دانلود پروژه امنیت در وب و شناخت هکرها وحملات آنها - دانلود فایل
دانلود فایل پروژه کارشناسی رشته مهندسی کامپیوتر امنیت در وب و شناخت هکرها وحملات آنها عبارتهای (امنیت شبکه) و (امنیت اطلاعات) اغلب به جای یگدیگر مورد اس
دانلود فایل دانلود پروژه امنیت در وب و شناخت هکرها وحملات آنها پروژه امنیت در وب و شناخت هکرها بصورت ورد و قابل ویرایش در 80 صفحه جهت استفاده دانشجویان رشته کامپیوتر و it میباشد
فهرست مطالب
عنوان ................................................................................................................................................صفحه
مقدمه........................................................................................................................................................1
فصل اول:اصول امنيت
1-1- امنيت به عنوان يك زيربنا ............................................................................................................5
1-2- امنيت فراتر از يك كلمه رمز.........................................................................................................5
1-3- امنيت به عنوان يك محدوديت......................................................................................................6
1-4- تهاجم DDOS چيست؟...............................................................................................................7
1-5- تهاجمات مصرف منبع....................................................................................................................7
1-6- كالبدشكافي يك تهاجم سيل SYN .............................................................................................9
1-7- محكم كردن پيكربنديهاي ديوار آتش...........................................................................................10
1-8- ايجاد يك IDS ...........................................................................................................................10
1-9- اجراي يك مرور كننده Scanner آسيب پذيري........................................................................11
1-10- ايجاد سرورهاي پراكسي.............................................................................................................11
1-11- پيكربندي كردن فداكارانه ميزبانها...............................................................................................11
1-12- افزايش مديريت ميزبان و شبكه..................................................................................................11
1-13- گسترش بيشتر تكنولوژي هاي امنيت.........................................................................................11
1-14- گردآوري اطلاعات.....................................................................................................................12
1-15- راههاي مختلف جهت مسيردهي................................................................................................12
1-16- مقايسه قابليت هاي امنيت سرور وب.........................................................................................12
1-16-1- تصديق ....................................................................................................................13
1-16-2- گواهي نامه ها و امضاهاي ديجيتالي.........................................................................14
1-16-3- به كارگيري برنامه هاي كاربردي CGI...................................................................14
فصل دوم:آشنایی باعملکردهکرها
2-1- هک چیست؟..............................................................................................................................16
2-2- هدف هک ...................................................................................................................................16
2-2-1- اعلام سواد و تسلط بر فن آوری اطلاعات.................................................................17
2-2-2- اعلان ضعف امنیت شبکه کامپیوتری..........................................................................17
2-2-3- انتقام شخصی یا گروهی............................................................................................17
2-2-4- بدون دلیل..................................................................................................................17
2-2-5- دستیابی به اموال مجازی افراد یا شرکتها.....................................................................18
2-3- پیشینه جنبش نفوذگری وظهور نفوذگران با کلاه های رنگارنگ !................................................18
2-3-1- هکرهای کلاه سفید...................................................................................................20
2-3-2- هکرهای کلاه سیاه......................................................................................................21
2-3-3- هکرهای کلاه خاکستری..............................................................................................21
2-3-4- هکرهای کلاه صورتی.................................................................................................21
2-4- خلاصه اي بر تاريخچه ي هك كردن...........................................................................................22
2-4-1- سيستم هك كردن تلفن...............................................................................................23
2-4-2- سيستم هك كردن كامپيوتر.........................................................................................23
2-5- سرویس های امنیتی درشبکه ها....................................................................................................25
2-6- انگیزه های نفوذگری وحمله به شبکه .........................................................................................27
2-7- سطوح مهارت نفوذگران...............................................................................................................28
2-8- شيوه هاي هکرها جهت حمله به وب سايت ها.............................................................................28
2-8-1-SQL Injection.............................................................................................................28
2-8-2- Cross-Site Scripting...............................................................................................29
2-8-3- Directory Traversal Attacks...............................................................................30
2-8-4- Parameter Manipulation......................................................................................30
2-8-5- Cookie manipulation.............................................................................................30
2-8-6- HTML Header manipulation.............................................................................31
2-8-7- HTML Form Field manipulation...................................................................31
2-8-8- تغییر آدرس.......................................................................................................................31
2-8-9- حمله به تعیین هویت........................................................................................................32
2-8-10- سوء استفاده هاي شناخته شده ........................................................................................32
2-8-11- شمارش دایرکتوری .......................................................................................................32
2-9- مهندسی اجتماعی.........................................................................................................................32
2-10- نقاط دخول.................................................................................................................................33
2-11- زیر ساخت شبکه........................................................................................................................34
2-12- برنامه هاي مورد استفاده در اینترنت............................................................................................34
2-13- پوشش دهی................................................................................................................................35
2-13-1- پوشش دهی چیست؟...............................................................................................36
2-13-2- چرا پوشش دهی ضروری است؟.............................................................................37
2-13-3- پوشش دهی اینترنت.................................................................................................38
فصل سوم :شیوه های هکرها برای نفوذ به شبکه
3-1- روش های معمول حمله به کامپیوترها .........................................................................................42
3-1-1- برنامه های اسب تروا ..................................................................................................42
3-1-2- درهای پشتی...............................................................................................................43
3-1-3- اسبهای تروا درسطح برنامه های کاربردی..................................................................43
3-1-4- اسکریپتهای Cross-Site ........................................................................................45
3-1-5- ایمیلهای جعلی ..........................................................................................................44
3-1-6- پسوندهای مخفی فایل ...............................................................................................47
3-1-7- شنود بسته های اطلاعات (استراق سمع)....................................................................48
3-1-7-1- ابزارDsniff.............................................................................................49
3-1-8- حملات pharmingچیست؟...................................................................................49
3-1-9- حمله به سیستم عامل..................................................................................................52
3-1-10- درهم شکستن برنامه کاربردی یا سیستم عامل ازطریق سرریزکردن پشته ...............53
3-1-10-1-پشته چیست؟...........................................................................................53
3-1-10-2- Exploit Code................................................................................55
3-1-10-3- پیداکردن نقاط آسیب پذیر .....................................................................55
3-1-10-4- سازماندهی وآرایش بافر پیش ازسرریز شدن..........................................56
3-1-11- حمله برعلیه کلمات عبور ......................................................................................57
3-1-11-1- حدس زدن کلمات عبور پیش فرض سیستم ها.....................................58
3-1-11-2- حدس کلمه عبور و ورود به سیستم از طریق چندخط برنامه نویسی.....58
3-1-12- حمله به کوکی های موقت ......................................................................................59
3-1-13- هک کردن VPN......................................................................................................59
3-1-13-1- چرا IP Sec خیلی ویژه و خاص می باشد؟.........................................64
3-1-13-2- بعضی تجزیه و تحلیل های تخصصی IP Sec.......................................65
3-1-13-3- نمایش هک کردن: راز امنیت شبکه و راه حل ها...................................66
فصل چهارم:جلوگیری ازنفوذهکرها
4-1- مبارزه با اسبهای تروا و درهای پشتی......................................................................................... 68
4-1-1- استفاده از ویروس یاب های مطمئن وقوی................................................................68
4-1-2- عدم استفاده از جستجو کننده تک منظوره اسب های تروا.........................................68
4-1-3- نسبت به هر نرم افزاری که تهیه می کنید مطمئن باشید..............................................68
4-1-4-آموزش کاربران بسیارحیاتی است................................................................................69
4-2- مقابله ابتدایی باحمله به پشته ازطریق سیستم IDS ....................................................................69
4-2-1- مقابله با انواع حملات مبتنی بر سرریزی پشته یا بافر.................................................69
4-2-2- مقابله درسطح مسئول سیستم وگروه امنیتی................................................................70
4-2-3- مقابله با سرریزشدن پشته درسطح برنامه نویسی........................................................71
4-3- روشهای مقابله با ابزارهای شکننده کلمه عبور.............................................................................71
4-3-1- تكنیكهای انتخاب كلمه عبور......................................................................................73
4-3-2- استاندارد ISO ۱۷۷۹۹ .............................................................................................73
4-4- مقابله با استراق سمع (مقابله با اسنیفرها) ....................................................................................75
نتیجه گیری.............................................................................................................................................77
منابع........................................................................................................................................................80
مقدمه :
استفاده از شبکه هاي کامپيوتری در ساليان اخير روندی تصاعدی پيدا کرده است. شبکه هاي کامپيوتری، زير ساخت مناسب برای سازمان ها و موسسات را در رابطه با تکنولوژی اطلاعات فراهم مي نمايند.مقوله تکنولوژی اطلاعات به همان اندازه که جذاب وموثر است، در صورت عدم رعايت اصول امنيت به همان ميزان و يا شايد بيشتر، نگران کننده و مسئله آفرين خواهد بود. اغلب سازمان هاي دولتی و خصوصی در کشور، دارای وب سايت اختصاصی خود در اينترنت مي باشند. سازمان ها برای ارائه وب سايت، يا خود امکانات مربوطه را فراهم نموده و با نصب تجهيزات سخت افزاری و تهيه پهنای باند لازم،اقدام به عرضه سايت خوددر اينترنت نمودهاندياازامکانات مربوط به شرکت هاي ارائه دهنده خدمات ميزبانی استفاده مي نمايند.بدون ترديدسرويس دهنده وب يکی از مهمترين نرم افزارهای موجود در دنيای اينترنت محسوب مي گردد. کاربرانی که به سايت يک سازمان يا موسسه متصل و درخواست اطلاعاتی را مي نمايند،خواسته آنان درنهايت دراختيار سرويس دهنده وب گذاشته مي شود. سرويس دهنده وب، اولين نقطه وروداطلاعات و آخرين نقطه خروج اطلاعات از يک سايت است. نصب و پيکربندی مناسب چنين نرم افزار مهمی، بسيار حائز اهميت بوده و تدابير امنيتی خاصی را طلب مي نمايد.
تكنولوژي اينترنت تنهابه منزل ومحل كارماهدايت نشده است ودر بيشتر جنبه هاي زندگي ما وجود دارد،بشكه هاي بي سيم ودست يابي به دستگاهها،حضور اينترنت را در همه جا فعال كرده است. بسياري ازاين دستگاهها به طورمأيوسانه اي امنيت ضعيف وسستي دارندكه باعث مي شود كانديداي ايده آل براي يك هكرباشند. اين موضوع وقتي اَسَف بارتر است كه سيستمهاي داراي امنيت ضعيف، سيستمهايي را كه داراي امنيت جامعي هستند را با سوار كردن تهاجمات روي آنها به مخاطره مي اندازند. حتي برنامه ها و سيستمهايي كه داراي امنيت صوتي هستند از هجوم يا خطر مصون نيستند. افزايش تقاضاي نرم افزار و كاهش سريع در چرخه هاي توسعه بدين معني است كه نسخه جديد نرم افزارهاي نصب شده روي ماشينها يك گام جلوتر است..انجام هك تا حدودي بر مبناي كسب علم و دانش استوار است يك اشتياق براي ارضاي يك حس ذاتي كنجكاوي فني. با اين ديد، به بسياري از هكرها در مورد فعاليتهايشان حق داده مي شود. بدين معني كه آنها رخنه ها و كاستي هاي امنيت را آشكار ميكنند.
هک چیست؟
هکرها افراد عادی هستند که با داشتن هوش زیاد و تا حدی دانش كامپيوتر مي توانند در کامپیوتر نفوذ نموده و باعث شود که بخشی از مدیریت کامپیوتر را به دست بگیرند.
هر شبکه اینترنتی و هر سیستم کامپیوتری در درون خود دارای ضعفهایی است که هکرها و نفوذگران با توسل بدان به کامپیوتر دست مي یابند البته ممکن است این نفوذ در داخل شبکه کامپیوتری میزبان یک وب سایت یا وبلاگ باشد. در این صورت هک به وب سایت نفوذ مي نماید.
عبارت هکر داراي دو تعریف است. از دیدگاه برنامه نویس، هکر کسی است که می تواند کدي را بنویسد که راه حلی سریع و ساده براي مشکلی بزرگ ارائه دهد. این کد باید کارآمد و موثر باشد. از دیدگاه دیگران، هکر کسی است که امنیت موجود در سیستمهاي اطلاعاتی خودکار یا یک شبکه را بشکند. این نوع از هکرها (که Cracker نیز نامیده می شوند) معمولاً بدنبال اهداف نادرست و خرابکارانه می باشند،ولی ممکن است این کار را بخاطر سود رسانی انجام دهد.ولی به هرحال این افرادوارد سیستمها می شوند.
حمله به تعیین هویت[1]:
هکرها با جستجو براي بدست آوردن شناسه هاي معتبر به دنبال ورود به سرورها از طريق يک برنامه تحت وب مي باشند. در چنين حملاتي يک بانک اطلاعاتي شامل اطلاعات کاربري، نام کاربر و رمز عبور که جهت به حداکثر رساندن امنيت در شناسايي کاربر ايجاد شده است، به وسيله اي براي دسترسي هکرها مبدل مي شود.[3]
2-8-10- سوء استفاده هاي شناخته شده[2] :
بسياري ازهکرهابصورت گروهي با ورود به فوروم ها عمليات نفوذ را آماده سازي مي کنند تا عمليات آتي هک را راحت تر کنند، البته اين روش ها و فوروم ها تنها براي اين گروه از هکرها شناخته شده مي باشد.[3]
2-8-11- شمارش دایرکتوری[3] :
هکرها با آناليز ساختار داخلي فولدرهاي يک وب سايت، به دنبال فولدرهاي پنهان مي باشند. شايان ذکر است که امکان دارد اين فولدرها داراي اطلاعات مربوط به مديريت سايت باشد، که يک هکر به محض شناسايي آنها به سوء استفاده خواهد پرداخت.[3]
2-9- مهندسی اجتماعی:
یکی از سخت ترین کارها، دفاع در مقابل حملات گفته شده است، که در واقع سوء استفاده از ادب و سادگی دیگران براي دسترسی به منابع ایمن است. براي مثال، فردي ممکن است تماس بگیرد و بگوید که درحال تعمیریکی از سیستم هاي شماست و نیاز به رمز براي ورود به سیستم دارد تا از اتمام تعمیرات
روش های معمول حمله به کامپیوترها :
قصد داریم بطور خلاصه به معمول ترین روش هایی که مورد استفاده خرابکاران برای ورود به کامپیوتر یا از کارانداختن آن قرارمی گیرد، اشاره کنیم.
3-1-1- برنامه های اسب تروا :
اسب تروا یک برنامه آلوده به کدهای اجرایی است که غالبا ظاهری فریبنده یا کاملا معمولی دارند. این برنامه ها پس از آنکه بدست خود کاربر برروی ماشین اجرا شوند همانند یک سرویس دهنده، کنترل وهدایت آن ماشین را دراختیار نفوذگر قرارمی دهند.
کدهای مخرب اسب تروا درقالب یک برنامه سوکت یا برنامه تحت شبکه به یک برنامه مفید می چسبند یا آنکه کلا برنامه ای هستند که یک کار ظاهرا مفید انجام می دهند وکنترل سیستم را در اختیار یک بدخواه قرارمی دهند.
امروز اکثر اسبهای تروا پس از اجرا برروی ماشین، پنهان[1] شده وخود را به گونه ای نصب می کنند که پس ازهربار ورودکاربر به سیستم فعال شوند. آنها هیچ اختلالی که باعث شود کاربر ازوجود آنها مطلع گردد، انجام نمی دهند بلکه مخفی می مانند تا هرگاه نفوذگر اراده کرد از راه دور کنترل آن ماشین را برعهده بگیرد واهداف خود را دنبال کند.
برنامه های اسب تروا روشی معمول برای گول زدن شما هستند (گاهی مهندسی اجتماعی نیز گفته می شود) پیکربندی سیستم شما را تغییر می دهند، یا کامپیوترتان را با یک ویروس آلوده می کنند.
حمله برعلیه کلمات عبور[1] :
دردنیای شبکه وسیستم های کامپیوتری یکی ازروش های تامین امنیت ، استفاده از کلمه عبوراست. دربسیاری از سازمان ها فقط کلمات عبورهستند که ازداده های محرمانه وحساس حفاظت می کنند . بدین معنا که برای هرکاربر یک کلمه عبور درنظرگرفته می شود واوباید درهربارورودبه سیستم آن کلمه را وارد نماید؛ درصورت صحت کلمه عبور به او اجازه ورود داده خواهد شد.
درحقیقت امنیت مجموعه ای از اطلاعات به امنیت یک کلمه عبور، گره خورده است
حمله برعلیه کلمات عبور[1] :
دردنیای شبکه وسیستم های کامپیوتری یکی ازروش های تامین امنیت ، استفاده از کلمه عبوراست. دربسیاری از سازمان ها فقط کلمات عبورهستند که ازداده های محرمانه وحساس حفاظت می کنند . بدین معنا که برای هرکاربر یک کلمه عبور درنظرگرفته می شود واوباید درهربارورودبه سیستم آن کلمه را وارد نماید؛ درصورت صحت کلمه عبور به او اجازه ورود داده خواهد شد.
درحقیقت امنیت مجموعه ای از اطلاعات به امنیت یک کلمه عبور، گره خورده است
مبارزه با اسبهای تروا[1] و درهای پشتی[2] :
قربانیان اسبهای تروا ، غالبا کاربران معمولی وبی تجربه هستند که به سادگی فریب می خورند. برای مبارزه با اسبهای تروا که امروزه بسیار متنوع وخطرناک هستند باید نکات ایمنی زیررامدنظرقراردهید:
- استفاده از ویروس یاب های مطمئن وقوی:
در بالا تنها قسمت های از این پروژه ارزشمند آورده شده است جهت تهیه فایل میتوانید به پایین همین صفحه مراجعه کنید