این چند وقت خبرهای متعددی داشتیم از هک شدن وب سایت های مختلف، حتی وب سایت های شرکت های امنیتی؛ حتما چند روز قبل هم که از حمله هکرها به وب سایت های ضد ویروس های ESET و Bitdefender مطلع شدید. بسیاری اعتقاد دارند که امسال سالی است که هک خواهید شد، اما واقعا مشکل چیست و این مشکلات از کجا آب می خورند؟
طبق آمار شرکت DOSarrest، یکی از شرکت های فعال در زمینه امنیت اینترنت، 90 درصد از 50 وب سایت هایی که بررسی شده اند حداقل یک نقطه ضعف داشته اند؛ از این بین، مشکل 95 درصد آنها، استفاده از نرم افزارها و ماژول های قدیمی و منسوخ بوده است. به جز بحث به روز نبودن نرم افزارها، جعل درخواست میان وب سایتی (CSRF) و حملات تزریق کد (XSS) هم از موارد مهمی هستند که روند کنونی نشانی از مقابله موثر با آنها ندارد.
سی سرف (CSRF) نوعی حمله است که کاربری که در یک نرم افزار ثبت ورود (Login) کرده را مجبور به فرستادن یک درخواست به آن نرم افزار تحت وب می کند تا عمل مورد نظر را انجام دهد. همچنین در حمله تزریق کد، مهاجم، کدهای آلوده را در حفره های امنیتی وب سایت مورد هجوم تزریق می کند.
مدیر عملیاتی امنیتی شرکت DOSarrest می گوید: «مسئله مهم آسیب پذیری 90 درصدی وب سایت های مورد بررسی نیست، خطر اصلی حفاظت اطلاعات و مدیریت حملاتی است که انجام می شوند. سطح استاندارد ما بالا است و فقط یک یا دو وب سایت بودند که موردی برای رفع عیب در آنها نیافتیم. در بیش از 90 درصد وب سایت های بررسی شده نقص های مهمی وجود داشت که می توانند باعث به سرقت رفتن اطلاعات حساس داخل وب سایت ها شوند».
به علاوه، تزریق SQL (شامل وارد کردن کوئری SQL به منظور دست یابی به پایگاه داده) هم به وفور اتفاق می افتد. شرکت DOSarrest می گوید حدود 22 درصد از وب سایت های مورد بررسی در برابر تزریق SQL آسیب پذیر بودند، حتی بعضی از آنها در چندین زمینه دیگر هم ضعف های مختلفی داشتند.
در اردیبهشت 1391 شرکت امنیتی WhiteHat Security گزارش داد که میانگین نقاط ضعف در هر وب سایت در حال کاهش است و از 79 مورد در سال 1390 به 56 تا در سال 1391 تقلیل یافته؛ از سوی دیگر طی بررسی های این شرکت مشخص شد که در سال 1391 روزانه 86 درصد از وب سایت های مورد آزمایش حداقل یک نقطه آسیب پذیر در برابر حملات سایبری داشته اند.
امنیت وب سایت ها همانند یک هدف در حال حرکت است و سازمان ها و مدیران وب سایت ها باید به درک بهتری از آن برسند. مشکل این است که معمولا تا فاجعه ای رخ ندهد اقدامات لازم صورت نمی گیرد و کسی به فکر اصلاح نقاط حساس و آسیب پذیر نمی افتد.
علاج واقعه قبل از وقوع باید کرد وگرنه پشیمانی به بار می آید. اگر صاحب یک وب سایت هستید و اطلاعات کافی برای حفظ امنیت آن را ندارید، طی یک برنامه مستمر، امنیت وب سایت خود را به شرکت های متخصص در این زمینه واگذار کنید حتی اگر نیاز دیدید نسبت به استخدام یک متخصص امنیت اطلاعات اقدام نمایید تا از رفع نواقص وب سایت خود مطمئن شوید.
منبع: نگهبان