درود عزیزان
در امنیت لایه 1 نرم افزارهای تحت وب وقتی نفوذگر به اطلاعات ورود به هر صورت دسترسی پیدا میکند نیازمند ورود به پنل مدیریتی برای ارتقای دسترسی و گرفتن شل یا تغییر محتوا میباشد ، اگر صفحات مدیریت در دید عموم باشد هکر با وارد کردن اطلاعات کاربری یا حملات دیکشنری (تکرار پسورد) قادر به ورود به کنترل پنل سیستم میباشد . متاسفانه با توجه به اطلاع رسانی های افرادی همانند ما باز هم برای راحتی کار مدیران و وبسمتران توجهی نمیکنند و باعث رخداد فاجعه میشوند در بررسی های اخیر متاسفانه شاهد باز بودن بسیاری از سایتهای حیاطی کشور بودیم که با وجود اخطار همچنان صفحات ورود باز میباشد .
کارمندانی که توجه ای به نکات امنیتی نمیکنند حتی با سخت ترین پروتکل های امنیتی اهداف دشمن برای به دست آوردن اطلاعات از میهن عزیزمان ایران میباشند .
به طور مثلا فردی رمز خود را بر اساس برند خود گذاشته mysite.com
رمز عبور mysite@123 یا mysite@2022
متاسفانه یا خوشبختانه در سرتاسر اینترنت شاهد چنین پسورد هایی هستیم که اگر صفحه مدیریت باز باشد به راحتی سایت دسترسی میشود .
بیایید آسیب پذیری ها را در نظر بگیریم بطور مثال آسیب پذیری SQL Injection به ما اطلاعات مدیریت را میدهد اما اگر صفحه ورود بسته باشد نفوذگر نمیتواند دسترسی خود را ارتقا دهد .
راههای پیشنهادی برای مسدود سازی صفحات لاگین:
1 تعریف نمایش صفحه با محدودیت ای پی (ورود و نمایش تنها با یک رنج ای پی)
2 تغییر نام صفحات ورود به نامهای بسیار سخت و غیر قابل شناسایی adminiiiiii334096003099452
3 تعریف OTP شماره همراه پس از ورود اولیه
4 قرار دادن یوزر و پسورد بر روی فولدر از طریق directory authentication
دیدگاهتان را بنویسید