خطرات Authentication Bypass یا دور زدن اعتبارسنجی
مقاله 27 مهر 1401 ساعت 10:09

آسیب پذیری Authentication Bypass یا دور زدن اعتبارسنجی

صاحبان وب سایت های وردپرسی می دانند که امنیت سایت در اولویت قرار دارد و اگر اقدامات لازم را انجام ندهند، ممکن است در برابر حملات آسیب‌پذیر شوند. حفظ پروتکل های امنیتی مناسب در سایت وردپرسی، کار آسانی نیست. حتی بزرگ‌ترین سایت‌ هایی که از وردپرس استفاده می‌کنند، اغلب با مشکلاتی همانند هک و حملات مخرب روبرو هستند اما هکرها فقط سایت های بزرگ را هدف قرار نمی دهند. در واقع، هکرها اغلب از سایت‌های کوچک‌تر سواستفاده می‌کنند، زیرا می‌دانند که پروتکل‌های امنیتی در اینگونه سایت ها اغلب نادیده گرفته می‌شوند و دسترسی غیرمجاز به آنها آسان‌تر است. یک آسیب‌پذیری "Authentication Bypass" یا "دور زدن اعتبارسنجی"، مانند یک ورودی به وب سایت شما خواهد بود که یک هکر می تواند از آن سواستفاده کند.

Authentication Bypass یا دور زدن اعتبارسنجی یک نقص امنیتی رایج در سایت وردپرسی

تصویر(1)

آسیب پذیری Authentication Bypass یا دور زدن اعتبارسنجی چیست؟

به طور خلاصه، این نقص امنیتی از مکانیسم های احراز هویت ضعیف سواستفاده می کند تا به هکر اجازه دسترسی به سیستم ها و داده های شما را بدهد. هکرهای ماهر به دنبال فایل‌های محافظت نشده می‌گردند تا به آنها دسترسی پیدا کرده و اطلاعات را جمع‌آوری کنند. سپس با دور زدن کامل سیستم اعتبارسنجی، سعی در هک کردن برنامه‌های محافظت شده دارند. صاحبان سایت هایی که یک سیاست دسترسی قدرتمند تعیین نکرده باشند و کنترل کاملی روی اعتبارسنجی اعمال نکنند، به هکر اجازه می دهند تا آنها را دور بزند.

گاهی اوقات، حتی یک برنامه محافظت شده نیز ممکن است شامل فایل های نا امن باشد. به عنوان مثال، پوشه اصلی یک برنامه می تواند ایمن باشد اما پوشه های دیگر بدون هیچ گونه ایمنی در برابر هکرها، در دسترس قرار گیرند. به طور مشابه، سایت هایی که محافظت می شوند می توانند شامل پوشه هایی باشند که فاقد اعتبار سنجی هستند. شایان ذکر است که اکثر وب سایت ها از پایگاه داده و اسکریپت های بک اند برای اعتبارسنجی استفاده می کنند. علاوه بر این، اعتبارسنجی مبتنی بر فرم از طریق مرورگر سمت کاربر یا از طریق پارامترهای ارسال شده از طریق مرورگر، اجرا می شود.

تنها نیاز است تا هکر مقادیر موجود در فرم ها یا پارامترها را برای Authentication Bypass یا دور زدن اعتبارسنجی، دستکاری کند. بسیاری از مدیران سایت‌های وردپرسی، قبل از انتشار عمومی سایت‌، اسکریپت خود را آزمایش نمی‌کنند که همین امر باعث می‌شود اطلاعات آنها برای حمله هکرها در دسترس باشد.

استفاده از رمز عبور ساده آغاز یک Authentication Bypass یا دور زدن اعتبارسنجی است

تصویر(2)

محافظت از خود در برابر Authentication Bypass

برای محافظت کامل در مقابل حملات Authentication Bypass یا دور زدن اعتبارسنجی، بروز نگه داشتن تمامی برنامه ها، سیستم ها و نرم افزارهای سایت، بسیار مهم است.

فراتر از اینها، به موارد زیر نیاز خواهید داشت:

  • یک سیاست اعتبارسنجی قدرتمند و ایمن مانند گذرواژه قوی و 2FA داشته باشید.
  • از تمام پوشه ها، برنامه ها و سیستم ها، با استفاده از رمز عبور محافظت کنید.
  • تمامی رمزهای پیش فرض را با رمزهای منحصر به فرد و قدرتمند جایگزین نمایید.
  • مطمئن شوید که در سایت شما، کوکی‌ها و شناسه‌های سشن کاربر از طریق SSL رمزگذاری می شوند.
  • تمام ورودی های کاربران به سرور را اعتبارسنجی کنید.

آیا استفاده از وردپرس شما را در معرض خطر قرار می دهد؟

همانطور که می دانید سیستم مدیریت محتوای وردپرس، متن باز است. بدان معنی که دانلود و استفاده از آن، 100% رایگان می باشد. آیا این به معنای نا امن بودن وردپرس است؟ نرم افزار وردپرس، به خودی خود، هیچ گونه پروتکل امنیتی که از شما در برابر هکر ها و حملات مخرب محافظت کند، در اختیارتان قرار نمی دهد. به همین دلیل، دانلود و نصب یک افزونه امنیتی قدرتمند در وردپرس، بسیار مهم است تا به طور کامل سایت را در برابر هر نوع ورودی غیرمجاز، محافظت نماید.

به این نکته توجه داشته باشید که وقتی از نرم‌افزار متن‌باز استفاده می کنید، مانند نرم‌افزار اصلی وردپرس و هزاران افزونه و قالب رایگان، آنها برای هکرها نیز به طور رایگان در دسترس هستند و می دانند که چگونه از آنها استفاده کنند.

به عنوان مثال، هر شخصی که سعی در حمله به وب سایت شما دارد، از URL صفحه ورود و همچنین نام کاربری پیشفرض مدیر، آگاه است. یافتن نام کاربری ادمین شما نیز بسیار آسان می باشد. هر زمان که در سایت خود پست منتشر می کنید، نام کاربری شما به عموم نمایش داده می شود. به این ترتیب، یک هکر که در تلاش است به سایت شما دسترسی پیدا کند، صرفا باید رمز عبورتان را حدس بزند و این آغاز یک Authentication Bypass یا دور زدن اعتبارسنجی خواهد بود.

اما این تنها راهی نیست که هکرها قادر به دسترسی غیرمجاز به سایت شما هستند. آنها از نقص امنیتی نرم افزارهایی که نصب کرده اید، از جمله افزونه ها و قالب ها نیز سوء استفاده خواهند کرد.

چرا امنیت وب سایت وردپرس بسیار مهم است؟

بر اساس گزارشی از WPBeginner، گوگل به بیش از 50 میلیون کاربر در مورد وب سایت هایی که احتمالا حاوی بدافزار هستند هشدار داده است. این آمار به تنهایی می تواند مقیاس عظیم وب سایت های آلوده را در سراسر وب نمایش دهد. اگر وب سایت شما نیز در این گروه قرار گیرد، باید بدانید که به شدت روی رتبه بندی آن تاثیر منفی خواهد داشت. وقتی این اتفاق می افتد، مشکلات شما دو برابر خواهد شد. اکنون سایت شما آلوده شده و در عین حال توسط گوگل شناسایی شده است. رهایی از این نقص امنیتی دشوار خواهد بود، حتی پس از اینکه سایت خود را پاکسازی کردید.

1. همیشه بروز رسانی ها را انجام دهید

یکی از مهم ترین اقداماتی که می توانید برای ایمن نگه داشتن سایت وردپرسی خود انجام دهید این است که به طور مرتب بروزرسانی های لازم را انجام دهید. این مورد شامل بروز نگه داشتن قالب وردپرس و افزونه ها می باشد. از سوی دیگر لازم است اطمینان حاصل کنید که همیشه از آخرین نسخه وردپرس استفاده می کنید.

آپدیت افزونه راهی کاربردی برای Authentication Bypass یا دور زدن اعتبارسنجی

تصویر(3)

به یاد داشته باشید، وب سایت هایی که از نسخه های قدیمی استفاده می کنند بسیار راحت تر هک می شوند زیرا ربات‌ها و بدافزارها به طور مداوم توسعه می‌یابند. دقیقاً به همین دلیل، وردپرس به طور مکرر بروزرسانی‌ها را منتشر می‌کند. هدف این است که امنیت را افزایش داده و دسترسی به سایت های بروز شده را برای هکرها دشوارتر نماید.

2. از رمزهای دشوار استفاده کنید

ممکن است این مورد مانند یک توصیه به نظر برسد اما بسیاری از مدیران سایت های وردپرسی، هنوز از رمزهایی استفاده می کنند که حدس زدن آنها بسیار آسان می باشد. استفاده از رمزهای پیچیده که نتوان آنها را حدس زد، بسیار مهم می باشد.

رمز عبور دشوار Authentication Bypass یا دور زدن اعتبارسنجی را برای هکر سخت تر و وقت گیر تر خواهد نمود.

تصویر(4)

در نتیجه می توانید از یک نرم افزار مدیریت رمز عبور استفاده کنید تا به شما در ایجاد رمز های پیچیده کمک کند و همچنین آنها را ایمن نگه دارد. 

3. به طور منظم از سایت وردپرسی خود بکاپ تهیه نمایید

اگر به صورت مداوم از سایت وردپرس خود نسخه پشتیبان تهیه نمی کنید، پس به امنیت آن اهمیت نمی دهید. تهیه بکاپ از سایت، به شما این امکان را می‌دهد که اگر بدترین حالت ممکن اتفاق بیفتد، به سادگی سایت خود را مجدداً به حالت قبلی باز گردانید. چند نمونه از افزونه های بکاپ گیری وردپرس در لینک زیر معرفی شده اند:

معرفی 7 افزونه کاربردی بکاپ گیری در وردپرس

4. از یک افزونه امنیتی وردپرس استفاده کنید

به افزونه ای نیاز دارید که از شما در مقابل نقص های امنیتی وردپرس و همچنین حملات Authentication Bypass یا دور زدن اعتبارسنجی دفاع کند.

استفاده از افزونه های امنیتی وردپرس برای جلوگیری Authentication Bypass یا دور زدن اعتبارسنجی

تصویر(5)

این افزونه ها، سایت شما را از نظر نقص های امنیتی و بدافزارهای شناخته شده اسکن کرده و به شما این امکان را می‌دهند تا احراز هویت دو مرحله‌ای را فعال کنید.

5. از فایروال نرم افزار تحت وب (WAF) استفاده کنید

فایروال به عنوان یک مانع بین کاربران و سایت است. فایروال نرم افزار تحت وب (WAF) با بررسی و فیلتر کردن ترافیک بین هر نرم افزار تحت وب و اینترنت، به محافظت از آنها کمک می کند. یک WAF می تواند به دفاع از نرم افزار تحت وب در برابر حملاتی مانند جعل درخواست بین سایتی (CSRF)، اسکریپت بین سایتی (XSS)، تزریق فایل و SQL کمک نماید.

6. از گواهی SSL استفاده کنید

استفاده از SSL در سایت وردپرس موجب می گردد که یک قفل در بالای سایت و در کنار نام دامنه نمایش داده شود. این ویژگی به کاربران اطلاع می دهد که سایت شما کاملاً رمزگذاری شده و هر اطلاعاتی که آنها آپلود می کنند به صورت رمزگذاری شده است و در مقابل دسترسی افراد متفرقه، محافظت می شود.

اگر می خواهید یک سایت قابل اعتماد راه اندازی کنید، استفاده از SSL الزامی است. همچنین توجه داشته باشید که گوگل سایت های دارای SSL را در اولویت قرار می دهد.

کاربران نیز نباید از وب سایتی که گواهینامه SSL ندارد، خرید انجام دهند. در این نوع سایت ها، هکرها به راحتی می توانند جزئیات کارت اعتباری را به دست آورند.

7. تعداد تلاش های ورود را محدود کنید

ربات ها طوری برنامه ریزی شده اند که بارها و بارها برای ورود به سایت تلاش کنند تا زمانی که رمز عبور صحیح را بیابند. اگر نتوانند این کار را انجام دهند، به سراغ سایت بعدی می روند.

به همین دلیل، بسیار حائز اهمیت است که تعداد تلاش برای ورود به سیستم را محدود کنید تا از دسترسی غیرمجاز آدرس IP هایی که قصد نفوذ دارند، جلوگیری شود. به یاد داشته باشید که اگر رمز عبور خود را فراموش نمایید و تلاش زیادی برای ورود به سیستم انجام دهید، آی پی شما نیز مسدود خواهد شد و برای انجام تنظیمات لازم باید به پایگاه داده دسترسی داشته باشید.

نتیجه گیری

احراز هویت نقشی حیاتی در امنیت یک نرم افزار تحت وب دارد. هنگامی که اطلاعات ورود به سیستم را برای احراز و اثبات هویت خود وارد نمودید، با توجه به سطح دسترسی تعریف شده، امتیازات خاصی به شما اختصاص داده می شود. هنگامی که یک هکر به یک نرم افزار یا سیستم نفوذ می کند، می تواند به تمام امتیازات اختصاص داده شده توسط مدیر به آن کاربر، دسترسی داشته باشد. این دسترسی می تواند داده های حساس کاربران را به خطر بیاندازد و خطرات جدی برای آنها ایجاد نماید. مجرمان سایبری از حمله Authentication Bypass یا دور زدن اعتبارسنجی برای انجام این عملیات استفاده می کنند.

در نتیجه با انجام نکاتی که در این مقاله ذکر شد، می توانید تا حد زیادی دسترسی هکرها را به سایت تان دشوار نمایید و از اطلاعات خود در برابر آنها محافظت کنید.

برچسب‌ها:
اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *