مقابله با حملات تزریق کد

در دانشنامه قبلی در خصوص حملات تزریق کد موسوم به حملات XSS یا همان Cross Site Scripting با شما صحبت کردیم و با مفاهیم و انواع آن آشنا شدیم.

این گونه آسیب پذیری ها در همه جا یافت میشود، از میل باکس یاهو گرفته تا بزرگترین موتور های جستجوگری مانند گوگل! به وسیله حملات XSS، نفوذگران کوکی ها و نشست های جاری را سرقت می کنند. این نوع از حملات معمولا مختص به PHP و سیستم مدیریت محتوای خاصی نیست و در مورد هر پایگاه اینترنتی می تواند اجرا شود. در این گونه نفوذ، مهاجم معمولاً از یک سرور و یا سایت آسیب پذیر مانند یاهو و MSN استفاده می کند و به همین دلیل نیز پیداکردن نفوذگر بسیار مشکل می شود. در ابتدا افراد نیاز دارند تا با هدف نفوذگر آشنا شوند که این امر در خاصه برنامه های PHP نیست.

اکنون به یکی از تمیزترین کارهای نفوذگران در برخورد و نفوذ به هر وبسایتی که بر پایه PHP استوار باشد میرسیم. نوشتن کد های مخرب (Malicious Code) تکنیکی است که اغلب نفوذگران از نوشتن آنها لذت می برند و اغلب کاربران PHP نیز از آن بی اطلاع هستند. در این حملات، نفوذگران بدون زحمت و تلاش برای اسکن و عیب یابی وبسایت، اقدامات خطرناکی میکنند.

اغلب توسعه دهندگان و برنامه نویسان به خوبی میدانند که بهترین زبان برای نوشتن صفحات پویا و توسعه وب، PHP است. اما در عین حال نیز اغلب آنان نمیدانند که PHP میتواند به عنوان یک زبان شل اسکریپت نیز به خوبی عمل کرده و نتایج مطلوب و گاهاً مخربی را نیز به دنبال داشته باشد. اما راه های مقابله با اینگونه حملا چیست؟

اولین و مهم ترین راه مقابله با حملات تزریق کد، ایمن سازی و بهینه سازی فایل .htaccess موجود بر روی هاست می باشد. چنانچه خواستید تغییراتی را در این فایل ایجاد کنید، قبل از انجام هر عملیاتی یک نسخه ی کپی یا پشتیبان از آن تهیه نمایید تا در صورت بروز هر گونه مشکلی بتوانید آن را به حالت اولیه خود بازگردانید. این فایل درون ریشه ی اصلی هاست شما می باشد.

بعد از اینکه از امنیت فایل .htaccess وبسایت خود اطمینان حاصل نمودید، مهم ترین مسئله در پیشگیری از این نوع حمله ها، جدا کردن داده های غیر قابل اعتماد از دستورات و کوئری هاست.

1. گزینه مناسب استفاده از یک API ایمن است. این API باید از استفاده کامل از مفسر جلوگیری کند و یا یک رابط با استفاده از پارامترها ایجاد کند. هنگام استفاده از API ها هم مراقب باشید، چراکه با اینکه بعضی از آن ها از رابط پارامتری استفاده می کنند، اما همچنان در برابر تزریق کد خطرپذیر هستند.
2. اگر API پارامترسازی شده نیست، هنگام استفاده از کاراکترهای خاص با استفاده از روش های رمزنگاری مفسر، کدهای خود را رمز نگاری نمایید.
3. اعتبارسنجی مثبت یا همان «لیست سفید» برای داده های ورودی نیز مفید است، اما یک دفاع کامل نیست، چون در ورودی بسیاری از برنامه ها کاراکترهای خاص را می بینیم. اگر کاراکترهای خاص داشتیم، تنها راه حل های ۱ و ۲ که در بالا ذکر شد، امن هستند.

علاوه بر روش های فوق، راه حل های آسان تری هم وجود دارد که تا حدودی می تواند شما را به هر چه ایمن تر شدن وبسایتتان کمک کند:

الف) فیلترکردن ورودی ها:

کنترل و فیلتر ورودیها یکی از مهم ترین کارهایی است که اگر به درستی انجام شود می تواند نقشی اساسی در جلوگیری از حملات تزریق کد داشته باشد. جلوگیری از وارد کردن تگ‌های HTML یا فقط اجازه واردکردن برخی از تگ های HTML راه بسیار مناسبی برای جلوگیری از این حمله خواهد بود.

ب) امن کردن کوکی‌ها:

علاوه بر روش قبل، امن کردن کوکی‌ها کاری است که حتی درصورت وجود این حمله می‌تواند از سرقت رفتن برخی اطلاعات مربوط به ورود به سایت که معمولا در کوکی‌ها یا جلسات (Session)‌ ذخیره می‌شوند، جلوگیری کند. قابلیتی در مرورگرهای جدید گنجانده شده است که با کمک آن می‌توان برخی از کوکی‌های مهم را به صورت خاص در کامپیوتر کاربر ذخیره کرد تا کوکی‌ها از طریق جاوا اسکریپت قابل دسترس نباشند ولذا با این قابلیت، سرقت کوکی‌ ها از این طریق دیگر امکان‌پذیر نخواهد بود.

ج) غیرفعال کردن جاوا اسکریپت:

با وجود Web2 و AJAX همچنان سایت‌هایی موجود هستند که از جاوا اسکریپت استفاده نمی‌کنند. همچنین وب‌سایت‌ها برای جلوگیری از به سرقت رفتن کوکی‌ها می‌توانند به طور کل جاوا اسکریپت راغیرفعال کرده که در این صورت دیگر از این طریق امکان سرقت کوکی‌ها وجودنخواهد داشت.

اما در بین تمامی روش های گفته شده، روش «فیلتر کردن ورودی ها» مؤثر تر شناخته شده است. امیدواریم با استفاده از این دانشنامه توانسته باشیم ذره ای به امنیت وبسایت شما در دنیای وب کمک کرده باشیم.

در صورت نیاز به هرگونه راهنمایی می توانید از طریق هر یک از راه های ارتباطی موجود با کارشناسان ما در تماس باشید.