مفاهیم پایه امنیت

مقدمه

در این مقاله به برخی مفاهیم پایه امنیتی می‌پردازیم که می‌توانند در برابر حملات Cross-Site Request Forgery (XSRF) از سیستم شما محافظت کنند.
حملات XSRF یا CSRF زمانی رخ می‌دهند که یک کاربر مخرب از اعتماد بین مرورگر کاربر و یک وب‌سایت سوءاستفاده می‌کند. در این شرایط، مهاجم می‌تواند بدون مجوز، دستوراتی را روی یک وب‌سایت اجرا کند.

حملات XSRF بر دو اصل متکی هستند:

1. دسترسی به اطلاعات احراز هویت.
2. اجرای مخفیانه یک دستور از طریق یک URL.

روش‌های احراز هویت

توصیه می‌شود برای ورود به cPanel & WHM از کوکی‌ها به‌عنوان روش احراز هویت استفاده کنید. در صورتی که از HTTP Authentication استفاده شود، نشست (Session) تنها زمانی پایان می‌یابد که مرورگر به‌طور کامل بسته شود. در این حالت مرورگر اطلاعات ورود را تا پایان اجرای برنامه ذخیره می‌کند.

اگرچه برخی مرورگرها امکان پاک‌سازی اطلاعات ورود را فراهم می‌کنند، اما این قابلیت در همه مرورگرها وجود ندارد و نمی‌توان به آن اعتماد کرد. در صورت ذخیره شدن اطلاعات ورود در مرورگر، این داده‌ها به راحتی در معرض حملات XSRF قرار می‌گیرند.

کوکی‌های معتبر (Validated Cookies)

مهاجمان می‌توانند کوکی‌ها را سرقت کرده و از آن‌ها در حملات XSRF استفاده کنند. بیشتر مرورگرها مکانیزمی برای جلوگیری از این نوع حمله ندارند. برای مقابله با این مشکل، سیستمی طراحی شده که امکان اعتبارسنجی آدرس IP کاربر به‌عنوان بخشی از فرآیند احراز هویت وجود داشته باشد.

در این روش، در هر درخواست ورود، آدرس IP موجود در کوکی با مقدار اولیه مقایسه می‌شود. در صورت عدم تطابق، خطا رخ داده و کاربر مجبور به ورود مجدد خواهد شد.

⚠️ نکته مهم:
هنگامی که از کوکی‌های معتبر استفاده می‌کنید، توصیه می‌شود Service Subdomain Access را غیرفعال کنید. در غیر این صورت، تلاش برای ورود از طریق سرویس‌های زیر دامنه باعث ثبت آدرس IP محلی (مثلاً 127.0.0.1) می‌شود و مکانیزم اعتبارسنجی IP بی‌اثر خواهد شد.

برای غیرفعال‌سازی سرویس زیر دامنه‌ها، در مسیر زیر در WHM گزینه Service subdomains را غیرفعال کنید:
WHM » Home » Server Configuration » Tweak Settings

الزام استفاده از SSL

برای افزایش امنیت، کاربران باید از طریق SSL یا TLS وارد حساب شوند. اگر ورود از طریق پورت‌های 2082، 2086 یا 2095 انجام شود، اطلاعات ورود به‌صورت متن ساده (Plain Text) منتقل شده و به راحتی قابل سرقت هستند.

توکن‌های امنیتی (Security Tokens)

cPanel & WHM برای مقابله با حملات XSRF از توکن‌های امنیتی استفاده می‌کند. در هر نشست ورود، یک توکن منحصربه‌فرد به URL اضافه می‌شود. اگر کاربر درخواستی بدون توکن معتبر ارسال کند، سیستم خطا داده و او را مجبور به ورود مجدد می‌کند.

این روش به‌طور مؤثر حملات XSRF را خنثی می‌کند زیرا لینک‌های مخرب حاوی توکن معتبر نخواهند بود.

⚠️ هشدار:
توکن‌های امنیتی ممکن است با برخی اسکریپت‌ها یا نرم‌افزارهای شخص ثالث ناسازگار باشند. پیش از فعال‌سازی آن‌ها، مطمئن شوید نرم‌افزارهای جانبی مورد استفاده شما سازگار هستند. اگر امکان استفاده از توکن‌ها وجود ندارد، پیشنهاد می‌شود از بررسی ارجاع‌دهنده (Referrer Check) استفاده کنید.

بررسی ارجاع‌دهنده (URL Referrer Checks)

HTTP Referrer آدرس صفحه‌ای است که کاربر از آن وارد شده است. فعال‌سازی بررسی ارجاع‌دهنده می‌تواند حملات را محدود کند، اما اغلب هشدارهای مثبت کاذب زیادی ایجاد می‌کند.

⚠️ توصیه امنیتی:
اگر نمی‌توانید از توکن‌های امنیتی استفاده کنید، گزینه‌های زیر را در بخش امنیتی Tweak Settings در WHM فعال کنید:

• Blank Referrer Safety Check
• Referrer Safety Check

استحکام رمز عبور (Password Strength)

رمزهای عبور ضعیف محافظت کافی در برابر حملات Brute Force فراهم نمی‌کنند. در این حملات، مهاجم با آزمون و خطا و اغلب به‌صورت خودکار تلاش می‌کند رمز عبور را حدس بزند.

برای جلوگیری از این موضوع، از مسیر زیر می‌توانید حداقل سطح قدرت رمز عبور کاربران را مشخص کنید:
WHM » Home » Security Center » Password Strength Configuration

🔑 نکات مهم:

• توصیه می‌شود حداقل مقدار قدرت رمز عبور را 50 یا بالاتر قرار دهید.
• این محدودیت تنها برای رمزهایی اعمال می‌شود که از طریق cPanel & WHM ساخته یا تغییر می‌یابند. کاربری که دسترسی Shell دارد همچنان می‌تواند با دستور passwd یک رمز ضعیف انتخاب کند.

جمع‌بندی

برای محافظت در برابر حملات XSRF، باید ترکیبی از روش‌های امنیتی شامل استفاده از کوکی‌های معتبر، الزام ورود از طریق SSL، فعال‌سازی توکن‌های امنیتی یا بررسی ارجاع‌دهنده، و همچنین اعمال رمزهای عبور قوی استفاده شود. این اقدامات می‌توانند به‌طور مؤثری سطح امنیت سیستم شما را افزایش دهند و از سوءاستفاده‌های احتمالی جلوگیری کنند.

کیان پور