یکشنبه, ۷ بهمن, ۱۴۰۳ / 26 January, 2025
جعل هویت در وب به صورت ساده
در زمانهای گذشته سرقتهای بانكی توسط دزدان حرفه ای و با تجربه ای انجام می شد كه سالهای عمر خود را در این راه گذرانده اند و به قول معروف پیر این راه شده اند ولی امروزه دزدی از بانكها توسط افراد زیر ۱۸ سالی انجام می شود كه فقط یك ارتباط تلفنی با اینترنت دارند.
برای فهمیدن این خطر سناریو های زیر را بخوانید :
▪سناریو اول :
مایكل كه یك كارمند ساده می باشد ( كاربر مشروع) برای بررسی حساب بانكی خود(پایگاه داده ) به بانك محلی خود(سرور وب بانك ) می رود و توسط تحویلدار آن (برنامه كاربردی وب ) كارش را انجام داده و بر می گردد.
▪سناریو دوم:
ادوارد (كاربر نامشروع) به همان بانك محلی رفته و از در جلو وارد می شود(پورت ۸۰ ) و خودش را شبیه هر مشتری كه می خواهد می كند !
او حتی به این فكر می كند كه برای سرقت بانك لازم نیست كه از درهای دیگر وارد شود (پورتهای دیگر ) بنابراین از نظر نگهبان جلو در (دیواره آتش) او فرد بی خطری می باشد. او توسط تحویل دار دیگری (برنامه كاربردی وب) سرویس دهی می شود در حالیكه او به دروغ خود را مایكل معرفی كرده است و تحویل دار نیز این را باور كرده است(مدیریت نشست ها (Session Management )) كه او ادوارد نیست و مایكل می باشد. بنابراین به او اجازه می دهد كه به حساب بانكی مایكل دسترسی داشته باشد.سناریو دوم یك حمله واقعی جعل هویت را شرح می دهد كه توسط نگهبان امنیتی (دیواره آتش) نیز قابل شناسایی نمی باشد.
ازدیاد تجارتخانه های الكترونیكی و یا هر چیز دیگری كه توسط اینترنت انجام می شود باعث شده است حملات به آنها از دنیای واقعی به دنیای مجازی نفوذگران تغییر مكان دهد.
نتیجه چنین حملات جعل هویتی در برنامه های كاربردی وب ( كه در دنیای نفوذگران به حملات جعل هویت[۲] معروف است ) باعث آشكار شدن اطلاعات و هویت افراد و پس از آن دستبرد و دزدی سرمایه های آنها در وب می باشد.
به علت ضعف دیواره های آتش در تشخیص چنین حملاتی باعث شده است كه اینگونه حملات مورد توجه بسیاری از نفوذگران كلاه سیاه قرار گیرد و باعث دغدغه خاطر و نگرانی بسیاری از مدیران سایت ها و برنامه نویسان تحت وب قرار گرفته است.در این مقاله قصد بر آن است كه توضیح بسیار مختصری درباره این نوع حمله داده شود و توسط مثالهایی كه زده می شود فهم این مطلب را برای بسیاری از دوستان راحت كنیم. هر چند برای فهم بهتر این مطلب باید آشنایی تقریبی با تكنیكها مدیریت نشست ها داشته باشید. در پایان نیز راههای مقابله با این گونه حملات بیان شده است كه امید است مورد توجه مدیران و برنامه نویسان سایتها قرار گیرد.
●مدیریت نشستها
مدیرست نشستها شامل تكنیكهایی می باشد كه به وسیله برنامه های كاربردی وب به كار می رود تا برای هر درخواست Http ای كه كاربران می فرستند هر باره LOGIN نكنند و كسب مجوز لازم برای حق دسترسی به آن درخواست داده شود. مسوولیت مدیریت این كار توسط خود برنامه كاربردی وب می باشد. به همین وسیله می باشد كه پروتكل Http از حالت Stateless به حالت Statefull درآید.مدیریت نشست ها به این صورت می باشد كه برنامه كاربردی وب پس از دادن كسب مجوز لازم برای كاربر یك نشانه نشست برای او ارسال می كند. در بیشتر مواقع این نشانه توسط مجموعه كوكیها تنظیم می گردد كه در سیستم مشتری ذخیره می شود. این نشانه های نشست با هر درخواستی كه كاربر دارد ارسال می گردد تا برنامه كاربردی وب بر طبق آن هویت شما را تشخیص دهد.
●مثال ساده :
وقتی در سایت www.iranianchat.com وارد می شوید و می خواهید وارد اتاق گفتگو شوید هنگامی كه یك اسم را انتخاب می كنید و وارد اتاق می شوید برنامه كاربردی یك نشانه نشست(chatID ) به شما می دهد كه در متن صفحه اتاق گفتگو نهفته است و وقتی كه شما پیغامی را برای دوستتان می فرستید پیغام شما به همراه این نشانه برای برنامه كاربردی ارسال شده و متن فرستاده شده از طرف شما روی صفحه ظاهر می گردد.یعنی به صورت زیر:
http://www.englishpersian.com/Chat۱/Chat.asp?ChatID=۳۰۸۷.۲&PostMsg=Hello
ایران مسعود پزشکیان دولت چهاردهم پزشکیان مجلس شورای اسلامی محمدرضا عارف دولت مجلس کابینه دولت چهاردهم اسماعیل هنیه کابینه پزشکیان محمدجواد ظریف
پیاده روی اربعین تهران عراق پلیس تصادف هواشناسی شهرداری تهران سرقت بازنشستگان قتل آموزش و پرورش دستگیری
ایران خودرو خودرو وام قیمت طلا قیمت دلار قیمت خودرو بانک مرکزی برق بازار خودرو بورس بازار سرمایه قیمت سکه
میراث فرهنگی میدان آزادی سینما رهبر انقلاب بیتا فرهی وزارت فرهنگ و ارشاد اسلامی سینمای ایران تلویزیون کتاب تئاتر موسیقی
وزارت علوم تحقیقات و فناوری آزمون
رژیم صهیونیستی غزه روسیه حماس آمریکا فلسطین جنگ غزه اوکراین حزب الله لبنان دونالد ترامپ طوفان الاقصی ترکیه
پرسپولیس فوتبال ذوب آهن لیگ برتر استقلال لیگ برتر ایران المپیک المپیک 2024 پاریس رئال مادرید لیگ برتر فوتبال ایران مهدی تاج باشگاه پرسپولیس
هوش مصنوعی فناوری سامسونگ ایلان ماسک گوگل تلگرام گوشی ستار هاشمی مریخ روزنامه
فشار خون آلزایمر رژیم غذایی مغز دیابت چاقی افسردگی سلامت پوست