نشت‌ اطلاعات وب‌سایت‌ها

هنگامی که یک نفوذگر وب‌سایتی را مورد هدف خود قرار می‌دهد،  در ابتدا سعی می‌کند تا جایی که امکان‌پذیر است از آن وب‌سایت اطلاعات جمع کند. بدین ترتیب می‌تواند راه‌های بهتری برای حمله به وب‌سایت انتخاب کند. اگر وب‌سایت شما اطلاعات غیر ضروری برای کاربران ولی مهم را در معرض نمایش قرار دهد، کار جمع آوری اطلاعات نفوذگر را ساده‌تر می‌کند. برای مثال اطلاعاتی مانند تکنولوژی‌های استفاده شده روی وب‌سایت و غیره. 

نفوذگر ابزارهای فراوان و متعددی برای کاوش وب‌سایت شما در اختیار دارد. در ادامه می‌خوانیم که چگونه از یک وب‌سایت اطلاعات نشت می‌کند. 

نشت‌ اطلاعات وب‌سایت‌ها

۱- اولین قدمی که نفوذگر در بررسی وب‌سایت برمی‌دارد، فهمیدن نوع وب‌سرور و زبانی است که وب‌سایت با آن نوشته شده است. بیشتر وب‌سرور‌ها این اطلاعات را در HTTP header شرح می‌دهند. 

لیست کردن اطلاعات وب‌سرور در HTTP Header مورد استفاده کاربران وب‌سایت شما قرار نمی‌گیرد. اما نفوذگر‌‌ها از آن استفاده می‌کنند تا بدانند از چه اکسپلویتی استفاده کنند. بنابراین مطمئن شوید که نمایش این اطلاعات را در تنظیمات وب‌سرورتان غیرفعال کرده باشید. 

۲- آدرس‌های وب‌سایت شما هم می‌توانند از تکنولوژی وب‌سرور اطلاعاتی را نمایش دهند. مطمئن شوید که انتهای آدرس‌‌های وب‌‌سایت شما با .php ، .asp و … تمام نشود. از URL‌های تمییز استفاده کنید.

۳- کوکی‌ها هم می‌توانند اطلاعاتی از سرور را نمایش دهند. نام پارامتر Session ID اغلب سرنخ‌هایی از تکنولوژی سمت سرور به نفوذگر‌ها می‌دهد. اگر این گزینه قابل تنظیم باشد، از نام پارامتر‌های عمومی استفاده کنید.

۴- یکی دیگر از انواع نشت اطلاعات وب‌سایت، خطاها هستند. مطمئن شوید که خطاها اطلاعات مهم و حساسی را نمایش ندهند. نمایش خطا را در سمت کابر غیرفعال کنید. حتما یک صفحه عمومی خطای HTTP 500 داشته باشید.

۵ – جاوا اسکریپت‌های سمت کاربر ممکن است آسیب‌پذیری داشته باشد.  اگر از کتابخانه‌های رایج استفاده ميکنید، نفوذگر می‌تواند در پایگاه داده اکسپلویت آن را جستجو کند تا شاید بتواند از آن استفاده‌ای ببرد. 

۶- اگر اجازه آپلود فایل به کاربر را می‌دهید، مطمئن شوید که متادیتاهای حساس و مهم را از آن حذف کنید. 

در انتها اضافه کنیم که اطلاعات فوق را از روش‌های دیگری هم می‌توان بدست آورد، اما بهتر است این اطلاعات از وب‌سایت شما نشت نشود.