يکي از مفاهيم بسيار جالب و در عين حال بسيار پيچيده در دنياي برنامه نويسي، مفهوم باگ يا نقص نرم افزاري است.همانطور که مي دانيد اصطلاحاً به اشکالات نرم افزاري باگ اطلاق مي شود ولي آيا تاکنون فکر کرده ايد واقعاً چرا نرم افزارها باگ دارند؟ چرا هيچ وقت شر اين باگ ها از سرمان کم نمي شود؟ شايد هيچ مفهوم و موضوع ديگري در علوم مهندسي را نتوان يافت که به اندازه مفهوم باگ، اين واقعيت مهم را براي انسان روشن کرده باشد که هيچ فرمول و قانون ساخت انسان، بي اشکال و نقص نيست و در هر طرح و برنامه اي، بدون ترديد، نقصان ها و لغزش هايي وجود دارد که در نگاه اول به نظر نرسيده است. بنابراين همواره بايد در جهت اصلاح طرح ها، برنامه ها، قوانين و فرمول ها کوشيد. باگ از نظر لغوي يعني حشره کوچک و در تاريخ مهندسي نرم افزار گفته مي شود اين اصطلاح را اولين بار گريس هوپر خانمي که در دانشگاه هاروارد مشغول تحصيل و تحقيق در رشته کامپيوتر بود، به کار برده است. او که در حال کار با کامپيوترهاي Mark II و Mark III بود، يک بار با مشکل مواجه شد و تکنسين هايي که براي بررسي مشکل و تعمير کامپيوتر، آن را باز کرده بودند سوسکي را پيدا کردند که وارد دستگاه شده بود و آن را از کار انداخته بود. البته در حقيقت اين واژه را اولين بار همان تکنسين هايي که اين حشره را داخل دستگاه يافته بودند، به شوخي به کار برده بودند البته اين تکنسين ها يا خانم هوپر اولين کساني نبودند که از اين واژه براي اشاره به يک ايراد در دستگاهي استفاده مي کردند. آنها صرفاً براي نخستين بار از اين اصطلاح در دنياي کامپيوتر استفاده کردند، ولي اعتقاد بر اين است که اصطلاح Debugg توسط همين افراد ابداع شد.

اولین قدم برای جلوگیری از اسپم داشتن یک ایمیل دیگر برای استفاده بعنوان ایمیل کم‌ارزش است که می‌توانید به این منظور به لیست استفاده‌کنندگان سرویس‌دهندگان ایمیل مجانی مانند Yahoo یا Hotmail بپیوندید. از این ایمیل برای مواقعی که نیاز به وارد کردن آدرس ایمیل خود در سایتها دارید، مثلا برای دانلود کردن نرم‌افزارها، استفاده کنید. گاهی وارد کردن ایمیلتان، باعث پیوستن شما به لیستهای ایمیلی می‌شود که خودتان نمی‌خواهید. با وارد کردن ایمیل دوم خود، مطمئن خواهید بود که اسپم‌ها به ایمیل اصلی شما وارد نخواهند شود.

تمام تلاش خود را برای جلوگیری از ارسال آدرس ایمیل خود به تابلوهای پیام و گروه‌های خبری بکارگیرید. فرستندگان اسپم برنامه‌های کوچکی به اسم Bot برای جستجو در این مکانها می‌فرستند که بدنبال "@" بگردند (این علامت به آنها می‌گوید که عبارت یافت‌شده یک آدرس ایمیل است). چنانچه می‌خواهید آدرس خود را روی این تابلوهای پیام بفرستید، دو انتخاب دارید: اول اینکه از ایمیل دوم خود استفاده کنید؛ و دوم اینکه، اگر شما به نیت پاسخ گرفتن از افراد دیگر آدرس خود را می‌فرستید، ممکن است بخواهید از ایمیل اصلی خود استفاده کنید، بنابراین بجای نوشتن آدرس ایمیل خود بصورت عادی، آنرا مانند این مثال ارسال کنید:

Info AT ircert DOT address.

این کار به توجه بیشتری از طرف کاربران دیگر برای ارسال ایمیل به شما نیاز دارد، اما شما را از کشف توسط‌Botها مصون می‌دارد.

انتخاب آخر مشخصا برای گروههای خبری مناسب است. ممکن است به شما اجازه داده شود که نحوه نمایش آدرس ایمیل خود را هنگام ارسال پیام تغییر دهید. ممکن است بتوانید حروف اضافه به انتهای آدرس خود اضافه کنید و آن را به چیزی تبدیل کنید که از دید Botها متعلق به شما نباشد. مثلا

"info@ircet.comPUTER"

Botها نمی‌دانند که با این آدرسها چه کنند! اما فردی که این آدرس را روی گروه خبری می‌بیند خواهد فهمید که چه کند. البته بیشتر کاربران یک جمله با مضمون  “ برای ارسال ایمیل  PUTER را از آدرس حذف کنید” اضافه می‌کنند تا از سردرگمی احتمالی جلوگیری کنند.

آیا تنها داشتن یک ضد ویروس قدرتمند و به روز یا  اعمال به موقع پچهای امنیتی تضمین مناسبی برای ایمنی سیستمهاست؟  پاسخ به این سئوال چندان که به نظر میرسد آسان نیست. پاسخ رسمی به این سئوال مثبت است. بعبارتی تولید کنندگان نرم افزار شما را مطمئن میکنند که تنها در صورت رعایت این موارد کامپیوتر شما ایمن خواهد بود. اما واقعیت چیز دیگریست. آنها تا زمانی که مجبور به اعتراف نشوند حقیقت را نمیگویند. تنها پس از آمدن یک دو جین ویروسها و کرمهای اینترنتی اخیر بود که میکروسافت وادار به اعتراف شد. البته حتی در همین شرایط هم باز چنان وانمود میشود که گویی اوضاع کاملا در کنترل است.

اجازه دهید تا باز گردیم به سئوال ابتدای بحث. پاسخ به این سئوال منفی ست. هرچند اعمال قواعد امنیتی، به روزرسانی نرم افزارها و سایر راهکارهای امنیتی (از جمله توصیه های IRCERT)  شما را تا حدود زیادی ایمن میکند اما هیچکدام تضمین صددرصدی به شما نمیدهند. واقعیت نه چندان خوشایند اینکه این راه حلها تنها افراد را در برابر تعدادی آماتور یا اصطلاحا Script Kiddies  و یا ویروسها مصون می سازند. اما کلاه سیاهها (حساب سازمانهای جاسوسی و شرکتهای بزرگ جداست!) کماکان هر زمان که بخواهند با چند کلیک میتوانند وارد کامپیوتر شخصی ما شوند. اخیرا یکی از موسسات مرتبط با سازمان جدید التاسیس امنیت داخلی آمریکا  طی گزارشی که برای این سازمان تهیه شده به یک فاکتور تعیین کننده اشاره کرده است: پنجره آسیب پذیری.

امروزه مرورگرها از تکنیکی به نام SSL (Secure Socket Layer) استفاده می کنند تا اطلاعاتی را که بین مرورگر شما و وب سرور مبادله می شود، رمزنگاری کنند. هنگامی که علامت «قفل» در گوشه پایین مرورگر نمایش داده می شود، به این معنی است که مرورگر ارتباط رمزشده امن با سرور برقرار کرده است و لذا ارسال دیتای حساس مانند شماره کارت اعتباری امن است. اما آیا واقعا این سیستم امن است و می توان از این طریق با اطمینان تراکنشهای حساس مالی را رد و بدل کرد؟ پاسخ این است که SSL فقط ارتباط بین مرورگر شما و وب سرور را امن می کند و برای محافظت از اطلاعات شما در آن سرور کاری انجام نمی دهد. در شرکت های بزرگ که می توانند سرورها و خطوط ارتباطی با ظرفیت های بالا رااختصاصی و برای ارتباط مستقیم تهیه کنند، تا جایی که شما بتوانید به شرکت اعتماد کنید، مشکلی ایجاد نخواهد شد. اما بسیاری از شرکت های کوچک تر توانایی تهیه سرور اختصاصی را ندارند. آنها از «میزبانی شخص ثالث» استفاده می کنند و این جایی است که عدم امنیت بوجود می آید. شما مجبورید به میزبانی که هیچ شناختی از آن ندارید، اطمینان کنید و به ایمن بودن نحوه دریافت اطلاعاتتان از آن میزبان توسط شرکت مورد نظرتان اعتماد کنید. اما تضمینی برای ایمن بودن این ارتباط نیست!

 

 

 

بیشتر میزبان های وب برای کلاینت های خود یک برنامه  (CGI (Common Gateway Interface ارائه می دهند که FormMail نام دارد. آنچه که این برنامه انجام می دهد این است که محتوای یک فرم اینترنتی را، مانند فرمی که شما اطلاعات کارت اعتباری خود را در آن قرار می دهید، می گیرد و از طریق ایمیل به شرکت ارسال می کند. برای این ایمیل نه محافظتی وجود دارد و نه رمزنگاری صورت می گیرد.

جاسوس‌افزارها را فراموش كنید! Myware آمده است. به‌زودی شما قادر خواهید بود درمورد استفاده خود از وب، اطلاعات جمع‌آوری كنید. حالا‌ برای دچار شدن به مقدار مناسبی سوءظن (!) تنظیمات مرورگر خود را باز كنید و نگاهی به كوكی‌های خود بیندازید. 

هر كلیك در amazon.com، هر جستجویی در گوگل، و تمام توقف‌ها در میان آن‌ها به وب سایت‌هایی كه آن‌ها را مرور می‌كنید گزارش داده می‌شوند. در عوض تمام چیزی كه شما دریافت می‌كنید یك پیشنهاد عجیب برای دستگاه غذادهنده پرنده است كه ممكن است بخواهید آن را بخرید، یا تعدادی تبلیغات متنی كه ممكن است روی آن كلیك كنید.پس از آن‌ها، جاسوس‌افزارها میآیند، كه خود را در هارددیسك‌ شما جا می‌دهند و هر كاری را كه انجام می‌دهید به یك هرزنامه‌نویس یا بازاریاب آنلاین گزارش می‌كنند.
ممكن است عجیب به نظر برسد. با این‌حال ممكن است به‌زودی شما جاسوسی خود را بكنید. چرا كسی ممكن است چنین كاری انجام دهد؟ یك شركت تازه تاسیس در زمینه امنیت كه هدف ایجاد یك بازار مالی برای داده‌های مصرف‌كننده را دنبال می‌كند، دلیل قانع‌كننده‌ای می‌آورد. او می‌گوید: "همه دارند جاسوسی من را می‌كنند. پس من هم می‌خواهم جاسوسی خودم را بكنم."

شبکه‌های بی‌سیم (WLAN) محافظت نشده، به نفوذگران امکان می‌دهند تا حملاتی غیرقابل ردیابی را در اینترنت انجام دهند. این کاربران، بابت پهنای باند مورد استفادهٔ پول نمی‌پردازند. اجازه نمی‌گیرند و حتی نمی‌دانند اتصال بی‌سیم مربوط به چه کسی است. 

حال، چنین کاربری را در نظر بگیرید که پس از نصب کارت شبکهٔ بی‌سیم خود، درمی‌یابد که دو شبکهٔ بی‌سیم محلی، محل اقامت وی را تحت پوشش قرار داده‌اند. یکی از آنها، یک Secure Set Identifier به نام lopez دارد و استاندارد امنیتی (WEP (Wired Equivalent Privacy در آن فعال است و دیگری یک SSID به نام default داشته و هیچ حفاظتی از آن صورت نگرفته است. 
کارت بی‌سیم وی، به‌طور خودکار به ایستگاه default که یک آدرس پویا به او تخصیص داده، متصل می‌شود و بدین‌ترتیب اتصال اینترنتی با سرعت ۱۱ مگابیت بر ثانیه، بدون هزینه و محدودیت در اختیار وی قرار می‌گیرد. هنگامی که چند سال قبل، شبکه‌های بی‌سیم مطرح شدند، امنیت این شبکه‌ها بسیار مورد توجه قرار گرفت و سازندگان، استاندارد WEP را برای پنهان‌سازی داده‌ها در فضا مورد استفاده قرار دادند. اگرچه WEP حفره‌های امنیتی دارد (و مانع از دسترسی نفوذگران به داده‌های شما نمی‌شود)، اما فعال کردن آن باعث می‌شود تا شبکه به راحتی در دسترس دیگران قرار نگیرد. 
البته سرقت داده‌ها در فضا، تهدید جدی در شبکه‌های بی‌سیم به‌شمار نمی‌آید؛ چرا که این مشکل می‌تواند از طریق رمزنگاری به راحتی حل شود. نگرانی و تهدید اصلی، فضائی است که این شبکه در بر می‌گیرد. مرزهای معمول، در شبکه‌های بی‌سیم در حال فرو ریختن هستند. پیش از این، مدیران شبکه می‌توانستند اتصالات خارجی را فهرست کرده و دیوارهای آتش در سر راه آنها قرار دهند، اما امروزه تقریباً تمام سازمان‌ها، به‌دلیل وجود شبکه‌های بی‌سیم، اتصالات فراوانی به خارج دارند که تنظیم دیوار آتش برای کنترل دسترسی به تمام آنها، امکان‌پذیر نیست. 

در کنار وجود مشکلات اساسی در طراحی و اجرای سیستم‌‌های عامل، برنامه‌های کاربردی و پروتکل‌های موجود، ساختار شبکه‌های کامپیوتری نیز عاری از ایراد نبوده و دچار مشکلات فراوانی می‌باشند. مهاجمین با نفوذ به سیستم‌های کم اهمیت موجود در روی شبکه و با گسترش میزان دسترسی خود از طریق حفره‌های موجود، به کلیه سیستم‌ها و اطلاعات موجود در روی شبکه دسترسی پیدا می‌کنند.در این نوشتارشیوه‌ها و تکنیک‌هایی که غالباً توسط مهاجمین برای دسترسی به اطلاعات و کنترل سیستم‌های موجود در روی شبکه مورد استفاده قرار می‌گیرد مورد بحث و بررسی قرار خواهد گرفت که از جمله این روش‌ها می‌توان به شنود (sniffing) ، جعل (spoofing) و سرقت نشست (Session hijacking) اشاره نمود. 
تذکر این نکته ضروری است که در ادامه بحث فرض براین نهاد شده که مهاجم، از قبل بر روی یکی از سیستم‌های موجود در شبکهِ هدف دارای یک Account بوده و به یک Interactive Shell در روی آن سیستم دسترسی دارد. حال ممکن است این فرد Account مزبور را از طریق نفوذ به شبکه به‌دست‌ آورده یا از قبل در اختیارداشته باشد . 
● شنود از جمله شیوه‌هایی که مهاجمین برای جمع‌آوری اطلاعات تبادلی بر روی شبکه به کار می‌برند می‌توان به شنود یاSniffing اشاره نمود. در این روش، مهاجم با نصب و اجرای برنامه‌هایی که قابلیت جمع‌آوری ترافیک شبکه مورد‌نظر را بر روی یکی از کامپیوترهای متصل به شبکه دارند، اقدام به جمع‌آوری اطلاعات از روی شبکه می‌نماید. 
از آن‌جایی که غالب این Snifferها در لایه Data Link پشته پروتکلی را هدف قرار داده و بسته‌های داده را از این لایه جمع‌آوری می‌نمایند و بنا بر ویژگی‌های این لایه، عملاً محدودیتی در نوع اطلاعات جمع‌آوری شده وجود نخواهد داشت. 

• احراز هویت داده

بدون شك شما نیز تاكنون تعداد زیادی از ایمیل‌های ناخواسته را دریافت كرده‌اید. بعضی از این ایمیلها ادعا می ‌كنند كه شما را به سرعت ثروتمند می‌ كنند. برخی قول محصولات یا خدمات جدید را می ‌دهند. بعضی نیز فضایی از صندوق پستی شما را اشغال می‌ كنند و از شما می‌ خواهند كه ایمیل را به سایرین نیز ارسال كنید یا وب ‌سایت مشخصی را ببینید. در جامعه اینترنتی ایمیلهای بعضاً تجاری ناخواسته، “هرزنامه” نامیده می‌شوند. هرزنامه ها اثری بیش از مزاحمت برای استفاده‌كنندگان اینترنت دارند و بطور جدی بازدهی شبكه و سرویس‌دهندگان ایمیل را تحت تاثیر قرار می‌دهد.

مقابله با هرزنامه ها

• تشخیص در صورتی كه سیستم شما ناگهان بسیار كند شده و ارسال/دریافت ایمیل ها به سختی صورت می گیرد، ممكن است به این دلیل باشد كه سرور ایمیل شما مشغول رسیدگی به پردازش تعداد زیادی ایمیل است. در اینصورت با استفاده از ابزارهای كنترل ترافیك شبكه می توانید پی به حمله های هرزنامه ببرید.
• پیشگیری متأسفانه در حال حاضر هیچ راه مطمئنی برای پیشگیری و ممانعت كامل از حملات هرزنامه ای وجود ندارد، زیرا دسترسی به لیستهای عظیم آدرس ایمیل یا منابع اطلاعاتی كه دارای حجم زیادی از ادرسهای ایمیل هستند كار سختی نیست و از طرفی نیز هر شخصی كه دارای یك آدرس ایمیل معتبر است می تواند از طریق لیست های ایمیل، هرزنامه ارسال كند. یكی دیگر از مشكلات پیشگیری از بمباران ایمیلی/هرزنامه، عدم امكان پیش بینی مبدأ حمله بعدی است. اما بسته به اینكه مدیر شبكه باشید یا كاربر عادی، برای كاهش اینگونه حملات تدابیر متفاوتی وجود دارد كه در ادامه آنها را شرح می دهیم:
  ....

به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و... از طریق جعل یک وب‌سایت، آدرس ایمیل و... فیشینگ گفته می‌شود.
شبکه‌های اجتماعی و وب‌سایت‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وب‌سایت و در اکثر موارد حاوی بدافزار هستند.

نحوه کار در فیشینگ

فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وب‌گاه معتبر مانند بانک‌های آنلاین انجام می‌شود. ابتدا کاربر از طریق ایمیل و یا آگهی‌های تبلیغاتی سایت‌های دیگر، به این صفحه قلابی راهنمایی می‌شود. سپس از کاربر درخواست می‌شود تا اطلاعاتی را که می‌تواند مهم و حساس باشد، مانند اطلاعات کارت اعتباری ، آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی پیدا می‌کنند. 

روش‌های مختلف فیشینگ

....

Normal 0 false false false EN-US X-NONE AR-SA /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0in 5.4pt 0in 5.4pt; mso-para-margin-top:0in; mso-para-margin-right:0in; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0in; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:"Times New Roman"; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin;}

1- دسترسی‌ها را حذف كنید

يك مشكل بسيار گسترده در اينترنت وجود دارد و آن پيغامهاي الكترونيكي كه در مورد يك ويروس هشدار مي دهند و اين هشدار در مورد يك email با يك عنوان ( subject ) مشخص مي باشد كه اين email ها ويروس هاي خطرناك هستند و به كامپيوتر شما آسيب مي رسانند.

مثال:

Please do not open up any mail that has this title.
It will erase your whole hard drive. This is a new
e-mail virus and not a lot of people know about
it, just let everyone know, so they won't be a victim.
Please forward this e-mail to you friends!!!
Remember the title: JOIN THE CREW.

 

مثال ديگر:

 

Subject: VIRUS WARNING VERY IMPORTANT


Please read the following message we received from a client.


If you receive an email titled "It Takes Guts to Say 'Jesus'"
DO NOT open it. It will erase everything on your hard drive. So, you must delete it.


Forward this E-MAIL out to as many people as you can. This is a new, very
malicious virus and not many people know about it. This information was
announced yesterday morning from IBM; please share it with everyone
that might access the internet. Once again, pass this along to EVERYONE in
your address book so that this may be stopped. AOL has said that this is
a very dangerous virus and that there is NO remedy for it at this time.
Please practice cautionary measures.
 

اگر شما email اي مانند اين ديديد آن را براي كسي نفرستيد! ويروسهاي "Jion The Crew" و "It Takes Guts to Say 'Jesus'" شوخي هستند!

WPA2 یک فناوری امنیتی است که در شبکه های بیسیم Wi-Fi مورد استفاده قرار می گیرد. WPA2 مخفف Wireless Protected Access 2 به معنای دسترسی حفاظت شده بی سیم است. این فناوری از سال 2006 میلادی جایگزین نسل قبلی خود WPA شده است.

 

WPA2  در برابر WPA و WEP

WPA به عنوان جایگزینی برای فناوری های قدیمی با درجه امنیت ضعیف تر WEP طراحی شده است. WEP مخفف Wireless Protected Protocol است.در شبکه های بی سیم خانگی هر جا که ممکن باشد باید WPA2  جایگزین WEP شود.

WPA2  همچنین وضعیت امنیتی ارتباطات Wi-Fi را نسبت به WPA بهبود بخشیده است که از سیستم رمز گذاری قوی تری استفاده می کند. به خصوص در سیستم امنیتی WPA2 اجازه استفاده از الگوریتم ها را نمی دهند. این الگوریتم ها به عنوان حفره های امنیتی در WPA شناخته می شدند.

 

کلید های WPA2

اشکال مختلفی از کلید های امنیتی WPA2 وجود دارد WPA2 Pre-shared Key یا PSK از کلید های 64 عددی هگزا دسیمال استفاده می کنند که متداول ترین روش مورد استفاده در شبکه های خانگی بی سیم است. بسیاری از روتر های خانگی WPA2 PKS را با نام WPA2 Personal می خوانند در حالیکه به همان فناوری اشاره می کنند.

آیا در کامپیوتر خود اطلاعاتی مانند نامه های عاشقانه، عکس های خصوصی، یا اطلاعات محرمانه کاری دارید؟ اگر یک اتصال اینترنتی دائمی مانند ADSL دارید باید بدانید که در برابر هکر ها تقریبا بی دفاع هستید و یک هکر بدون داشتن دانش خاصی می تواند به کامپیوتر شما دست پیدا می کند.

همچنین هکر های می توانند بدون اطلاع شما میکروفن یا وب کم کامپیوتر شما را روشن کنند و به این ترتیب صدا و تصویر شما را ضبط کنند و از آن سوء استفاده کنند.

هر گاه به اطلاعات خصوصی شما دست پیدا کنند می توانند، به مدارک شخصی موجود در کامپیوتر شما دست پیدا کنند می توانند فایل های سیستم شما را خراب کنند یا نرم افزار های دلخواه خود را روی کامپیوتر شما نصب کنند نرم افزار امنیتی شما را تحت کنترل خود درآورند و خراب کاری های دیگری انجام دهند.

هکر ها چگونه این کار را می کنند؟

هر کامپیوتری كه به اینترنت متصل می شود یک شماره شناسایی منحصر به فرد دارد که به آن شماره IP می گویند. هکر ها با استفاده از نرم افزار هایی شماره IP های متصل به اینترنت را شناسایی می کنند. و اگر کامپیوتر شما را پیدا کنند بدنبال حفره ها یا سیستم حفاظتی ضعیف برای نفوذ به آن می گردند. و اگر آن را بیابند کامپیوتر شما بی دفاع در برابر آنهاست.

...........

باگ ،حفره یا همان ضعف امنیتی است که در برنامه های سیستمی ، کاربردی و تحت وب است که به دلیل اشتباهات در سورس برنامه ها رخ میدهد.

وقتی در دنیای سیستم های دیجیتالی و کامپیوتری از باگ صحبت می کنیم، مقصودمان بیشتر یک نقص نرم افزاری است و کمتر پیش می آید یک نقص دیجیتالی سخت افزاری را باگ بنامیم هرچند این لغت از نظر تاریخی در مهندسی مکانیک و ادوات سخت افزاری ریشه دارد. بنابراین آن دسته از وسایل دیجیتالی که فاقد نرم افزارند، اصولاً در این بحث جای نمی گیرند.

برخی از انواع باگ های متعارف عبارتند از :

[XSS] [DBD] [LFI] [RFI] [RFD] [RFU] [RPD] [SQLi] [BSQLi] [DBSQLi] [RLTD] [SCRF] [RCE] [RPC]

zero-day چیست؟

به حفره ها و اکسپلویت های نوین و محرمانه که در دنیای زیرزمینی نفوذگران کشف و استفاده می شود می گویند و جون مسئولان امنیتی از آنها آگاه نیستند نمی تواندد سیستم ها را در برابر آن ها مقاوم و ایمن سازی کنند ، لذا به نفوذگر اجازه حمله و نفوذ را میدهد.

تا زمانی كه شناخت مناسبی نسبت به تهديدات وجود نداشته باشد ، امكان ايجاد يك برنامه وب ايمن وجود نخواهد داشت . بنابراين قبل از هر چيز لازم است كه با "مدل تهديدات " موجود آشنا شويم . هدف مدل فوق، آناليز معماری و نحوه طراحی برنامه به منظور شناسائی نقاط آسيب پذيری است كه ممكن است به صورت تصادفی توسط يك كاربر ناآگاه و يا مهاجمان با اهداف مخرب مورد سوء استفاده قرار گرفته تا با استناد به آنان بتوانند موجوديت و امنيت  سيستم را با خطر مواجه نمايند  .

پس از آسنائی با تهديدات ، می بايست با بكارگيری مجموعه ای از اصول امنيتی اقدام به طراحی سيستم نمود . در ادامه ، پياده كنندگان می بايست از روش های ايمن به منظور نوشتن كدهای مطمئن ، مستحكم و قابل اعتماد استفاده نمايند . پس از طراحی و پياده سازی برنامه ، می بايست از يك شبكه ايمن ، يك host مطمئن و يك پيكربندی مناسب بر روی سرويس دهنده ،‌ استفاده گردد .
ايجاد يك برنامه وب ايمن ، مستلزم اقدامات امنيتی چند جانبه ای است  كه موفقيت در تمامی آنان ، ايمن بودن برنامه های‌ وب را تضمين خواهد كرد . ايمن سازی شبكه ، host و برنامه ، رئوس مثلث امنيتی ايجاد برنامه های وب ايمن را تشكيل می دهند .

 

به منظور  ايجاد برنامه های وب ايمن ، تبعيت از يك رويكرد جامع امری است الزامی . بنابراين ، می بايست امنيت برنامه های‌ وب را در سه لايه متفاوت بررسی و اقدامات لازم را در هر لايه با توجه به جايگاه آن انجام داد . شكل زير سه لايه مهم به منظور ايجاد برنامه های وب ايمن را نشان می دهد .

وجود يك نقطه آسيب پذير در شبكه به يك مهاجم اجازه می دهد تا كنترل يك host  و يا برنامه را بدست بگيرد . وجود يك نقطه آسيب پذير در host  به يك مهاجم اجازه می دهد تا بتواند كنترل يك شبكه و يا برنامه را بدست بگيرد . وجود يك نقطه آسيب پذير در برنامه به يك مهاجم اجازه می دهد تا كنترل يك host  و يا شبكه را بدست بگيرد .

 

اينترنت و به دنبال آن وب ، دنيای نرم افزار را دستخوش تحولات فراوانی نموده است . ظهور نسل جديدی از برنامه های كامپيوتری موسوم به "برنامه های وب " از جمله اين تحولات عظيم است . پس از ارائه سرويس وب در سال 1991، وب سايت های متعددی ايجاد گرديد .  اينگونه سايت ها به منظور ارائه اطلاعات به مخاطبان خود از صفحات وب ايستا استفاده می كردند .در این وب سايت ها ، امكان تعامل كاربر با برنامه وجود نداشت .

رويكرد فوق ،‌ به عنوان نقطه عطفی در برنامه های وب تلقی می گردد چراكه برای اولين مرتبه امكان توليد محتويات پويا در وب سايت ها فراهم گرديد . از آن زمان تاكنون فن آوری های متعددی به منظور توليد برنامه های وب ايجاد شده است .  PHP و ASP.NET نمونه هائی در اين زمينه می باشند .  صرفنظر از اين كه از كدام فن آوری به منظور ايجاد برنامه های وب استفاده می گردد ، ايمن سازی آنان از جمله اهداف مشترك تمامی پياده كنندگان است .

با توجه به اين كه رويكرد فوق با ماهيت و يا روح  نرم افزار چندان سازگار نمی باشد ، تلاش های گسترده ای در جهت ايجاد محتويات پويا انجام و متعاقب آن ، فن آوری های متعددی ايجاد گرديد . به عنوان نمونه ، با پياده سازی فن آوری CGI ( برگرفته از Common Gateway Interface  ) ، امكان استفاده از برنامه های خارجی به منظور توليد محتويات پويا فراهم گرديد . بدين ترتيب ، كاربران قادر به درج اطلاعات و ارسال آنها برای يك برنامه خارجی و يا اسكريپت سمت سرويس دهنده شدند . برنامه موجود در سمت سرويس دهنده پس از دريافت اطلاعات و انجام پردازش های تعريف شده ، نتايج را توليد و آنها را برای كاربر ارسال می نمود .