا بتواند پرس و جو SQL را اصلاح کند. [14]

سایر حملات شایع به فروشگاه های الکترونیکی
تعدادی از حملات معروف که توسط هکر‌ها انجام می‌شوند:
1) حمله از طریق IP
2) حمله از طریق TCP
3) حمله از طریق Applet
4) حمله از طریقFire Wall
5) حمله از طریق جعل کردن وب
6) حمله به کلمات عبور
7) حمله از طریق استراق سمع
8) حمله از طریق مودم ها

مقابله با شکستن رمزهای عبور
برای مقابله با این حملات ابتدا باید کلمات عبوری انتخاب کنید که در فرهنگ لغات نباشند؛ کلمه‌هايی که از يک سری عدد و حروف درهم ریخته تشکیل می‌شوند درصد احتمال بسیار کمی برای کشف شدن دارند؛ همچنین هر چه قدر طول کلمه عبور بیشتر باشد، هکر باید زمان بیشتری جهت شکستن رمز عبور صرف کند.
نرم‌افزار فيلتر‌گذار کلمات عبور، کليه این اعمال را انجام می‌دهد؛ این برنامه با دریافت نام و کلمه عبور جدید، آنها را طبق الگویی که شما برایش تعریف می‌کنيد، کنترل می‌نمايد. آخرین روش دفاعی در این گونه  از حمله هکرها به کارگیری سیستم کد‌بندی رمزهای عبور است. این برنامه کليه رمزها و کلمات عبور را به وسیله يک کد مخصوص، که فقط برای سیستم عامل معنی دارد، انتقال می‌دهد. [16]

تكنیكهای انتخاب كلمه عبور  
به یاد داشته باشید شناسه کاربریID  و کلمه عبور Password تمام هویت مجازی و حق مالکیت شماست؛ بدین معنی که  برای اتصال به اینترنت، ورود به شبكه، انواع و اقسام (Messenger)ها و سایتها، چك كردن (mailbox)، بالا آمدن ویندوز محافظ صفحه نمایش و خلاصه برای هر تمام سرویسها خصوصی یا اختصاصی در دنیای کامپیوتر شناسه کاربریID  و کلمه عبور Password ؛ هویت شما را احراز می کندو در صورت از دست دادن آنها ؛ مالکیت خود را بر دارایی های مجازی خود از دست می دهید. [17]
اگر در دنیای کامپیوتر ؛ تا حدی پرسه زده اید و با علوم پایه کامپیوتر و فن آوری اطلاعات آشنا باشید حتمی می دانید كلمه عبور  Password چیست ؛ یک عبارات از مجموعه حرف ؛ عدد و دیگر کاراکترها که در هنگام ورود به سیستم یا سرویس خاص از کاربر خواسته می شود؛ معمولا در سیستم ها و سرویسهای مختلف از جمله شبکه های کامپیوتری با شناسه کاربریID  و کلمه عبور Password ؛ هویت شخص محرز می شود.  البته در دنیا امروزی از علوم بیومتریک ؛ سوییچ ها سخت افزاری و ابراز آنلاین برای حفظ و نگهداری رمزعبور وهویت مجازی شما بهره برده اند.
امروزه برای حفظ اطلاعات و امنیت بیشتر در دنیای كامپیوتر و اینترنت ، نیاز به كلمه عبور (Password) انكار ناپذیر است. به عنوان مثال : برای اتصال به اینترنت ، ورود به شبكه ، انواع و اقسام ( Messenger ) ها و سایتها ، چك كردن ( mailbox ) ، بالا آمدن ویندوز محافظ صفحه نمایش و خلاصه برای هر چیز كه فكرش را بكنید ، ممكن است كلمه عبور وجود داشته باشد . از سوی دیگر ، به خاطر سپردن این همه كلمه عبور و محافظت از آنها كار مشكلی است . شاید تا بحال برایتان پیش آمده كه كلمه عبور خود را فراموش كرده باشید و یا بدون اینكه اطلاع داشته باشید ، كسی به كلمه عبورتان دست پیدا كند . 
در واقع انتخاب كلمه عبور مناسب و مطمئن كه به راحتی توسط افراد سودجو و هكرها قابل دسترسی نباشد و همچنین حفظ آن ، خود یك هنر است . در نظر داشته باشید ، ممكن است یك عبارت طولانی و پیچیده كه تركیبی از حروف ، اعداد ، و علامت های مختلف باشد ، انتخاب خوبی برای كلمه عبور به نظر برسد.

استاندارد ISO 17799 
شاید برایتان جالب باشد اگر بدانید برای انتخاب كلمات عبور ، یك استاندارد جهانی وجود دارد .  در این استاندارد راهنمایی های خوبی در زمینه انتخاب كلمه عبور ارائه شده است كه چند نمونه از آن را مشاهده می كنید : 
1- تعداد كاراكتر های یك كلمه رمز ، باید حداقل شش حرف باشد . البته بهتر است طول را كمی بیشتر از شش حرف بگیرید و حداقل هشت حرف را در نظر داشته باشید . 
مطمئن باشید كه حدس زدن كلمات عبور كه كوتاه ترند ، برای هكرها بسیار ساده است ، ضمن اینكه در زمان كمتری به كشف آن نائل می شوند . در حقیقت كافی است توسط یك برنامه ویژه كشف رمز ، به روش سعی و خطا ، تركیبی از تمامی حروف ، ارقام و علامتها را چگ كنند تا در نهایت به كلمه رمز شما دست پیدا كنند.
2- هیچ گاه در كلمات عبور ، از حرف یا كلمات پشت سر هم یا متوالی ( چه از نظر الفبایی و چه بر اساس موقعیت روی صفحه كلید ) استفاده نكنید . به عنوان مثال كلمات ، " asdfghkl " ، " ۳۴۵۶۷۸۹ " ، "abcdefg " مناسب نیستند . 
3- تمامی كاراكتر های كلمه عبور ، نباید فقط حرف یا فقط كلمه باشند . 
4- از استفاده مجدد یا دوره نموده كلمات عبور قدیمی جداً بپرهیزید. 
5- كلمات عبور را هر چند وقت یك بار تغییر دهید
6- اگر مدیر یك شبكه هستید و در هنگام معرفی كردن كاربران به شبكه ، برای آنها كلمه عبور گذاشته اید ، آنها را مجبور كنید تا وقتی برای اولین بار به شبكه وصل شدند ، كلمه عبور ( كلمه عبور پیش فرض ) خود را تغییر دهند . 
7- از استفاده از كلمه عبور اشتراكی برای كاربران بپرهیزید
 
 نمایی از لوگوی استاندارد کلمه عبور
شکل 27- نمایی از لوگوی استاندارد کلمه عبور

تگها: امنیت کد SQL برای نرم افزارهای وب   پاکسازی داده ها   حملات شایع به فروشگاه های الکترونیکی   
 

HyperLink

ارسال نظر در مورد این مطلب
نام :  
آدرس ایمیل :  
متن پیام :  
کد امنیتی :  
   
   
نظری برای نمایش وجود ندارد
 
این مطلب را به اشتراک بگذارید: