این چند وقت خبرهای متعددی داشتیم از هک شدن وب سایت های مختلف، حتی وب سایت های شرکت های امنیتی؛ امروز هم که از حمله هکرها به وب سایت های ضد ویروس های ESET و Bitdefender مطلع شدید.

قبلاً گفته بودیم که امسال سالی است که هک خواهید شد، اما واقعاً مشکل چیست و این مشکلات از کجا آب می خورند؟

طبق آمار شرکت DOSarrest،  یکی از شرکت های فعال در زمینه امنیت اینترنت، ۹۰ درصد از ۵۰ وب سایت هایی که بررسی شده اند حداقل یک نقطه ضعف داشته اند؛ از این بین، مشکل ۹۵ درصد آنها، استفاده از نرم افزارها و ماژول های قدیمی و منسوخ بوده است.

به جز بحث به روز نبودن نرم افزارها، جعل درخواست میان وب سایتی (CSRF) و حملات تزریق کد (XSS) هم از موارد مهمی هستند که روند کنونی نشانی از مقابله موثر با آنها ندارد.

سی سرف (CSRF) نوعی حمله است که کاربری که در یک نرم افزار ثبت ورود (Login) کرده را مجبور به فرستادن یک درخواست به آن نرم افزار تحت وب می کند تا عمل مورد نظر را انجام دهد. همچنین در حمله تزریق کد، مهاجم، کدهای آلوده را در حفره های امنیتی وب سایت مورد هجوم تزریق می کند.

مدیر عملیاتی امنیتی شرکت DOSarrest می گوید: «مسئله مهم آسیب پذیری ۹۰ درصدی وب سایت های مورد بررسی نیست، خطر اصلی حفاظت اطلاعات و مدیریت حملاتی است که انجام می شوند. سطح استاندارد ما بالا است و فقط یک یا دو وب سایت بودند که موردی برای رفع عیب در آنها نیافتیم. در بیش از ۹۰ درصد وب سایت های بررسی شده نقص های مهمی وجود داشت که می توانند باعث به سرقت رفتن اطلاعات حساس داخل وب سایت ها شوند»

به علاوه، تزریق SQL -شامل وارد کردن کوئری SQL به منظور دست یابی به پایگاه داده- هم به وفور اتفاق می افتد. شرکت DOSarrest می گوید حدود ۲۲ درصد از وب سایت های مورد بررسی در برابر تزریق SQL آسیب پذیر بودند، حتی بعضی از آنها در چندین زمینه دیگر هم ضعف های مختلفی داشتند.

در اردیبهشت ۱۳۹۱ شرکت امنیتی WhiteHat Security گزارش داد که میانگین نقاط ضعف در هر وب سایت در حال کاهش است و از ۷۹ مورد در سال ۱۳۹۰ به ۵۶ تا در سال ۱۳۹۱ تقلیل یافته؛ از سوی دیگر طی بررسی های این شرکت مشخص شد که در سال ۱۳۹۱ روزانه ۸۶ درصد از وب سایت های مورد آزمایش حداقل یک نقطه آسیب پذیر در برابر حملات سایبری داشته اند.

امنیت وب سایت ها به سان یک هدف در حال حرکت است و سازمان ها و مدیران وب سایت ها باید به درک بهتری از آن برسند. مشکل این است که معمولاً تا فاجعه ای رخ ندهد اقدامات لازم صورت نمی گیرد و کسی به فکر اصلاح نقاط حساس و آسیب پذیر نمی افتد.

علاج واقعه قبل از وقوع باید کرد و گرنه پشیمانی به بار می آید. اگر صاحب یک وب سایت هستید و اطلاعات کافی برای حفظ امنیت آن را ندارید توصیه می کنیم طی یک برنامه مستمر، امنیت وب سایت خود را به شرکت های متخصص در این زمینه واگذار کنید حتی اگر نیاز دیدید نسبت به استخدام یک متخصص امنیت اطلاعات اقدام نمایید تا از رفع نواقص وب سایت خود مطمئن شوید.

اگر تجربه مدیریت یک وب سایت را داشته اید از مشکلات حفظ امنیت آن بنویسید؟ پیش آمد که وب سایت تان مورد حمله قرار گیرد؟ واکنش شما چه بود؟