وقتی صحبت از حملات مختلف به میان می آید بیشتر این مورد مد نظر قرار می گیرد که هکر ها به یک سایت حمله کرده و کنترل آن را در دست گرفته اند و یا اینکه اطلاعات مربوط به یک شخص را سرقت نموده اند. اطلاعاتی حساس که می تواند از یک پسورد شبکه اجتماعی تا اطلاعات مربوط به کارت بانکی فرد متغیر باشد. اما در بعضی موارد هر دوی این روش ها مورد استفاده قرار می گیرد و می توان با استفاده از هر کدام از آنها یک تخریب بزرگ را ایجاد نمود. در این مقاله می خواهیم در مورد یکی از مهمترین این موارد صحبت کنیم و ببینیم که حمله جاوا اسکریپت با ارور SSL چگونه می تواند به ما آسیب برساند و ما چگونه باید از این حملات جلوگیری کنیم و چه مواردی را باید در نظر داشته باشیم.
قبل از اینکه به بررسی دلایل بروز و اینکه ساختار حمله جاوا اسکریپت با ارور SSL به چه صورتی می باشد بپردازیم باید ببینیم که کارکرد صفحات وب و همینطور جاوا اسکریپت به چه صورتی می باشد و چه امکاناتی باعث شده است تا این حملات به وجود بیایند و در واقع این حملات بر کدام یک از قابلیت های وب استوار هستند و از چه تکنیک هایی استفاده می کنند.
فهرست محتوا
کارکرد صفحات وب و جاوا اسکریپت
وقتی صحبت از صفحات وب به میان می آید مهمترین و اولین چیزی که به ذهن هر کاربری می رسد یک صفحه رنگارنگ با متن و عکس های زیاد است که بعضا تصاویر و عکس های چشمک زن و متحرک و رنگارنگی آن را پوشانده است و زرق و برق آن حسابی می تواند چشم نواز باشد. اما این موضوع که در پس هر صفحه ای چه کاری انجام می شود موضوعی است ک بحث طولانی ای را می طلبد. هر سایت اینترنتی از دو بخش اصلی تشکیل شده است. اولین و مهمترین بخش که تعیین کننده قابلیت های اصلی سایت می باشد بک اند یا بخش سمت سرور نام دارد. یک بخش نرم افزاری و کدنویسی شده که وظیفه اصلی آن این است که پردازش های مورد نیاز کاربر را هر چه که باشد به انجام برساند.
بخش دوم که شاید در موارد خاصی اهمیت آن از بخش اول هم بیشتر باشد فرانت اند یا همان رابط کاربری نام دارد و مسئول این است که آنچه که در بک اند اتفاق می افتد را به کاربر نمایش دهد. هر آنچه که در ظاهر سایت وجود دارد و شما در زمان استفاده از سایت آن را مشاهده می کنید، رابط کاربری تلقی می شود. در واقع این بخش از سایت از کد هایی تلفیقی از زبان های سمت کلاینت می باشد که معمولا از CSS، HTML و JS های جاوا اسکریپت تشکیل شده است.
وقتی که کاربری می خواهد به یک صفحه از سایت دسترسی داشته باشد، یک درخواست از طرف وی به وب سرور ارسال می شود. بعد از اینکه وب سرور درخواست را دریافت کرد آن را بررسی کرده و اطلاعات مورد نیاز برای صفحه را که در واقع همان کد های صفحه می باشد را به صورت بسته های کوچک و پشت سر هم برای کاربر ارسال می کند. این کد ها و بسته ها در سیستم کاربر تجمیع شده و با استفاده از مرورگر وب برای کاربر به نمایش در خواهند آمد. پس بخش اعظم پردازش اطلاعات در سرور اتفاق افتاده و بقیه موارد جزئی و کد های نمایشی برای کاربر ارسال می شود.
در بین این کدهایی که به کاربر می رسد، کدهای مختلف وجود دارد که علاوه بر کارهای نمایشی می توانند در سمت کلاینت پردازش شوند. کدهای جاوا اسکریپت از این دسته کدها هستند و این امکان را برای شما خواهند داشت. جاوا اسکریپت همیشه قابلیت های خوبی را برای کدهای پردازشی از خود نشان داده است و به کارگیری آن در وب صرفا به رابط کاربری محدود نمی شود و سمت سرور را می توان با آن طراحی کرد.
کد هایی که از وب سرور به ما می رسند باید کد های دست نخورده باشند، و اگر در این کد ها تغییری ایجاد شود و اسکریپتی وارد شود که در پس زمینه کار بکند، ممکن است نتایج خوبی را برای ما نداشته باشد. حمله جاوا اسکریپت با ارور SSL یکی از حملاتی است که یکی از این کد ها را به کار می گیرد و در ادامه متن در مورد اینکه این حمله دقیقا جه کار می کند، بیشتر صحبت خواهیم کرد. اما پیش از رسیدگی به حمله جاوا اسکریپت با ارور SSL باید کمی در مورد اینکه عملکرد حملات به چه صورت است و با چه اهدافی اجرا می شوند هم صحبت کنیم.
حملات احتمالی روی سایت ها و از طریق سایت ها
وقتی صحبت از یک حمله اینترنتی به میان می آید ممکن است موارد مختلفی در ذهن شما تداعی شود. این موارد می تواند از سرقت اطلاعات کارت بانکی و خالی کردن حساب، تا تخریب یک سایت به طور کامل و جلوگیری از فعالیت آن ادامه داشته باشد. به صورت کلی می توان دو نوع حمله اینترنتی را متصور شد. اولین دسته حملاتی است که از طریق سایت ها برای اطلاعات کاربران اتفاق می افتد که بزرگترین خانواده آن حملات فیشینگ هستند.
در این دسته از حملات حمله کنندگان تمام تلاش خود را می کنند که به نحوی به اطلاعات کاربر دست پیدا کنند این کار می تواند از طریق ساخت سایت های جعلی و صفحات کلون(Clone) باشد و یا از طریق ایمیل های مختلفی که برای شما ارسال می شود انجام شود. شاید به نظر برسد که این نوع از حملات دیگر قدیمی شده اند، اما بد نیست بدانید که بیشتر حملات موفقی که با کلاهبرداری همراه بوده است از نوع فیشینگ می باشد. برای اطلاعات بیشتر در خصوص این نوع از حملات می توانید به مقاله فیشینگ چیست مراجعه کنید.
خانواده دیگر حملات، حملاتی هستند که توسط هکر ها به سایت های مختلف انجام می شود و هدف آنها این بار یک فرد نیست، بلکه یک سایت اینترنتی است که یک فرصت برای حمله به آنها داده است. این حملات می تواند انواع مختلف و گسترده ای را داشته باشد. عموم حملاتی که برای از کار انداختن یک سایت مورد استفاده قرار می گیرد از نوع حملات دیداس هستند که در مقاله دیداس چیست به طور کامل به آن پرداختیم. این نوع از حمله با سیلی از درخواست ها کاری می کند که سایت فلج شود و نتواند سرویس دهی کند. اما نوع دیگری از حمله وجود دارد که اوضاع را کمی وخیم تر می کند.
حملات تزریق کد یا همان SQL Injection نوع دیگری از حملات هستند که با استفاده از منافذی که ممکن است در سایت باشد، نسبت به راه اندازی یک حمله اقدام کرده و شروع به ارسال کد های سطح بالا از طریق این منافذ می کند. این کد ها به پایگاه داده شما ارسال شده و در صورتی که در آنجا اجرا شوند اوضاع به هم خواهد ریخت. حمله کنندگان با استفاده از این نوع حمله می توانند کنترل پایگاه داده و همینطور سایت را به صورت کامل به دست بگیرند. این نوع از حملات در مقاله حمله SQL Injection به صورت کامل توضیح داده شده اند.
حمله جاوا اسکریپت با ارور SSL حمله ای است که به صورت چند مرحله ای و ترکیبی انجام می شود و تقریبا می توان آن را در هر دو نوع از این حملات طبقه بندی کرد اما بیشتر باید گفت که به حملاتی که مربوط به کاربر می شود گرایش دارد. در ادامه در مورد اینکه حمله جاوا اسکریپت با ارور SSL چیست بیشتر صحبت خواهیم کرد.
حمله جاوا اسکریپت با ارور SSL چیست
حمله های مختلف تکنیک های خود را دارند به عنوان مثال در یک حمله تزریق کد حمله کنندگان معمولا به دنبال بررسیی ورودی های اطلاعاتی مانند فرم های عضویت و فرم های ورود به سایت هستند و یا در حملات فیشینگ صفحاتی به صورت کلون شده نمایش داده خواهد شد که دقیقا مانند صفحات اصلی هستند و در بعضی موراد برای ساخت آنها از عکس ها و اسکرین های این صفحات استفاده می شود. اما در حمله جاوا اسکریپت با ارور SSL اوضاع کمی فرق می کند.
قطعا شما در فضای وب با ارور SSL آشنا شده اید چند باری به آن برخورد کرده اید. این ارور ها زمانی اتفاق می افتد که اعتبار گواهینامه SSL سایت به پایان رسیده باشد و شما بخواهید به سایت دسترسی پیدا کنید. در این ارور ها صفحه ای به شما نمایش می دهد که از شما می خواهد بازگردید و به شما می گوید که لینکی که می خواهید به آن دسترسی پیدا کنید ناامن است. گزینه پیشنهادی مرورگر در اینگونه موارد خروج از سایت است، اما گزینه دیگری هم وجود دارد که شما با انتخاب آن و تایید تمامی خطراتی که این انتخاب برای شما می تواند داشته باشد، این امکان را خواهید داشت که به صفحه مورد نظر خود دست پیدا کنید و این صفحه برای شما نمایش داده شود.
معمولا وقتی ما با این ارور مواجه می شویم، به سراغ سایت خواهیم رفت. البته این بستگی به شما دارد که کدام یک از این موارد را انتخاب کنید و در صورتی که بخواهید می توانید سایت را ترک کنید. اما خیلی از افراد مسر هستند که صفحه مورد نظر را ببینند. کاری که در حمله جاوا اسکریپت با ارور SSL انجام می شود این است که این ارور را برای شما بازسازی کرده، و به شما می گوید که از سایت خارج شوید. وقتی که شما می پذیرید که با خطرات آن کنار آمده و بدون SSL وارد سایت شوید، به شما گفته می شود که باید افزونه امنیتی SSL را به صورت آپدیت روی مرورگر خود نصب کنید.
این افزونه معمولا از دامنه های شبهه امنی ارائه می شود که نام های مربوط به ارائه کنندگان SSL را دارند. بعد از دانلود و نصب این افزونه شما یک ابزار فیشینگ را به مرورگر خود ارائه داده اید که می تواند هر کاری را که می کنید و یا هر پسوردی که روی آن ذخیره کرده اید را در اختیار طراح خود بگذارد.
در ادامه به صورت جز به جز در مورد اینکه عملکرد حمله جاوا اسکریپت با ارور SSL به چه صورتی است صحبت خواهیم کرد.
عملکرد حمله جاوا اسکریپت با ارور SSL چگونه است
حمله جاوا اسکریپت با ارور SSL یکی از حملات پیچیده است که در واقع مراحل طولانی ای دارد اما در صورتی که به درستی اجرا شود می تواند بسیار خطرناک باشد. در واقع باید گفت که حمله جاوا اسکریپت با ارور SSL به نسبت سایر حمله ها یک حمله جدید است. مراحل حمله جاوا اسکریپت با ارور SSL با استناد به تحقیقات انجام گرفته توسط وبلاگ تخصصی امنیتی gaurav.it به این صورت معرفی می شود:
مرحله اول – ثبت دامنه برای ارائه دهنده SSL
اولین مرحله در حمله جاوا اسکریپت با ارور SSL این است که یک بستر برای جلب اعتماد کاربر ارائه شود. با جست و جو و تحقیقاتی که gaurav.it در سایت های ارائه دامنه و ارائه اطلاعات دامنه ای مانند Who.is انجام داده است مشخص شده که دامنه های زیادی به صورت فعال وجود دارند که برای خرید و ارائه گواهینامه SSL تهیه شده اند و از SSL در نام دامنه ها استفاده شده است. اما در حال حاضر کار خاصی را انجام نمی دهند و سرویس دهی نمی کنند. این دامنه های خاموش می توانند نشانه ای از گستردگی حمله جاوا اسکریپت با ارور SSL در آینده ای نزدیک باشد.
مرحله دوم – پیدا کردن قربانی برای تزریق اسکریپت
در این مرحله حمله کننده باید بستری را پیدا کند که تله خود را در آن بگذارد. این تله می تواند هر چیزی باشد. یک سایت ضعیف که امنیت پایینی دارد، یک سایت که برای این هدف راه اندازی شده است و یا یک افزونه null شده و یا اسکریپتی کرک شده که بعضی از افراد آنها را در سایت خود استفاده می کنند.
مرحله سوم – تله گذاری در بستر پیدا شده
وقتی سایت مقصد پیدا شد و نفوذ به آن توسط هر عاملی انجام گردید، یک اسکریپت در آن جایگذاری می شود که می تواند کاری کند که حمله جاوا اسکریپت با ارور SSL با نمایش یک ارور SSL شروع شود. تصویر زیر یکی از این اسکریپت ها را به نمایش می گذارد که می توانند این کار را انجام دهند.
وقتی این افزونه در سایت مورد نظر پیاده سازی شد کاری که می کند این است که ارور SSL را به کاربران نمایش می دهد. از اینجا به بعد حمله جاوا اسکریپت با ارور SSL با کمک کاربر دنبال خواهد شد.
مرحله چهارم – در دام انداختن کاربر
کاربری به سراغ سایتی که از آن صحبت کرده ایم آمده است. ارور SSL به وی نمایش داده خواهد شد و این کاربر اکنون در معرض یک حمله بزرگ است. کاربر ممکن است که فریب بخورد ولی احتمال ترک سایت نیز وجود دارد. در خیلی از مواقع که حمله کنندگان خود سایت و بستر حمله را طراحی کرده اند با عناوینی که وعده هایی بزرگ می دهد، مانند دانلود رایگان یک برنامه گران قیمت و یا تخفیف چند ده درصدی روی یک محصول پر طرفدار باعث می شوند که کاربر به کار خود ادامه دهد.
و در مواردی که از سایت های دیگری برای حمله جاوا اسکریپت با ارور SSL استفاده شده باشد کاربرانی که به آن سایت اعتماد داشته اند و قبلا هم از آن استفاده کرده اند ورود به سایت را با پذیرش خطر استفاده نکردن از SSL قبول خواهند کرد.
مرحله پنجم – نمایش پیغام آپدیت امنیتی
در این مرحله حساس از حمله جاوا اسکریپت با ارور SSL قربانی پذیرفته است که وارد سایت شود و به هر قیمتی می خواهد صفحه مورد نظر خود را ببیند. حالا مرورگر برای وب یک لینک دانلود را باز کرده است که می گوید اگر می خواهی به سایت بدون SSL وارد شوی، لازم است که از این افزونه امنیتی استفاده کنید و باید یک آپدیت را نصب کنی.
با تایید کاربر حمله جاوا اسکریپت با ارور SSL به صورت تقریبا موفقی انجام شده است. فایل exe دانلود شده و کاربر آن را نصب کرده و به صفحه وارد می شود. اکنون هکر ابتکار عمل را به دست دارد و حمله وی ثمر داده است. در همین لحظات کوتاه ممکن است پسورد ها و بخش Privacy مرورگر برای وی ایمیل شده باشد و یا از آن بدتر این حمله کننده برای زمانی که شما وارد یک صفحه پرداخت شده باشید منتظر مانده است.
اینگونه است که حمله جاوا اسکریپت با ارور SSL می تواند به راحتی جواب بدهد و اطلاعاتی که نمی خواهید را به کسانی که نباید برساند. جلوگیری از این حمله می تواند کاری ساده باشد، هر جا که ارور SSL را مشاهده کردید به عقب برگردید و تمام. اما فرار از ماجرا روش خوبی برای حمله جاوا اسکریپت با ارور SSL نیست و بهتر است که روش های بهتری را برای تشخیص و بی اثر کردن آن استفاده کنیم. در ادامه به بررسی روش های جلوگیری و خنثی سازی حمله جاوا اسکریپت با ارور SSL خواهیم پرداخت.
جلوگیری از حمله جاوا اسکریپت با ارور SSL
برای اینکه از حمله جاوا اسکریپت با ارور SSL جلوگیری کنید و در امان بمانید باید ساختار SSL را بشناسید که آن را در مقاله SSL چیست به صورت کامل توضیح داده این. SSL یک مکانیزم امنیتی است که به شما این امکان را می دهد به صورت محرمانه تبادل اطلاعات را انجام دهید.
المانی که SSL را پیاده سازی می کند سرور های اینترنتی هستند و شما وقتی که می خواهید SSL یک سایت را هم تنظیم نمایید باید به سراغ هاست آن بروید. پس این را به یاد داشته باشید که هیچ برنامه نصبی ای برای بهبود SSL وجود ندارد و این موضوع از کنترل شما خارج است.
پس به صورت اکید به شما توصیه میکنیم که برای بهبود SSL هیچوقت و هیچ کجا، هیچ نوع برنامه و یا Add-on خاصی را نصب نکنید. هر مورد امنیتی که وجود داشته باشد اولین کسی که آن را اصلاح خواهد کرد خود مرورگر شما خواهد بود. پس برای اینکه برنامه ای خارجی را نصب کنید، مرورگر خود را آپدیت کنید.
مورد بعدی که باید در مورد ارائه دهندگان خدمات امنیتی در نظر داشته باشید این است که SSL خود این سایت ها باید تایید شده سطح 2 به بالا باشد. این تایید ها یعنی اینکه وقتی روی قفل کنار آدرس در نوار آدرس مرورگر کلیک می کنید و گزینه Connection Secure را انتخاب می کنید به شما بگوید که توسط کدام شرکت تایید شده است و در صورت کلیک روی More Information اطلاعات مربوط به سایت مورد نظر و آدرس شرکتی که این دامنه به آن تعلق دارد را به شما ارائه کند. به عنوان مثال تصویر زیر نشان دهنده اطلاعات مربوط به SSL گوگل است.
به طور کلی می توان گفت که دو نکته عدم نصب افزونه های امنیتی و توجه به آیکون قفلی که کنار آدرس در مرورگر نمایش داده می شود می تواند حمله جاوا اسکریپت با ارور SSL را برای شما بی اثر کند.
نتیجه گیری
در این مقاله در مورد حمله جاوا اسکریپت با ارور SSL با هم صحبت کردیم و دیدیم که این حمله جدید چگونه می تواند عمل کند. در واقع کار اصلی این حمله این است که شما را با یک ارور که با آن قبلا هم برخورد داشته اید و معمولا حوصله خواندن اطلاعات طولانی آن را ندارید فریب می دهد. در صورتی که با این ارور مانند همیشه برخورد کنید از شما می خواهد که برنامه ای را روی سیستم خود نصب کرده و بعد از نصب آن کار تمام است. موارد تکنیکی زیادی در این حملات وجود دارد که به صورت کامل به آنها پرداختیم و اگر بخواهیم در آخر یک توصیه دوستانه به شما داشته باشیم این است که هیچ وقت از منابع ناشناس افزونه ها و برنامه های امنیتی را نصب نکنید و این موضوع را بدانید که SSL را صرفا باید با آپدیت مرورگر ارتقا داد.