אבטחת אתרים

במאמר זה נסקור את הפעולות שעלינו לעשות על מנת למנוע שימוש לא מורשה באתר שלנו ולספק לו
אבטחה טובה. חשוב לציין שמדובר רק על תמצית הדברים ומומלץ מאוד להתייעץ עם איש מקצוע לפני העלאת אתר לאוויר.

האקרים וספאמרים עלולים לפרוץ לאתר שלנו בשתי דרכים עיקריות: הראשונה היא גלישה לאתר שלנו וחדירה דרך
פרצות אבטחה שהשארנו בדפיו (שכבת האפליקציה) והשנייה היא חדירה לשרת שמריץ את האתר שלנו (שכבת המערכת).

שכבת האפליקציה:

כמעט בכל האתרים באינטרנט כיום התקשורת בין הגולשים לאתר היא דו כיוונית:
מצד אחד הוגלשים צופים בדפי האתר ומחפשים בו מידע, ומצד שני הגולשים יכולים לשלוח לאתר
מידע ולהוסיף מידע דרך טפסים (צור קשר למשל), השארת תגובות בבלוג, הוספת הודעות בפורומים ועוד.
מכיוון שאין לנו שליטה על המידע שגולשים שולחים או מוסיפים לאתר שלנו חשוב מאוד לבצע סינון כהלכה של הקלט.
נביא כאן שתי דוגמאות למה שעלול לקרות ללא סינון כיאות:

XSS : קיצור של cross-site-scripting . הכוונה היא להחדרת קוד שפועל בצד הלקוח דרך שדות הקלט.
למשל, אם בטופס "צור קשר" אנחנו נרשום בשדה "דואר אלקטרוני" את השורה הבאה:

<scriptlanguage="text/javascript">window.location="http://target.com";</script>

אזי בכל דף באתר בו אמורה להופיע כתובת הדו"אל שלנו תתבצע הפניה של הגולש לאתר
שמופיע בשורה דלעיל.

העלאת קבצים:

אם אתם מאפשרים לגולשים להעלות לאתר שלכם קבצים, חשוב מאוד לוודא ולבדוק כי
אינם מכילים וירוסים או רוגלות ע" התקנת אנטי וירוס איכותי על השרת של אחת
החברות המובילות (קספרסקי, נורטון , eset ואחרות) . בנוסף, כדאי
לגביל את אפשרות ההעלאה לסוגי קבצים מסוימים בלבד (תמונות, סרטונים וכו')
ולמנוע העלאה של קבצי הרצה או סקריפיטים. העדר הגבלה תאפשר לתוקף להעלות
סקריפט ולהריץ אותו על השרת שלנו, מה שעלול לגרום לאתר להפסיק להגיב, להפנות
את כל הגולשים לאתר תקיפה, למחוק דפים ועוד.
לכן, חשוב לעבור שדה שדה, דף דף ולוודא שבכל המקומות בהם אנחנו מקבלים איזשהו קלט
מהמשתמש אנחנו מבצעים סינון כהלכה.

שכבת המערכת:

כידוע, אף מערכת הפעלה איננה מאובטחת לחלוטין ואף שרת אינו חף מבאגים.
הסירו תהליכים מיותרים שרצים ברקע של מערכת ההפעלה והשרת שלכם משום
שיכולות להיות בהן פרצות אבטחה שאינכם מודעים להן. בנוסף, התקינו firewall על השרת ודאגו לעדכנו באופן קבוע.

כאמור, זו הייתה אבטחת אתרים על קצה המזלג. אבטחה יעילה ומקיפה של האתר צריכה לאזן בין
דרישות האבטחה לדרישות הביצועים של האתר וכדאי לשלב את תכנונה מוקדם ככל האפשר בתהליך הכולל של בניית האתר וקידומו.