طراحی وب سایت قدرتمند، امن و با کیفیت را با شرکت سایت سازان تجربه کنید !
02188471521 –– 02140881038 –– 09120199386

آیتم های تامین امنیت در طراحی سایت

آیتم های تامین امنیت در طراحی سایت

آیتم های تامین امنیت در طراحی سایت را در این مطلب از سایت سازان مورد بررسی قرار می دهیم تا شما عزیزان بتوانید سایتی امن تر داشته باشید و با خیالی آسوده تر سایتتان را مدیریت کنید.

توسعه ی وب و برنامه های وب به صورت ایمن کار بسیار سختیست. این نکات و آیتم هایی که در این مطلب بیان می شوند، مواردی ضروری هستند که می بایست به آن ها توجه کنید تا از خطرات و مشکلات امنیتی احتمالی پیشگیری کنید.

دیتابیس (Database)

  • از یک سیستم و الگوی رمزگذاری استفاده کنید تا کاربران و اطلاعات حساس را شناسایی کند و از سرقت اطلاعات جلوگیری شود.
  • اگر دیتابیس شما از سیستم رمزگذاری کم هزینه پشتیبانی می کند می توانید از امنیت اطلاعات برروی دیسک استفاده کنید. مطمئن شوید که بک آپ ها به درستی و کاملا رمزگذاری و ذخیره شده اند.
  • از امتیاز مینیمال برای دسترسی به اکانت کاربران استفاده کنید. از اکانت های روت شده در دیتابیس استفاده نکنید و همچنین اکانت های استفاده نشده یا آن هایی که رمز مناسبی ندارند را بررسی کنید.
  • از کدهای امنیتی برای دسترسی ها استفاده کنید. در اپلیکیشن ها کدهای خیلی پیچیده و سخت به کار نبرید.
  • جلوگیری از مسائل و مشکلات مربوط به SQL! به عنوان مثال اگر از NPM استفاده می کنید از npm-mysql استفاده نکنید و به جای npm-mysql2 را به کار بگیرید که از بیانیه های (statement) آماده شده پشتیبانی می کند.

توسعه

  • مطمئن شوید و ضمانت کنید که تمامی اجزای نرم افزار شما برای آسیب پذیری در هر نسخه بررسی شده اند. منظور ما کتاب خانه ها و بسته های  O/S است. این باید به صورت خودکار در پروسه ی CI-CD وجود داشته باشد.
  • از سیستم های توسعه ی امن و معتبر استفاده کنید تا نگران خدمات ارائه شده توسط سیستم نباشید.

احراز هویت (Authentication)

  • مطمئن شوید که تمام پسوردها Hash شده باشند و همچنین از رمزگذاری های مناسب نیز استفاده کنید. هرگز رمزنگاری را خودتان ننویسید و از یک سیستم خوب با مقدار اولیه ی پیش فرض خود آن استفاده کنید.
  • از بهترین اقدامات و اطلاعات و اجزای اثبات شده برای ورود استفاده کنید.
  • از قوانین ساده اما کافی برای پسوردها استفاده کنید تا کاربران تشویق شوند که از پسوردهای طولانی و تصادفی استفاده کنند.
  • از سیستم های احراز هویت چند مرحله ای برای شناسایی و تایید کاربران استفاده کنید.

حفاظت از سرویس

  • مطمئن شوید که حمله های DOS به APIهای شما باعث مختل شدن عملکرد سایتتان نمی شود. حداقل محدودیت های سرعت را در مسیر API های کندتر و API های مربوط به احراز هویت خود مانند ورود به سیستم داشته باشید.
  • محدودیت های منطقی برای حجم و نوع درخواست های کاربران در نظر بگیرید.
  • از DOS توزیع شده استفاده کنید، از یک سیستم جهانی caching پروکسی استفاده کنید.

ترافیک وب

  • از TLS برای تمام سایت استفاده کنید نه فقط فرم های ورودی! همچنین از هدرهای سخت گیرانه و امنیتی جابجایی برای تمامی درخواست ها در سایت های HTTPS استفاده کنید.
  • کوکی ها باید httpOnly باشند و با مسیر و دامنه محدود شوند.
  • از CSP استفاده کنید و اجازه ی استفاده از هیچ راه دیگری را ندهید.
  • از X-Frame-Option و X-XSS-Protection در پاسخ به مشتری استفاده کنید.
  • از HSTS  استفاده کنید تا فقط TLS دسترسی داشته باشد.
  • تمام درخواست ها در سرور را از HTTP به HTTPS ریدایرکت کنید.
  • از نشانه های CSRF استفاده کنید و همچنین از پاسخ گویی SameSite Cookie در هدرها استفاده کنید که CSRF را یکبار برای همه ی مرورگرها فیکس می کند.

APIها

  • اطمینان حاصل کنید که هیچکدام از منابع در APIها قابل شمارش نیستند!
  • مطمئن شوید که هر کاربر برای استفاده از APIهای شما شناسایی شده و امکان و اجازه ی دسترسی به آن ها را دارد.
  • از تست canary استفاده کنید تا درخواست های غیرمجاز و غیرطبیعی را تشخیص دهید و از حملات پیشگیری کنید.

اعتبار سنجی و رمزگذاری

  • انجام تایید ورودی مشتری برای بازخورد سریع کاربر! اما هرگز به آن اعتماد نکنید. قبل از نمایش، همیشه ورودی کاربر را تایید و کد گذاری کنید.
  • تمامی اقدامات و ورودی های کاربر را در لیست سفید سرور ثبت کنید و پس از تایید برای اعمال به SQL بفرستید! هرگز اطلاعات سمت کاربر را به طور مستقیم و بدون تایید به سمت سرور نفرستید.

پیکربندی ابری

  • مطمئن باشید که تمامی سرویس ها حداقل درگاه های پذیرنده را در حالت آماده به دریافت دارند.
    این نکته را در نظر داشته باشید که ناشناخته بودن در بعضی مواقع بهتر است! استفاده از درگاه های ناشناخته کار را برای هکرها کمی سخت تر می کند.
  • اطلاعات درونی هاست و سرویس ها نباید به صورت عمومی نمایش داده شوند! در زمان پیکربندی AWS و تنظیم VPCها بسیار با دقت عمل کنید تا از نمایش عمومی سرویس جلوگیری شود.
  • یک سرویس ایزوله در VPCهای جداگانه برای فراهم کردن ارتباط درونی سیستم داشته باشید.
  • اطمینان حاصل کنید که تمامی سرویس ها فقط از IP تنظیم شده و امن اطلاعات دریافت می کنند.
  • برای کوچک کردن APTها و استقرار، IPهای برونگرا و درگاه های ترافیک را محدود کنید.
  • همیشه از قوانین و قواعد AWS IAM استفاده کنید و اطلاعات روت شده را هرگز به کار نبرید.
  • از دسترسی های محدود برای توسعه دهندگان و کارکنان استفاده کنید.
  • پسوردها و کلیدهای دسترسی را با یک برنامه ی منظم تغییر دهید.

زیرساخت

  • بررسی کنید که برای آپدیت و به روز رسانی ها مشکلی نداشته باشید.
  • شرایطی ایجاد کنید که تمامی زیرساخت ها از ابزاری مانند Terraform استفاده کنند، اما نه به عنوان یک کنسول ابری! زیرساخت باید به عنوان یک کد شناخته شود و با فشردن یک دکمه قابلیت بازسازی داشته باشد.
  • از ورود به سیستم های متمرکز استفاده کنید. شما هیچوقت نباید برای دسترسی و بازیابی به SSH نیاز داشته باشید.
  • هرگز از SSH استفاده نکنید مگر برای یک تشخیص! استفاده از SSH به معنای آن است که شما کارها و اقدامات لازم را به صورت خودکار انجام نداده اید.
  • درگاه 22 را برای همه ی گروه های سرویس AWS باز نگذارید. اگر از SSH استفاده می کنید از کلیدهای احراز هویت عمومی استفاده کنید و رمز ها را مورد استفاده قرار ندهید.
  • از هاست های تغییر ناپذیر به جای سرورهای پَچ و آپدیت شده استفاده کنید.
  • از یک سیستم تشخیص نفوذ برای کوچک کردن APTها استفاده کنید.

اقدامات پایانی

  • سرورها و امکانات بدون استفاده را خاموش کنید.
  • طراحی و پیاده سازی خود را بررسی کنید.
  • سیستم را تست کنید. خودتان را هک کنید. (توسط خودتان یا یک شخص آشنا و قابل اعتماد انجام شود)
  • کارمندان خود را از خطرات و تکنیک هایی که استفاده می شود آگاه کنید و به آن ها آموزش دهید! (این کار در رابطه با کارمندان ارشد حتما باید انجام شود)
  • یک مدل داشته باشید تا بدانید شما درحال مقاومت و مبارزه با چه چیزی هستید! در این مدل تهدیدها و افراد تهدید کننده باید مشخص و اولویت بندی شده باشند.
  • یک نقشه ی برنامه ریزی شده و تست شده برای روزهای بحرانی داشته باشید. یک روز ممکن است به آن احتیاج داشته باشید.

 

کاربران گرامی در اینجا این مطلب با عنوان آیتم های تامین امنیت در طراحی سایت به پایان رسید و ما امیدواریم این چک لیست امنیت سایت برای شما مفید بوده باشد.

تیم حرفه ای سایت سازان با ارائه خدمات طراحی سایت و سئو و بهینه سازی آماده ی ارائه ی مشاوره و پذیرش سفارش های شما در این زمینه ها می باشد. جهت مشاوره ، برآورد هزینه و ثبت سفارش می توانید از طریق صفحه ی تماس با ما اقدام نمایید.

نوشته های مرتبط

دیدگاه ‏خود را بنویسید