اتفاقات روزمره ، اخبار مهم و دیگر مطالب میهن وب هاست را می توانید در این قسمت مطالعه کنید

هنگامی که صحبت از محافظت از وب سایت در برابر عوامل مخرب به میان می آید، تهدید مهمی وجود دارد که باید از آن آگاه باشید. این تهدید با نام حملات تزریقی شناخته می شود. حملات تزریق نقاط ضعف امنیت وب سایت شما را هدف قرار می دهند و متاسفانه کاملا رایج هستند. در واقع سازمان OWASP حملات تزریقی را به عنوان سومین خطر مهم برای امنیت وب و اپلیکیشن ها عنوان می کند. در این مقاله پیرامون خطرناک ترین حملات تزریق اطلاعات کافی در اختیارتان قرار داده می شود.

نکته: OWASP یا Open Worldwide Application Security Project یک انجمن آنلاین است که مقالات، متدولوژی ها، اسناد، ابزارها و فن آوری های رایگان را در زمینه امنیت برنامه های کاربردی تحت وب تولید می کند.

به بیان ساده تر، حملات تزریق زمانی رخ می دهند که هکرها راهی برای نفوذ به داده ها یا دستورات موجود در فایل های وب سایت شما پیدا می کنند. این کار به روش های مختلفی قابل انجام است. یکی از روش های نفوذ، استفاده از فرم های ورود و سایر فرم های موجود در سایت ها می باشد که اطلاعات آنها بدون تایید و اعتبار سنجی در دیتابیس ذخیره می شوند.

نوع آسیب وارد شده به سایت شما از خطرناک ترین حملات تزریق، به اهداف مهاجم و آسیب پذیری که از آن سو استفاده می کنند بستگی دارد. هکرها ممکن است سعی کنند به پایگاه داده وب سایت شما دسترسی پیدا کرده، در نحوه عملکرد سایت شما اختلال ایجاد نمایند، اقدامات امنیتی را دور بزنند یا حتی کنترل کامل وب سایت شما را به دست بگیرند. پیامدهای یک حمله تزریق موفق می تواند منجر به از بین رفتن داده ها و غیرقابل استفاده شدن سایت شوند. بنابراین، به عنوان مدیر وب سایت، ضروری است که از خطرناک ترین حملات تزریق آگاه بوده و اقداماتی برای جلوگیری از رخ دادن آن ها در سایت خود انجام دهید.

تصویر(1)

Cross-site scripting

هنگامی که یک وب سایت یا برنامه تحت وب، اطلاعاتی را از کاربر گرفته و بدون بررسی و تایید داده های ورودی، آنها را اجرا می کند، می تواند روزنه ای برای مجرمان سایبری ایجاد نماید تا کد مخرب را وارد سایت کنند. این نوع حمله که با نام Cross-Site Scripting یا XSS شناخته می شود، به هکرها اجازه می دهد اسکریپت های مخرب را در وب سایت های معتبر وارد کنند و در نهایت باعث مشکلات امنیتی برای کاربران سایت شوند. حملات XSS به طور کلی به دو دسته اصلی stored و reflected تقسیم می شوند:

۱. Reflected XSS: در این روش هکر با استفاده از نقاط ضعف در وبسایت ها، کد مخرب خود را در فرم ها، لینک ها، فیلد جستجوی سایت، یا هر نوع فرم ارتباطی دیگر که از داده های کاربران استفاده می کند، قرار می دهد. در حملات Reflected XSS، کاربران برای دسترسی به صفحه وب خاص، یک درخواست HTTP ارسال می کنند. وب سرور درخواست را پردازش کرده و آن را به صورت Reflected (برگشتی) در صفحه پاسخ به کاربر نمایش می دهد. در اینجا، کاربر ممکن است با کلیک روی یک لینک یا ورود اطلاعات حساس، کد مخرب را اجرا کند.

۲. Stored XSS: در این نوع حمله از مجموعه خطرناک ترین حملات تزریق، کد مخرب توسط مهاجم در یک محتوای قابل ذخیره در وب سایت، مانند نظرات کاربران یا پیام‌های ارسالی، قرار داده می‌شود. اگر کاربری این محتوا را مشاهده کند، کد مخرب اجرا خواهد شد. این نوع حمله خطرناک‌تر از Reflected XSS است زیرا می‌تواند تمام کاربران را هدف قرار دهد. Reflected XSS فقط برای کاربر خاصی که درخواست را ارسال کرده است، خطرناک می باشد.

تصویر(2)

SQL injection

SQL یا Structured Query Language یک زبان برنامه نویسی است که برای برقراری ارتباط با پایگاه های داده جهت انجام اقدامات مختلف مانند بازیابی، حذف و ذخیره داده ها استفاده می شود. متاسفانه، مهاجمان می توانند از این زبان برای دسترسی غیرمجاز به داده های شما از طریق حملات SQL injection) SQLi) سوء استفاده کنند. به همین دلیل آن را در دسته خطرناک ترین حملات تزریق قرار می دهند. این حملات معمولاً زمانی اتفاق می‌افتند که یک هکر با وارد کردن کدهای مخرب در فیلدهای ورودی فرم های موجود در سایت، بخش‌ نظرات یا سایر قسمت‌های قابل دسترس کاربران، کوئری های SQL را در یک برنامه تحت وب دستکاری می‌کند.

هنگامی که یک مهاجم با موفقیت یک کوئری SQL را دستکاری می کند، می تواند از آسیب پذیری ها در مراحل احراز هویت و تایید اعتبار یک برنامه تحت وب سوء استفاده کند. در صورت موفقیت آمیز بودن، پایگاه داده SQL دستورات مخرب تزریق شده توسط مهاجم را اجرا می کند. بسته به نوع تزریق SQL، مهاجم می تواند داده ها را از پایگاه داده بخواند، تغییر و اضافه یا حذف کند که به طور بالقوه باعث آسیب جدی به وب سایت و کاربران آن می شود.

برای اجرای یک حمله تزریق SQL، هکر یک اسکریپت SQL را در فیلد ورودی متن وارد می کند. سپس این اسکریپت به برنامه تحت وب ارسال می شود. برنامه، بدون اطلاع از ماهیت مخرب بودن اسکریپت، آن را مستقیماً در پایگاه داده اجرا می کند. این کار می تواند منجر به طیف وسیعی از نتایج مخرب، مانند اجازه دادن به مهاجم برای دور زدن صفحه ورود به سیستم، دسترسی به داده های حساس، تغییر یا تخریب اطلاعات پایگاه داده یا حتی انجام عملیات اجرایی در پایگاه داده شود.

تصویر(3)

Remote code execution

اجرای کد از راه دور (RCE) که به عنوان آسیب‌پذیری تزریق کد نیز شناخته می‌شود، زمانی اتفاق می‌افتد که مهاجمان کد برنامه خود را در وب‌سایت شما با موفقیت وارد کرده و باعث اجرای آن در سرور می شوند. به عنوان مثال، اگر وب سایت شما با استفاده از PHP طراحی شده باشد، هکرها می توانند کدهای مخرب PHP را به فایل های سایت تزریق کنند و در نهایت توسط کامپایلر PHP اجرا می شود.

روش های رایج RCE عبارتند از:

تزریق کد: در این نمونه از خطرناک ترین حملات تزریق، مهاجمان کدهای مخرب را از طریق فیلدهای ورودی، پارامترهای کوئری یا سایر نقاط ورود داده توسط کاربر به یک وب سایت یا برنامه، تزریق می کنند. سپس این کد توسط سرور اجرا شده که منجر به حملات RCE می شود.

آسیب‌پذیری‌های آپلود فایل: اگر یک وب‌سایت به کاربران اجازه می‌دهد فایل‌ها را بدون اعتبارسنجی مناسب آپلود کنند، مهاجم می‌تواند یک اسکریپت مخرب را به عنوان یک تصویر یا هر فرمت دیگری، در آن قرار داده و آپلود کند. پس از آپلود، مهاجم می تواند اسکریپت را برای اجرای RCE آماده نماید.

آسیب پذیری های نرم افزارهای شخص ثالث: وب سایت ها اغلب از پلاگین ها، تم ها یا سایر اجزای نرم افزارهای شخص ثالث استفاده می کنند. اگر این ابزارها ها به طور منظم بروز نشوند یا دارای نقص های امنیتی شناخته شده باشند، مهاجمان می توانند از آنها برای دستیابی به RCE سوء استفاده کنند.

پیکربندی نادرست سرور: سرورهای با پیکربندی ضعیف می توانند به مهاجمان اجازه سوء استفاده از ضعف های امنیتی، مانند مجوزهای ضعیف برای فایل یا رابط های مدیریتی در معرض خطر، برای دستیابی به دسترسی غیرمجاز و اجرای کد از راه دور بهره برداری کنند.

تصویر(4)

Host header injection

Host header injection نوعی دیگر از خطرناک ترین حملات تزریق است که شامل افزودن یا اصلاح Host header در یک درخواست HTTP به منظور فریب دادن وب سرور برای پردازش درخواست به روشی غیر منتظره است. Host header یک فیلد اجباری در درخواست HTTP است که نام دامنه یا آدرس IP سروری که کلاینت با آن در ارتباط می باشد را مشخص می کند. سرور از آن برای تعیین میزبان مجازی یا وب سایتی که کلاینت درخواست کرده است، استفاده می کند. در حمله تزریق Host header، مهاجم هدر میزبان را دستکاری می کند تا به دامنه ای متفاوت از دامنه مورد نظر اشاره کند. این آسیب پذیری می تواند به مهاجم اجازه فعالیت های زیر را بدهد:

• دور زدن کنترل های امنیتی که به نام دامنه در هدر Host متکی هستند
• انجام حملات فیشینگ با متقاعد کردن قربانی به تعامل با یک وب سایت غیرقانونی
• بهره برداری از آسیب پذیری ها در وب سرور یا برنامه با دستکاری Host header برای ایجاد رفتار غیرمنتظره.

تصویر(5)

LDAP injection

(Lightweight Directory Access Protocol (LDAP پروتکلی است که برای فعال کردن جستجوی منابع (فایل ها، دستگاه ها یا کاربران) در یک شبکه طراحی شده است. این ابزار برای شبکه های اینترانت بسیار مفید است و وقتی در یک سیستم ورود گنجانده شود، می تواند نام های کاربری و رمز عبور را ذخیره کند. کوئری های LDAP از کاراکترهای کنترلی خاصی استفاده می کنند که بر عملکرد آن تأثیر می گذارد. اگر مهاجمان بتوانند کاراکترهای کنترلی را در یک کوئری LDAP وارد کنند، ممکن است رفتار مورد نظر را تغییر دهند. در حمله تزریق LDAP که نمونه ای از خطرناک ترین حملات تزریق می باشد، مهاجم ورودی مخربی را به برنامه تحت وب ارسال می کند که به درستی تایید نشده است. سپس می توان از این ورودی برای اصلاح یا دور زدن کوئری های LDAP استفاده شده توسط برنامه، احراز هویت کاربران یا دسترسی به خدمات دایرکتوری استفاده کرد.

حملات تزریق LDAP می تواند منجر به خطراتی مختلفی شود، از جمله:

• به خطر انداختن داده های حساس ذخیره شده در دایرکتوری، مانند اعتبار کاربری یا سایر اطلاعات محرمانه
• به دست آوردن دسترسی غیرمجاز به سیستم یا برنامه
• اجرای کد دلخواه روی سرور

تصویر(6)

XXE injection

تزریق XXE یا XML External Entity زمانی اتفاق می‌افتد که یک وب‌سایت ورودی‌های XML را بدون اقدامات امنیتی مناسب بپذیرد. اگر وب سایت شما اسناد XML را پردازش می کند و از نوع قدیمی DTD ها یا document type definitions با امنیت ضعیف پشتیبانی می کند، مهاجمان می توانند از اسناد XML ساخته شده، برای حملات مختلف استفاده کنند. برخی از اقداماتی که یک مهاجم می تواند با سوء استفاده از آسیب پذیری های تزریق XXE انجام دهد عبارتند از:

• دسترسی به فایل های حساس روی سرور یا سایر سیستم های قابل دسترسی از طریق سرور
• بازیابی داده ها از سیستم های داخلی یا خارجی از طریق درخواست های HTTP
• اجرای کد دلخواه روی سرور یا سیستم های دیگر
• انجام حملات DoS با ارسال درخواست های بیش از حد به سرور

برخلاف برخی از حملات دیگر که از اعتبار ضعیف فرم های ورود سوء استفاده می‌کنند، تزریق‌های XXE از ویژگی‌های ناامن قدیمی در مفسرهای XML بهره می‌برند و آنها را خطرناک می‌سازند. بنابراین، جلوگیری از حملات تزریق XXE با اجرای اقدامات امنیتی مناسب و پیروی از بهترین شیوه ها در هنگام کنترل ورودی XML بسیار مهم است. برای محافظت از وب سایت خود در برابر تزریق XXE، چندین مرحله وجود دارد که می توانید انجام دهید. ابتدا باید پشتیبانی از DTD ها یا حداقل external entities را غیرفعال کنید. این کار می تواند به طور قابل توجهی خطر حملات تزریق XXE را کاهش دهد، زیرا external entities می توانند برای بارگذاری محتوای مخرب در وب سایت شما استفاده شوند.

علاوه بر این، برای جلوگیری از پذیرش اسناد XML مخرب توسط وب سایت خود، باید ورودی کاربر را اعتبارسنجی و ایمن کنید. اینکار را می توان با اجرای روش های اعتبار سنجی ورودی و پاکسازی، مانند حذف یا رمزگذاری کاراکترهای خاصی که ممکن است برای تزریق کد مخرب استفاده شوند، انجام داد. باید بیان نمود که خطرناک ترین حملات تزریق می توانند سایت شما را به صورت کامل نابود کنند. همچنین باید از تجزیه کننده های XML ایمن استفاده کنید که در برابر تزریق XXE آسیب پذیر نیستند. مانند تجزیه کننده های مدرن که دارای محافظت داخلی در برابر این نوع حمله هستند. این روش می تواند اطمینان حاصل کند که حتی اگر یک سند XML مخرب توسط وب سایت شما پذیرفته شود، نمی تواند از هیچ آسیب پذیری در تجزیه کننده سوء استفاده کند.

تصویر(7)

(Server-side template injection (SSTI

تزریق قالب سمت سرور (SSTI) نوعی حمله است و زمانی رخ می دهد که یک هکر کد مخرب را به قالب یک وب سایت تزریق می کند و به آنها اجازه می دهد کد دلخواه را روی سرور اجرا کنند. این نوع حمله از  دسته خطرناک ترین حملات تزریق، می‌تواند موجب دسترسی هکر به سیستم مقصد شده، داده‌های حساس را به دست آورد و به سیستم آسیب برساند. برای جلوگیری از این حملات، باید مطمئن شد که کلیه ورودی‌های دریافتی از کاربران صحیح و معتبر هستند و قابلیت اجرای کد را ندارند. همچنین باید ورودی‌های کاربران بررسی و فیلترینگ داده‌های دریافتی صورت گیرد و کدهای خطرناک حذف شوند. برای جلوگیری از SSTI بهتر است از کتابخانه‌ها و فریمورک‌های امن استفاده شود که بررسی‌های امنیتی لازم را در برنامه‌های تحت وب انجام می‌دهند.

برخی از موتورهای قالب محبوب عبارتند از Liquid برای Ruby، Smarty و Twigs برای PHP، Tornado، JINJA، و Mako برای Python، Velocity و Freemaker برای جاوا و Jade و Rage برای جاوا اسکریپت. حملات SSTI بسیار خطرناک هستند زیرا به مهاجمان اجازه می‌دهند کد دلخواه را روی سرور اجرا کرده و به طور بالقوه به داده‌های حساس دسترسی پیدا کنند و کنترل کل سیستم را در دست بگیرند.

تصویر(8)

CRLF injection

تزریق CRLF یا Carriage Return Line Feed که نمونه ای دیگر از خطرناک ترین حملات تزریق می باشد، زمانی اتفاق می افتد که یک مهاجم کاراکترهای غیرمنتظره CRLF را به داده‌های ورودی اضافه می‌کند. CR و LF نویسه‌های خاصی هستند که به‌درستی پاکسازی یا فیلتر نشده‌اند. کاراکترهای CRLF به صورت زیر می باشند. در بسیاری از سیستم‌ها، این دو کاراکتر به عنوان جداکننده بین خطوط بکار می‌روند:

"\r" (carriage return) و "\n" (line feed)

به عنوان مثال، هکر می‌تواند با درج کاراکترهای CRLF، بخشی از درخواست HTTP را تغییر دهد و مثلاً دسترسی به یک فایل حساس در سرور را به دست آورد. همچنین این نوع حمله می‌تواند به تزریق پیام‌های مخرب در سایت و نمایش پیام‌های تقلبی و... منجر شود. برای جلوگیری از این نوع حمله، باید در ورودی‌های دریافتی از کاربران، کاراکترهای خط جدید و CRLF به صورت صحیح بررسی و فیلتر شوند. بهتر است در ورودی‌هایی که به عنوان پارامترهای درخواست HTTP استفاده می‌شوند، از تابع‌هایی مانند urlencode استفاده کرد تا کاراکترهای خط جدید و CRLF به صورت ایمن درخواست شوند. همچنین برنامه‌های تحت وب باید به صورت منظم بروز رسانی شوند تا از آسیب پذیری‌های مربوط به CRLF injection و سایر حملات امنیتی جلوگیری گردد.

تصویر(9)

Mail command injections

Mail command injection نوعی حمله است که سرورهای ایمیل و برنامه‌هایی را هدف قرار می‌دهد که از پروتکل‌های IMAP یا SMTP استفاده می‌کنند و نمی‌توانند ورودی کاربر را به درستی تأیید کنند. در مقایسه با وب سرورها، سرورهای IMAP و SMTP اغلب فاقد تدابیر امنیتی قوی هستند که آنها را در برابر حملات، آسیب پذیرتر می کند. با نفوذ به سرور ایمیل، مهاجمان می توانند ویژگی های امنیتی مانند کپچا و محدودیت های ارسال درخواست را دور بزنند. برای انجام یک حمله Mail command injection، مهاجم ابتدا به یک حساب ایمیل معتبر نیاز دارد که می تواند از آن برای ارسال پیام های حاوی دستورات تزریق شده استفاده کند. اگر سرور آسیب پذیر باشد، به این درخواست ها پاسخ داده و به مهاجم اجازه می دهد محدودیت های سرور را دور بزند و از خدمات آن برای اهداف مخرب مانند ارسال ایمیل های اسپم استفاده کند.

علاوه بر تزریق SMTP، مهاجمان همچنین از تزریق IMAP برای سوء استفاده از برنامه های مدیریت ایمیل، از قابلیت خواندن پیام استفاده می شود. در این حالت، مهاجمان یک URL حاوی دستورات تزریق شده را در نوار آدرس یک مرورگر وب وارد می‌کنند و باعث می‌شوند سرور این دستورات را اجرا کند. عواقب Mail command injection می تواند شدید باشد، از دسترسی غیرمجاز به اطلاعات حساس تا اختلال در سرویس.

تصویر(10)

NoSQL injection attacks

حملات تزریق NoSQL که نمونه دیگر از خطرناک ترین حملات تزریق می باشند، به نوعی از حمله سایبری اشاره دارد که پایگاه‌های داده غیررابطه‌ای را هدف قرار می‌دهد که به زبان کوئری SQL متکی نیستند. پایگاه داده های NoSQL از انواع syntax کوئری های خاص، مانند PHP، جاوا اسکریپت، پایتون یا جاوا استفاده می کنند. حملات تزریق NoSQL زمانی اتفاق می‌افتد که مهاجمان از پردازش ورودی ناامن کاربر سوء استفاده می‌کنند و این کوئری‌ها را دستکاری یا جایگزین کرده و به آن‌ها اجازه می‌دهند به طور بالقوه دستورات مضر را نه تنها در پایگاه داده بلکه در خود برنامه نیز اجرا نمایند.

برخلاف تزریق‌های SQL که فقط بر پایگاه داده تأثیر می‌گذارند، تزریق‌های NoSQL می‌توانند طیف وسیع‌تری از اثرات مخرب را داشته باشند. این اثرات مخرب می‌توانند به طور بالقوه نه تنها به داده‌ها بلکه به هسته برنامه را نیز دسترسی داشته باشند و آن را تغییر دهند. در نتیجه، مهاجمان قادر خواهند بود به داده‌های حساس دسترسی غیرمجاز پیدا کرده، داده‌ها را اصلاح یا حذف کنند، کنترل‌های احراز هویت و مجوز را دور بزنند و حملات اجرای کد از راه دور و سایر اقدامات مضر را انجام دهند.

چگونه می توانید از خطرناک ترین حملات تزریق جلوگیری کنید؟

استفاده از شیوه های کدنویسی ایمن برای محافظت از وب سایت در برابر تزریق ضروری است. استراتژی های زیر می تواند به شما کمک کند تا از وب سایت خود در برابر این تهدیدات محافظت کنید:

1. اعتبارسنجی ورودی های کاربر: یک لیست مجاز از عبارات معتبر ایجاد کنید و ورودی های داده های کاربر را بر اساس آن پیکربندی کنید. اینکار کمک می کند تا اطمینان حاصل شود تنها ورودی های مجاز توسط برنامه تحت وب شما پذیرفته می شوند.
2. استفاده از عبارات آماده شده: استفاده از کوئری های پارامتری شده همراه با عبارات آماده برای تمایز بین کدها و ورودی کاربر. این کار از تفسیر اشتباه ورودی کاربر به عنوان دستور جلوگیری می کند.
3. پیاده‌سازی پروسیجرهای ذخیره‌شده: پروسیجرهایی (procedure) را در پایگاه داده تعریف و ذخیره کنید، که در صورت نیاز بتوان از برنامه تحت وب فراخوانی کرد. این یک لایه امنیتی اضافی را با محدود کردن دسترسی مستقیم به پایگاه داده فراهم می کند.
4. محدود کردن کاراکترهای ویژه: جلوگیری از استفاده از ترکیب رشته با محدود کردن کاراکترهای خاص در ورودی کاربر. این کار خطر تزریق کد مخرب به برنامه شما را کاهش می دهد.
5. فرار از ورودی ارائه شده توسط کاربر: به عنوان آخرین راه حل (طبق OWASP)، از تمام ورودی های ارائه شده توسط کاربران برای جلوگیری از اجرای هر کد بالقوه مضر فرار کنید.
6. سطح حمله را به حداقل برسانید: هر گونه ویژگی یا عملکرد غیر ضروری را که به طور بالقوه می تواند توسط مهاجمان مورد سوء استفاده قرار گیرد، در برنامه خود حذف کنید. با این کار تعداد بخش هایی را که نیاز به محافظت دارند کاهش می دهید.
7. اعمال اصل حداقل دسترسی: دسترسی های لازم را فقط به حساب های کاربری اختصاص دهید و دسترسی های کاربران را به صورت ویژه کنترل کنید. این کار آسیب احتمالی ناشی از یک حساب در معرض خطر را محدود می کند.
8. از فایروال تحت وب استفاده کنید: یک فایروال تحت وب یا WAF می تواند به طور مجازی آسیب پذیری ها را اصلاح کند تا از وب سایت شما در برابر cross-site scripting، حملات RCE، تزریق SQL محافظت کرده و خطرناک ترین حملات تزریق را مسدود کند.
9. از رمزگذاری و هش استفاده کنید: پیاده‌سازی تکنیک‌های رمزگذاری و هش می‌توانند به محافظت از داده‌های حساس در برابر دسترسی یا دستکاری مهاجمان کمک کنند. این مورد شامل رمزگذاری رمزهای عبور، داده‌های حساس در حال انتقال است.
10. اجرای احراز هویت چند عاملی: افزودن یک لایه اضافی از احراز هویت می‌تواند به جلوگیری از دسترسی مهاجمان به حساب‌های کاربری کمک کند، حتی اگر موفق شده باشند اطلاعات ورود را از طریق یک حمله تزریقی به دست آورند.
11. نرم افزار را بروز نگه دارید: برنامه تحت وب و نرم افزار سرور خود را به طور منظم بروز نمایید تا اطمینان حاصل کنید که آسیب پذیری های شناخته شده پچ شده اند و آخرین ویژگی های امنیتی اجرا شده است.
12. آموزش توسعه دهندگان و هر مشارکت کننده ای: آموزش کدنویسی امن و مرور کدهای نوشته شده به توسعه دهندگان و هر شرکت کننده ای می تواند به جلوگیری از حملات تزریق و سایر رخنه های امنیتی کمک کند.

سخن پایانی

مسئولیت جلوگیری از حملات تزریقی بین مدیران وب سایت، توسعه دهندگان برنامه ها و مدیران سرور توزیع می شود. پیامدهای خطرناک ترین حملات تزریق می‌توانند باعث اجرای کدهای مخرب در سرور شده و در برخی موارد حتی منجر به سوء استفاده از حساب‌های مدیریت یا دسترسی کامل به سرور شود. به همین دلیل است که پیروی از بهترین شیوه‌های امنیتی برای کاهش خطرات بسیار حائز اهمیت است.