مفاهیم پایه ای امنیت وب سایتامروزه هر سازمان ، شرکت یا تجارت برای تبلیغ ، اطلاع رسانی یا فروش محصول یا خدمات خود به یک وب سایت عمومی وابسته است.
وب سایت های عمومی اغلب هدف قرار می گیرند. برخی از حملات به سرورهای وب عبارتند از: سوء استفاده از خطاهای نرم افزاری در وب سرور
حملات انکار سرویس و انکار سرویس توزیع شده
افشای داده های پس زمینه “backend data” با استفاده از حملات تزریق مانند تزریق SQL. تزریق LDAP و XSS
تغییر شکل وب سایت با هدف تخریب آن
از قابلیت های وب سرورهای سو of استفاده شده برای حمله به ورودی های دیگر استفاده کنید
استفاده از وب سرورهای سو explo استفاده شده برای توزیع بدافزار
امنیت وب سرور چالش هایی دارد زیرا نه تنها باید سیستم عامل ایمن باشد بلکه برنامه ها و سرویس های مرتبط با آن در دستگاه اجرا می شوند. یکی از دشوارترین جنبه ها به روز نگه داشتن سیستم ها و وصله آنها در برابر آسیب پذیری های جدید و مهم در سیستم عامل ها و برنامه های وب است.
راهبردهای مقابله ای هدف این سند ارائه نکات و مفاهیم اساسی برای ایمن نگه داشتن وب سایت های عمومی برای کاهش سطح حمله یا مقابله با اثرات سو abuseاستفاده است. لازم به ذکر است که این راه حل ها به تنهایی باعث امنیت وب سرورها نمی شوند بلکه باید از روش ها و استراتژی های پیشرفته دیگری نیز در کنار آن استفاده شود توصیه می شود که سازمان ها به طور روزمره ارزیابی ریسک را انجام دهند تا نقاط ضعف یا آسیب پذیری محیط خود را شناسایی کنند.
امنیت سرور وب:
موارد زیر برای امنیت وب سرور توصیه می شود:
اطمینان حاصل کنید که وب سرور فقط برنامه ها و اجزای لازم برای انجام فعالیت های تعریف شده برای این وب سرور را دارد. همه برنامه های اضافی باید حذف یا غیرفعال شوند. به عنوان مثال ، اگر وب سرور به مرور وب نیاز ندارد و از وب سرور برای کارهای FTP استفاده نمی شود ، چنین سرویسی نباید اجرا شود. حذف یا غیرفعال کردن هر م componentلفه ای که استفاده نشود ، سطح حمله را کاهش می دهد.
وب سرور باید با دسترسی بسیار محدود به هرگونه داده پس زمینه طراحی شود.
خدمات وب SQL:
از اتصال برنامه ها به پایگاه داده با استفاده از ویژگی “دسترسی خصوصی” جلوگیری کنید.
اندازه ، دامنه ، قالب و نوع ورودی را تأیید کنید.
ورود به لیست های نویسه های قابل قبول را محدود کنید و شخصیت های دیگری را که در لیست نیستند رد کنید.
استفاده از کد SQL پویا را محدود کنید. هر زمان ممکن باشد برای به حداکثر رساندن سود باید این سه مولفه را برای راه اندازی در اختیار داشته باشید.
موارد زیر برای امنیت سیستم عامل توصیه می شود:
حساب های کاری که اجازه دسترسی به سیستم عامل وب سرور را می دهند باید از مفهوم حداقل دسترسی پیروی کنند و باید مختص هر فرد باشد. داشتن حساب مدیر از فعالیت غیر قابل انکار جلوگیری می کند و در صورت سو mis استفاده از سیستم عامل ، فعالیت جرم شناسی را محدود می کند. همچنین ، وب سرور باید یک سرویس مهم در نظر گرفته شود و بنابراین به احراز هویت دو عاملی نیاز دارد.
برای مدیران شبکه ، یک خط مشی ایجاد رمز عبور قوی اعمال کنید. برای مثال ، چنین سیاستی می تواند دارای ویژگی های زیر باشد:
حداقل ۱۵ حرف برای حساب های کاربری ویژه
از اعداد ، حروف بزرگ و کوچک و نویسه های خاص استفاده کنید
برای تغییر گذرواژه به طور دوره ای ، به عنوان مثال ، هر ۹۰ تا ۱۸۰ روز نیاز است
از رمزهای عبور قبلی استفاده نکنید
جلوگیری از استفاده از اطلاعات شخصی – مانند شماره تلفن ها ، تاریخ تولد ، نام و نام خانوادگی – در نام های کاربری و گذرواژه ها لازم است از عبارات طولانی به جای گذرواژه استفاده کنید همه گذرواژه ها و نام های کاربری پیش فرض را تغییر دهید.
همه حسابهای کاربری استفاده نشده مانند حسابهای مهمان را غیرفعال یا حذف کنید. در صورت امکان ، اعتبار سیستم را برای سیستم های مهم غیرفعال کنید. سرورهای وب را به روز و به روز کنید. برای دریافت اخبار امنیتی بر ایمیل ها و / یا وب سایت ها نظارت کنید.