فروشگاه محصولات دانلودی نخبگان

پروژه امنیت در وب و شناخت هکرها بصورت ورد و قابل ویرایش در 80 صفحه جهت استفاده دانشجویان رشته کامپیوتر و it تهیه شده بهار 1399 

فهرست مطالب

مقدمه........1

فصل اول:اصول امنيت

1-1- امنيت به عنوان يك زيربنا ...................5

رمز..5

1-3- امنيت به عنوان يك محدوديت............6

1-4- تهاجم DDOS چيست؟.................7

1-5- تهاجمات مصرف منبع.........7

1-6- كالبدشكافي يك تهاجم سيل .......9

1-7- محكم كردن پيكربنديهاي ديوار آتش......10

1-8- ايجاد يك IDS ...........................................................................................................................10

1-9- اجراي يك مرور كننده Scanner آسيب پذيري.....11

1-10- ايجاد سرورهاي پراكسي.................................11

1-11- پيكربندي كردن فداكارانه ميزبانها.........11

1-12- افزايش مديريت ميزبان و شبكه...11

1-13- گسترش بيشتر تكنولوژي هاي امنيت......11

1-14- گردآوري اطلاعات.............12

1-15- راههاي مختلف جهت مسيردهي......12

1-16- مقايسه قابليت هاي امنيت سرور وب.12

1-16-1- تصديق ..............................13

1-16-2- گواهي نامه ها و امضاهاي ديجيتالي......................................14

1-16-3- به كارگيري برنامه هاي كاربردي CGI...................................................................14

 

 

فصل دوم:آشنایی باعملکردهکرها

2-1- هک چیست؟.......16

2-2- هدف هک ..........16

2-2-1- اعلام سواد و تسلط بر فن آوری اطلاعات......17

2-2-2- اعلان ضعف امنیت شبکه کامپیوتری.....17

2-2-3- انتقام شخصی یا گروهی......................17

2-2-4- بدون دلیل..................17

2-2-5- دستیابی به اموال مجازی افراد یا شرکتها..........18

2-3- پیشینه جنبش نفوذگری وظهور نفوذگران با کلاه های رنگارنگ !...........18

2-3-1- هکرهای کلاه سفید.............................20

2-3-2- هکرهای کلاه سیاه.........21

2-3-3- هکرهای کلاه‌خاکستری..........21

2-3-4- هکرهای کلاه صورتی.................................21

2-4- خلاصه اي بر تاريخچه ي هك كردن..................22

2-4-1- سيستم هك كردن تلفن....................23

2-4-2- سيستم هك كردن كامپيوتر.....................23

2-5- سرویس های امنیتی درشبکه ها...................25

2-6- انگیزه های نفوذگری وحمله به شبکه .........27

2-7- سطوح مهارت نفوذگران.............28

2-8- شيوه‌هاي هکرها جهت حمله به وب سايت‌ها.......28

2-8-1-SQL Injection

2-8-8- تغییر آدرس..........................................31

2-8-9- حمله به تعیین هویت.......32

2-8-10- سوء استفاده‌هاي شناخته شده ...............32

2-8-11- شمارش دایرکتوری ....................32

2-9- مهندسی اجتماعی..............................32

2-10- نقاط دخول.........................33

2-11- زیر ساخت شبکه............................34

2-12- برنامه‌هاي مورد استفاده در اینترنت.............34

2-13- پوشش دهی...................35

2-13-1- پوشش دهی چیست؟.......................36

2-13-2- چرا پوشش دهی ضروری است؟......................37

2-13-3- پوشش دهی اینترنت...........38

فصل سوم :شیوه های هکرها برای نفوذ به شبکه

3-1- روش‌های معمول حمله به کامپیوترها ..............42

3-1-1- برنامه‌های اسب تروا ...............................42

3-1-2- درهای پشتی....................43

3-1-3- اسبهای تروا درسطح برنامه های کاربردی........43

3-1-4- اسکریپتهای Cross-Site ........................................................................................45

3-1-5- ایمیلهای جعلی .................44

3-1-6- پسوندهای مخفی فایل ...........47

3-1-7- شنود بسته های اطلاعات (استراق سمع)...........

3-1-8- حملات pharmingچیست؟.....................49

3-1-9- حمله به سیستم عامل........52

3-1-10- درهم شکستن برنامه کاربردی یا سیستم عامل ازطریق سرریزکردن پشته ...............53

3-1-10-1-پشته چیست؟.................53

3-1-10-2- Exploit Code........................................................55

3-1-10-3- پیداکردن نقاط آسیب پذیر ...........55

3-1-10-4- سازماندهی وآرایش بافر پیش ازسرریز شدن..56

3-1-11- حمله برعلیه کلمات عبور ......................57

3-1-11-1- حدس زدن کلمات عبور پیش فرض سیستم ها...............58

3-1-11-2- حدس کلمه عبور و ورود به سیستم از طریق چندخط برنامه نویسی.....58

3-1-12- حمله به کوکی های موقت .....59

3-1-13- هک کردن VPN................................................59

3-1-13-1- چرا IP Sec خیلی ویژه و خاص می باشد؟..64

3-1-13-2- بعضی تجزیه و تحلیل های تخصصی IP Sec.......................................65

3-1-13-3- نمایش هک کردن: راز امنیت شبکه و.....66

فصل چهارم:جلوگیری ازنفوذهکرها

4-1- مبارزه با اسبهای تروا و درهای پشتی...............68

4-1-1- استفاده از ویروس یاب های مطمئن وقوی....68

4-1-2- عدم استفاده از جستجو کننده تک منظوره اسب های تروا..68

4-1-3- نسبت به هر نرم افزاری که تهیه می کنید مطمئن باشید..68

4-1-4-آموزش کاربران بسیارحیاتی است......................69

4-2- مقابله ابتدایی باحمله به پشته ازطریق سیستم IDS ....................................................................69

4-2-1- مقابله با انواع حملات مبتنی بر سرریزی پشته یا بافر69

4-2-2- مقابله درسطح مسئول سیستم وگروه امنیتی.....70

4-2-3- مقابله با سرریزشدن پشته درسطح برنامه نویسی..71

4-3- روشهای مقابله با ابزارهای شکننده کلمه عبور.........71

4-3-1- تكنیكهای انتخاب كلمه عبور........................73

4-3-2- استانداردlso

4-4- مقابله با استراق سمع (مقابله با اسنیفرها) ..............75

نتیجه گیری.............................77

منابع.........................................................80

 

مقدمه :

 

استفاده از شبکه‌هاي کامپيوتری در ساليان اخير روندی تصاعدی پيدا کرده است. شبکه‌هاي کامپيوتری، زير ساخت مناسب برای سازمان‌ها و موسسات را در رابطه با تکنولوژی اطلاعات فراهم مي‌نمايند.مقوله تکنولوژی اطلاعات به همان اندازه که جذاب وموثر است، در صورت عدم رعايت اصول امنيت به همان ميزان و يا شايد بيشتر، نگران کننده و مسئله آفرين خواهد بود. اغلب سازمان‌هاي دولتی و خصوصی در کشور، دارای وب سايت اختصاصی خود در اينترنت مي‌باشند. سازمان‌ها برای ارائه وب سايت، يا خود امکانات مربوطه را فراهم نموده و با نصب تجهيزات سخت افزاری و تهيه پهنای باند لازم،اقدام به عرضه سايت خوددر اينترنت نموده­اندياازامکانات مربوط به شرکت‌هاي ارائه دهنده خدمات ميزبانی استفاده مي‌نمايند.بدون ترديدسرويس دهنده وب يکی از مهمترين نرم افزارهای موجود در دنيای اينترنت محسوب مي‌گردد. کاربرانی که به سايت يک سازمان يا موسسه متصل و درخواست اطلاعاتی را مي‌نمايند،خواسته آنان درنهايت دراختيار سرويس دهنده وب گذاشته مي‌شود. سرويس دهنده وب، اولين نقطه وروداطلاعات و آخرين نقطه خروج اطلاعات از يک سايت است. نصب و پيکربندی مناسب چنين نرم افزار مهمی، بسيار حائز اهميت بوده و تدابير امنيتی خاصی را طلب مي‌نمايد.

 

تكنولوژي اينترنت تنهابه منزل ومحل كارماهدايت نشده است ودر بيشتر جنبه هاي زندگي ما وجود دارد،بشكه هاي بي سيم ودست يابي به دستگاهها،حضور اينترنت را در همه جا فعال كرده است. بسياري ازاين دستگاهها به طورمأيوسانه اي امنيت ضعيف وسستي دارندكه باعث مي شود كانديداي ايده آل براي يك هكرباشند. اين موضوع وقتي اَسَف بارتر است كه سيستمهاي داراي امنيت ضعيف، سيستمهايي را كه داراي امنيت جامعي هستند را با سوار كردن تهاجمات روي آنها به مخاطره مي اندازند. حتي برنامه ها و سيستمهايي كه داراي امنيت صوتي هستند از هجوم يا خطر مصون نيستند. افزايش تقاضاي نرم افزار و كاهش سريع در چرخه هاي توسعه بدين معني است كه نسخه جديد نرم افزارهاي نصب شده روي ماشينها يك گام جلوتر است..انجام هك تا حدودي بر مبناي كسب علم و دانش استوار است يك اشتياق براي ارضاي يك حس ذاتي كنجكاوي فني. با اين ديد، به بسياري از هكرها در مورد فعاليتهايشان حق داده مي شود. بدين معني كه آنها رخنه ها و كاستي هاي امنيت را آشكار ميكنند.

 

 

 

هک چیست؟

 

هکرها افراد عادی هستند که با داشتن هوش زیاد و تا حدی دانش كامپيوتر مي‌توانند در کامپیوتر نفوذ نموده و باعث شود که بخشی از مدیریت کامپیوتر را به دست بگیرند.

 

هر شبکه اینترنتی و هر سیستم کامپیوتری در درون خود دارای ضعفهایی است که هکرها و نفوذگران با توسل بدان به کامپیوتر دست مي‌یابند البته ممکن است این نفوذ در داخل شبکه کامپیوتری میزبان یک وب سایت یا وبلاگ باشد. در این صورت هک به وب سایت نفوذ مي‌نماید.

 

عبارت هکر داراي دو تعریف است. از دیدگاه برنامه نویس، هکر کسی است که می‌تواند کدي را بنویسد که راه حلی سریع و ساده براي مشکلی بزرگ ارائه دهد. این کد باید کارآمد و موثر باشد. از دیدگاه دیگران، هکر کسی است که امنیت موجود در سیستمهاي اطلاعاتی خودکار یا یک شبکه را بشکند. این نوع از هکرها (که Cracker نیز نامیده می‌شوند) معمولاً بدنبال اهداف نادرست و خرابکارانه می‌باشند،ولی ممکن است این کار را بخاطر سود رسانی انجام دهد.ولی به هرحال این افرادوارد سیستمها می‌شوند.

حمله به تعیین هویت[1]:

هکرها با جستجو براي بدست آوردن شناسه‌هاي معتبر به دنبال ورود به سرورها از طريق يک برنامه تحت وب مي‌باشند. در چنين حملاتي يک بانک اطلاعاتي شامل اطلاعات کاربري، نام کاربر و رمز عبور که جهت به حداکثر رساندن امنيت در شناسايي کاربر ايجاد شده است، به وسيله‌اي براي دسترسي هکرها مبدل مي‌شود.[3]

2-8-10- سوء استفاده‌هاي شناخته شده[2] :

بسياري ازهکرهابصورت گروهي با ورود به فوروم‌ها عمليات نفوذ را آماده‌سازي مي‌کنند تا عمليات آتي هک را راحت‌تر کنند، البته اين روش‌ها و فوروم‌ها تنها براي اين گروه از هکرها شناخته شده مي‌باشد.[3]

2-8-11- شمارش دایرکتوری[3] :

هکرها با آناليز ساختار داخلي فولدرهاي يک وب سايت، به دنبال فولدرهاي پنهان مي‌باشند. شايان ذکر است که امکان دارد اين فولدرها داراي اطلاعات مربوط به مديريت سايت باشد، که يک هکر به محض شناسايي آنها به سوء استفاده خواهد پرداخت.[3]

2-9- مهندسی اجتماعی:

یکی از سخت‌ترین کارها، دفاع در مقابل حملات گفته شده است، که در واقع سوء استفاده از ادب و سادگی دیگران براي دسترسی به منابع ایمن است. براي مثال، فردي ممکن است تماس بگیرد و بگوید که درحال تعمیریکی از سیستم‌هاي شماست و نیاز به رمز براي ورود به سیستم دارد تا از اتمام تعمیرات