اوری دانلود بیش از 120 آموزش خفن و کمیاب و رایگان

۳ مطلب با موضوع «سایت» ثبت شده است

فیشینگ چیست؟!

فیشینگ (به انگلیسی: Phishing) به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و... از طریق جعل یک وب‌سایت، آدرس ایمیل و... گفته می‌شود.

و یا به عبارت ساده‌تر وقتی شخصی سعی می‌کند شما را فریب دهد تا اطلاعات شخصی‌تان را در اختیارش بگذارید، یک حمله فیشینگ اتفاق می‌افتد.


شبکه‌های اجتماعی و وب‌سایت‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وب‌سایت هستند در اکثر موارد حاوی بدافزار هستند.[۱]


🔘چه زمانی فیشینگ اغاز شد؟!🔘

روش فیشینگ با جزئیات در سال ۱۹۸۷ توضیح داده شده‌است و این واژه برای اولین بار در سال ۱۹۹۵ مورد استفاده قرار گرفته‌است. واژهٔ فیشینگ مخفف عبارت Password Harvesting Fishing (شکار کردن گذرواژه کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده‌است.[۲]


نوه کار فیشینگ چگونه است؟!

فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وب‌گاه معتبر مانند بانک‌های آنلاین انجام می‌شود. ابتدا کاربر از طریق ایمیل یا آگهی‌های تبلیغاتی سایت‌های دیگر، به این صفحه قلابی راهنمایی می‌شود. سپس از کاربر درخواست می‌شود تا اطلاعاتی را که می‌تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد، آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی پیدا می‌کنند. از جمله سایت‌های هدف این کار می‌توان سایت‌های پی‌پال، ای‌بی و بانک‌های آنلاین را نام برد.


🔘فیشینگ چگونه انجام میشود؟!


1_نام کاربری و گذرواژه
شماره تأمین اجتماعی
شماره‌های حساب‌های بانکی
کدهای پین (شماره‌های شناسایی شخصی)
شماره‌های کارت اعتباری
تاریخ تولد شما
اطلاعات هویتی شما
جعل و دستکاری پیوندها و آدرس‌ها 
ویرایش
این روش یکی از شیوه‌های متداول فیشینگ است. در این روش، پیوندها و آدرس‌های سازمان‌ها و شرکت‌های غیرواقعی و جعلی از طریق ایمیل ارسال می‌شود. این آدرس‌ها با آدرس‌های اصلی تنها در یک یا دو حرف تفاوت دارند.[۳]

2_گریز از فیلترها 
فیشرها برای جلوگیری از شناسایی متن‌های متداول فیشینگ در ایمیل‌ها توسط فیلترهای ضد-فیشینگ از عکس به جای نوشته استفاده می‌کنند.

3_جعل وب‌گاه 

برخی از فیشرها از جاوااسکریپت برای تغییر آدرس در نوار آدرس مرورگر استفاده می‌کنند تا هیچ جای شکی برای قربانی نماند. یک مهاجم حتی می‌تواند به کمک تزریق اسکریپت از طریق وب‌گاه از ایرادهای موجود در اسکریپت‌های یک سایت معتبر علیه خودش استفاده کند. در این نوع فیشینگ از کاربر خواسته می‌شود تا در بانک خودش لاگین کند. ظاهراً همه چیز عادی است. از آدرس وب‌گاه گرفته تا گواهینامه امنیتی (به انگلیسی: Security Certificates). اما در واقعیت، پیوند به آن وب‌گاه دستکاری می‌شود تا با استفاده از عیب‌های موجود در اسکریپت‌های آن وب‌گاه، حمله انجام شود. با این حال این روش نیازمند دانش و آگاهی بالایی است. از این روش در سال ۲۰۰۶ برای حمله به وب‌گاه پی‌پل استفاده شد.

4_فیشینگ تلفنی 

تمام حملات فیشینگ نیازمند وب‌گاه قلابی نیست. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره گیری کنند، نیز می‌تواند حمله فیشینگ باشد. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا از طریق آی پی مهیا شده‌است)، از کاربر خواسته می‌شود تا شماره حساب و پین (PIN) خود را وارد کند.


🔸راه های مقابله با فیشینگ🔹

1_یکی از ساده‌ترین روش‌های مقابله با فیشینگ دقت به آدرس وب‌سایت یا ایمیل دریافت شده‌است. به عنوان مثال در زمان ورود به حساب‌های حساس مانند ایمیل یا بانک، قبل از وارد کردن نام کاربری و گذرواژه، دقت به آدرس وب‌سایت حیاتی است


2_استفاده از نرم‌افزارهای ضد هک و فیشینگ مانند کومودو که با فایروال قوی خود مانع هک شدن می‌شود. برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات باید آگاهی کاربران را افزایش داد. نباید به ایمیل‌هایی که از شما در آن‌ها خواسته شده تا فرمی را پر کنید اطمینان کرد. نباید اطلاعات حساب کاربری خود را در اختیار سایت‌ها قرار داد. کاربران برای پرداخت آنلاین باید از درگاه‌های مخصوص بانک‌ها استفاده کنند. سعی کنید به ایمیل‌های داخل Spam در حساب کاربری تان بی اعتنا باشید و آن‌ها را پاک کنید.[۴]

۰ نظر موافقین ۰ مخالفین ۰
ایمان دهقانی فیروزآبادی

دیداس چیست؟!

حمله  دیداس – به انگلیسی  DDoS مخفف (distributed denial of service) به زبان ساده یعنی سرازیر کردن تقاضاهای زیاد به یک سرور و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) به طوری که سرویس دهی عادی آن به کاربرانش دچار اختلال شده یا از دسترس خارج شود. (به دلیل حجم بالای پردازش یا به اصطلاح overload شدن عملیات های سرور)، در این نوع حمله ها در یک لحظه یا در طی یک زمان به صورت مداوم از طریق کامپیوترهای مختلف که ممکن است خواسته یا حتی ناخواسته مورد استفاده قرار گرفته باشند، به یک سرور (با آی پی مشخص) درخواست دریافت اطلاعات ارسال  می شود و موجب از دسترس خارج شدن سرور یا به اصطلاح  Down شدن سرور می شود.

طبقه بندی حملات DDoS

این شیوه هک به ۵ نوع مهم و کلی دسته بندی می شوند. البته ممکن است شیوه های دسته بندی دیگری هم به صورت جزئی تر و یا با تعداد بیشتری برای حملات دیداس در مقالات راهنما استفاده شوند.

Buffer Overflow Attack

حمله سر ریز بافر هنگامی رخ می دهد که میزان اطلاعات نوشته شده در بافر بیش از میزان پیش بینی شده برای آن در مموری سیستم باشد. حمله کننده می تواند دیتای کنترل کننده مسیر اجرای برنامه را بازنویسی کرده و با سرقت و در دست گرفتن کنترل برنامه کدهای برنامه دلخواه خود را به جای پروسه های سرور به اجرا در آورد.

Ping of Death Attack

در تمامی قرن بیستم این شیوه یکی از مشهورترین حملات DoS بود. اما امروزه به طور کلی بلوکه شده و جلوی آن گرفته شده است. حمله کننده به عمد یک پاکت یا بسته IP بزرگتر از ۶۵۵۳۶ بایت را که توسط پروتکل IP مجاز شناخته می شود ارسال می کرد. در این پروتکل  فایل در مبدا به بسته های اطلاعاتی خرد شده و پس از ارسال به کامپیوتر مقصد، بسته های اطلاعاتی در مقصد سر هم شده و بر روی کامپیوتر مقصد فایل دوباره ساخته می شود. اما سیستم عامل مقصد از عهده سر هم کردن پاکت های اطلاعاتی با اندازه بزرگتر از استاندارد که حمله کننده به صورت عمدی ساخته و ارسال کرده بود، بر نمی آمد و قفل می کرد، ری استارت می شد یا حتی به راحتی کرش می کرد.

Smurf Attack

این حمله شیوه ای برای ایجاد یک ترافیک معنی دار و آزار دهنده بر روی شبکه کامپیوتری قربانی است. در این شیوه حمله کننده سیستم قربانی را با ارسال پیام های Ping قلابی غرق می کند.

در این روش، جانی تعداد بسیار زیادی ترافیک ICMP echo یا همان پینگ تولید می کند و آنها را از منابع ناشناس و قلابی به سمت هاست قربانی ارسال می کند. نتیجه هم تعداد فراوانی پاسخ پینگ است که باعث نابودی سیستم قربانی می شود.

Tear Drop

این حمله شامل ارسال قطعات پاکت های اطلاعاتی  روی هم افتاده ای است که بزرگ تر از اندازه معمول هستند اما کاملا انباشته نشده اند. این بسته های ناقص الخلقه در سیستم عامل های مختلف به دلیل باگ های موجود در کد های دوباره سازی بسته های اطلاعاتی مرتبط با پروتکل TCP/IP، باعث کرش کردن سیستم می شوند.

SYN Attack

حمله کننده درخواست های TCP SYN جعلی برای سرور قربانی ارسال می کند. سرور تمامی منابع را به کار می گیرد تا درخواست های دریافتی پاسخ دهد. اما مشکل اینجا است که درخواست دهنده ها قلابی هستند! هر پاسخ تا تایید توسط درخواست دهنده به صورت یک اتصال نیمه باز بر روی سرور باقی می ماند. سرور در پاسخ یک بسته TCP/SYN-ACK برای درخواست دهنده ارسال می کند و منتظر پاسخ از آدرس فرستنده می ماند. به هر حال به دلیل عدم وجود فرستنده واقعی، هیچ گاه پاسخی برنمی گردد. و کم کم اتصالات نیمه باز تمام اتصالات ممکن سرور را می مکند و اشباع می کنند. پس سرور از پاسخ گویی به دیگر کاربران معمول خود باز می ماند.

منبع: سایت نگهبان

حملات DrDoS
حملات DrDoS که مخفف عبارت Distributed Reflection Denial of Service و به معنی حملات انسداد سرویس توزیع‌شده‌ی بازتابی می باشد و هدف از این حمله از کار انداختن سیستم های متصل به یک شبکه و یا حتی خود آن شبکه می باشد!
DrDoS یکی از زیر شاخه های حملات DDoS هست که در مطالب قبلی ( اینجا ) به آن اشاره شد.حال به توضیح و ویژگی این حمله می پردازیم! ادامه…..

 یکی از نکات بسیار مهم در خصوص محافظت و جلوگیری از DDoS بر روی وبسایت این است که از سرور های آنتی دیداس استفاده شود؛این سرور ها نه صرفا با یک یا دو فایروال سخت افزاری بلکه با قرارگرفتن در یک شبکه محافظت شده از وب سایت شما در برابر حملات DDoS محافظت می کنند. اما هزینه این سرور ها بسیار گران بوده خرید آن مقرون به صرفه نخواهد بود.سنترال هاستینگ وب سایت مشتریان خود را بر روی این سرور های DDoS protection میزبانی و هاست لینوکس با  کنترل پنل cPanel ارائه می دهد.

۰ نظر موافقین ۰ مخالفین ۰
ایمان دهقانی فیروزآبادی

طراحی سایت از کجا شروع کنم؟

✅ گام اول : زبان استاتیک html ولی این یک زیان نیست و در واقع باید گفت این یک زبان نشانه گذاری است.

✅ گام دوم : css برای خصوصیت و ویژگی به عناصر و تگ ها که با دو روش می‌توان به تگ ها خصوصیت بدیم : 
1. کلاس : کلاس با نقطه یا دات (.) شروع می‌شود و بعد نام دلخواه. مثال:
.test{
           color: red;
           background-color: #ffff00;
}
2. آیدی : آیدی با شارپ (#) شروع می‌شود و بعد نام دلخواه. مثال :
#test{
           color: green;
           background-color: yellow;
}
البته بهتر است رنگ‌های پس زمینه را رنگ‌های جیغ و پر رنگ نذاریم.
روش‌های مقداردهی css را هم می‌توان به 3 شکل انجام بدیم :
1. خطی یا inline : یعنی درون همون تگ 
<div style="color : red; "></div>
2. داخلی یا internal : یعنی درون تگ نباشه کلی توی همون صفحه باشه که در این صورت باید به عنصر کلاس یا ایدی داد
<div class="test"></div>
داخل صفحه css :
.test{ 
          color: green;
}
3. خارجی یا external : یعنی نه داخل صفحه باشه و نه درون تگ. در یه صفحه دیگه با پسوند css باشه مثلا style.css 
.test{ 
          color: blue;
}

‼️ نکته : بهتر است از خارجی استفاده کنین چون در روش داخلی و خطی در بین مثلا 17000 خط کد اگه جایی رو اشتباه نوشته باشیم نمی‌توانیم به راحتی تغییر بدهیم.
   
✅ گام سوم : یادگیری جی کوئری و جاوا اسکریپت

✅ گام چهارم : یادگیری بوت استرپ => برای ریسپانسیو کردن سایت

⁉️ ریسپانسیو کردن چیست؟
به این معنا که سایت در دستگاه‌های مختلف از جمله موبایل، کامپیوتر، لپ تاپ و... در اندازه‌های مختلف به درستی اجرا شود و سایت به هم نریزه.

✅ گام پنجم : بهینه سازی وبسایت یا سئو

⁉️ بهینه سازی وبسایت یا سئو چیست؟
به این معنا که سایت ما در موتور جستجوها از جمله گوگل و... در اولین صفحات موتور جستجوها برامون بیاره (رسیدن به رتبه بالا)، هر چه کلمه کلیدی بیشتر در meta تگ تعریف کنیم وقتی کاربر آن کلمه را سرچ کند برایش میاورد و در نتیجه بازدید سایت هم بالا میره.

✅ گام ششم : یادگیری CMS مانند (جوملا، وردپرس - دروپال - مامبو و ...)

✅ گام هفتم : در اینجا شما باید تصمیم بگیرید که می‌خواهید سمت Front end کار کنید یا Back end.

➖ قسمت Front end به توسعه رابط کاربری و ظاهر سایت اشاره داره. مثل: تمام بخشی که در وبسایت‌های مختلف می‌بینید ترکیبی از HTML و CSS و JavaScript هستند. 

➖ قسمت Back end به توسعه هسته سایت و بخش سمت سرور اشاره داره، مثل PHP و Ruby و Python البته برای راحتی کار فریمورک های مختلفی ایجاد شده‌اند که از بین آن‌ها می‌توان به Laravel و Django و Ruby on Rails که مهم‌ترین هستند اشاره کرد

✅ گام آخر : با توجه به اینکه شما بخواهید front end کار کنید و یا back end ما در php و asp یکی دیگر هم داریم که معماری سه لایه ای را پشتیبانی می‌کنند به اسم های php mvc و asp.net mvc البته دوستانی که asp می‌خواهند کار کنند قسمت دیگری هم داره به اسم asp.net core که ورژن های مختلفی ارائه شده.

⁉️ کلا چند نوع سایت داریم؟
1. استاتیک یا ثابت : که نیازی به پایگاه داده نداره و نمی‌توان محتوا رو تغییر داد فقط کسی که سایت رو  طراحی کرده و پشتیبانش هست می‌تواند تغییر بدهد، زبان html استاتیک هست و برای زمانی خوب هست که شما می‌خواهید فقط یک آموزش خاصی را فقط قرار بدین و به آپدیت نیاز نداره.
2. داینامیک یا پویا : که در اینجا نیاز به یه پایگاه داده داریم مثه mysql یا sql server که اطلاعات رو از اونجا بخواند، زبان‌های php و asp پویا هستند و برای زمانی خوب هست که مدام باید اطلاعات تغییر کند مثل سایت خبری یا فروشگاهی و از این دسته (منظور از مدام میتونه دقیقه به دقیقه یا روز به روز باشه)

۰ نظر موافقین ۰ مخالفین ۰
ایمان دهقانی فیروزآبادی