حملات وب به تهدیداتی اطلاق می شود که آسیب پذیری های برنامه های مبتنی بر وب را هدف قرار می دهند. هر بار که اطلاعاتی را در یک برنامه وب وارد می‌کنید، فرمانی را آغاز می‌کنید که پاسخی را ایجاد می‌کند. به عنوان مثال، اگر با استفاده از یک برنامه بانکداری آنلاین برای شخصی پول می‌فرستید، داده‌هایی که وارد می‌کنید به برنامه دستور می‌دهد تا به حساب شما برود، پول را خارج کند و به حساب شخص دیگری ارسال کند. مهاجمان در چارچوب این نوع درخواست ها کار می کنند و از آنها به نفع خود استفاده می کنند.

برخی از حملات رایج وب شامل تزریق SQL و اسکریپت بین سایتی XSS است که در ادامه مورد بحث قرار خواهد گرفت. هکرها همچنین از حملات جعل درخواست متقابل CSRF و دستکاری پارامترها استفاده می کنند. در حمله CSRF، قربانی فریب خورده تا عملی را انجام دهد که به نفع مهاجم باشد. به عنوان مثال، آنها ممکن است روی چیزی کلیک کنند که یک اسکریپت طراحی شده برای تغییر اعتبار ورود به سیستم برای دسترسی به یک برنامه وب را راه اندازی می کند. هکر مجهز به اعتبارنامه ورود جدید، می تواند به عنوان کاربر قانونی وارد شود.

دستکاری پارامترها شامل تنظیم پارامترهایی است که برنامه نویسان به عنوان اقدامات امنیتی طراحی شده برای محافظت از عملیات خاص اجرا می کنند. اجرای عملیات بستگی به آنچه در پارامتر وارد می شود دارد. مهاجم به سادگی پارامترها را تغییر می دهد و این به آنها اجازه می دهد تا اقدامات امنیتی را که به آن پارامترها بستگی دارد دور بزنند.

برای جلوگیری از حملات وب، برنامه‌های کاربردی وب خود را بررسی کنید تا آسیب‌پذیری‌ها را بررسی کرده و برطرف کنید. یکی از راه‌های رفع آسیب‌پذیری‌ها بدون تأثیر بر عملکرد برنامه وب، استفاده از توکن‌های ضد CSRF است. یک نشانه بین مرورگر کاربر و برنامه وب رد و بدل می شود. قبل از اجرای دستور، اعتبار توکن بررسی می شود. اگر تایید شود، فرمان اجرا می شود، اگر نه، مسدود می شود. همچنین می‌توانید از پرچم‌های SameSite استفاده کنید، که فقط به درخواست‌های همان سایت اجازه پردازش می‌دهد و هر سایتی که توسط مهاجم ساخته شده است را بی‌توان می‌کند.

:references

https://www.fortinet.com