باشگاه کاربران روماک

مهمان گرامی، خوش‌آمدید!

شما قبل از این که بتوانید در این انجمن مطلبی ارسال کنید باید ثبت نام کنید.

جستجوی انجمن‌ها

(جستجوی پیشرفته)

آمار انجمن

» اعضا: 3,543
» آخرین عضو: makabaka
» موضوعات انجمن: 10,393
» ارسال‌های انجمن: 14,568

آمار کامل

کاربران آنلاین

در حال حاضر 332 کاربر آنلاین وجود دارد.
» 0 عضو | 332 مهمان

آخرین موضوع‌ها

بوم‌گردی؛ سفر به قلب فرهن...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
دیروز، ۰۳:۰۲ عصر
» پاسخ: 0
» بازدید: 37

ویلا در شمال؛ تجربه لوکس ...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
دیروز، ۰۲:۵۹ عصر
» پاسخ: 0
» بازدید: 39

کلبه چوبی؛ پناهی گرم در د...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
دیروز، ۰۲:۵۸ عصر
» پاسخ: 0
» بازدید: 33

سفر به ماسال؛ اقامت در وی...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
۰۴/۸/۲۳، ۰۱:۴۲ عصر
» پاسخ: 0
» بازدید: 85

بهترین ویلاهای بابلسر برا...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
۰۴/۸/۲۳، ۰۱:۴۱ عصر
» پاسخ: 0
» بازدید: 71

سوئیت یا ویلا؟ بهترین گزی...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
۰۴/۸/۲۳، ۰۱:۴۰ عصر
» پاسخ: 0
» بازدید: 60

آینده‌ای بدون صف؛ وقتی فن...
انجمن: گفتگوی آزاد
آخرین ارسال توسط: marjan1999
۰۴/۸/۲۱، ۰۱:۲۸ عصر
» پاسخ: 0
» بازدید: 87

نقش دستگیره هوشمند در امن...
انجمن: گفتگوی آزاد
آخرین ارسال توسط: marjan1999
۰۴/۸/۲۰، ۰۴:۵۵ عصر
» پاسخ: 0
» بازدید: 67

آموزش طرز تهیه کیک مرغ با...
انجمن: گفتگوی آزاد
آخرین ارسال توسط: navidradi
۰۴/۸/۱۹، ۰۶:۱۲ عصر
» پاسخ: 0
» بازدید: 68

ویلا بابلسر؛ ترکیب دریا، ...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
۰۴/۸/۱۶، ۰۲:۲۵ عصر
» پاسخ: 0
» بازدید: 92

ویلا؛ انتخابی برای سبک زن...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
۰۴/۸/۱۶، ۰۲:۲۱ عصر
» پاسخ: 0
» بازدید: 74

اجاره ویلا در رشت؛ تجربه ...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
۰۴/۸/۱۶، ۰۲:۱۶ عصر
» پاسخ: 0
» بازدید: 76

هوشمند سازی ساختمان در ته...
انجمن: گفتگوی آزاد
آخرین ارسال توسط: navidradi
۰۴/۸/۱۴، ۱۰:۳۷ صبح
» پاسخ: 1
» بازدید: 975

زندگی محلی را با بوم‌گردی...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
۰۴/۸/۹، ۰۸:۵۶ عصر
» پاسخ: 0
» بازدید: 86

یک آخر هفته رویایی در ویل...
انجمن: سفرهای داخلی
آخرین ارسال توسط: arvin912
۰۴/۸/۹، ۰۸:۵۵ عصر
» پاسخ: 0
» بازدید: 81

معرفی ابزار متاسپلویت Metasploit Framework

ارسال کننده: saberi - ۹۷/۲/۲، ۰۱:۳۴ صبح - انجمن: هک و امنیت - بدون پاسخ

در دنیای فناوری اطلاعات به ویژه علم امنیت اطلاعات ، نیاز متخصصان به ابزار ها و نرم افزار های مفید در این حوزه روز به روز بیشتر میشود . این نیاز چه از دیدگاه آزمایش نفوذ و پیاده سازی حملات هکری و چه در زمینه امن سازی بستر های ارتباطی و شبکه ای احساس میشود.

یکی از ابزار هایی که امروزه در شاخه علم آزمایش نفوذ و پیاده سازی حملات نفوذگری در میان متخصصان و نفوذ گران جای خود را پیدا کرده است Metasploit Framework نام دارد که میتوان گفت جز بهترین و در واقع قدرتمند ترین ابزار ها در این حوزه به شمار می آید. این چارچوب قدرتمند که از این پس آن را MSF می نامیم هم اینک جز مفید ترین ابزار ها در زمینه حسابرسی و آزمایش به حساب می آید . از ابزار گفته شده ، به صورت وسیعی در شاخه علم آزمایش نفوذ و چه در شاخه نفوذگری و پیاده سازی حملات هکری توسط متخصصان علم امنیت و نفوذ گران استفاده میشود.

ابزار متاسپلویت که ابزاری کد باز است یک ابزار تکی و ساده نیست، بلکه در واقع مجموعه ای کامل از ابزار ها و کد های بهره برداری گوناگون است که در قالب یک سکوی قدرتمند ارائه و بروز رسانی میشود.

تاریخچه ابزار متاسپلویت

این ابزار قدرتمند توسط پژوهشگر امنیت HD Moor در اکتبر سال 2003 توسعه داده شد. ابزار گفته شده بر اساس اسکریپت های زبان پرل (perl) توسعه داده میشود . این ابزار با هدف افزایش سطح اطلاعاتی کارشناسان شبکه و امنیت در این حوزه در مدت کوتاهی دوباره به زبان Ruby نوشته شد که بیش از 150 هزار خط کد برنامه نویسی دارد . نسخه 3 آن در سال 2007 طراحی و پیاده سازی شد در سال 2009 این ابزار در قالب شرکت امنیتی به نام Rapid7 توسعه داده شد. هم اینک این ابزار بیش از 1000 کد اکسپلویت (Exploit) ، بیش از 200 ماژول ،بیش از 460 Auxiliary دارد که برای اهداف آزمایش های نفوذ و بهره برداری علیه سیستم و شبکه ی هدف مورد استفاده قرار میگیرد.

معرفی آسیب پذیری های تحت وب

ارسال کننده: saberi - ۹۷/۲/۲، ۰۱:۳۰ صبح - انجمن: هک و امنیت - بدون پاسخ

در این مقاله قصد داریم به آسیب پذیری های موجود در وب و سیستم های تحت وب که ممکن هست خیلی از سایت ها سیستم های تحت وب دچار آن شوند، اشاره کنیم.

1) Injection :

حملات تزریق یا اینجکشن زمانی رخ میدهد که برنامه های کاربردی تحت وب بدون اعتبار سنجی و انجام آنالیز رویquery ها یا داده های ورودی ، اقدام به پردازش داده های وارد شده میکنند ، بسیاری از حملات رایج تزریق رو در زیر لیست شده اند:

پرس و جو های Structured Query Language) SQL)
پرس و جو های Lightweight Directory Access Protocol) LDAP)
پرس و جو های XML Path Language) XPATH)

2) Cross-Site Scripting) XSS) :

در این حمله کد های سمت کلاینت همچون جاوا اسکریپت به سایت تزریق میشوند و هدف اصلی هکر ها کاربرانی هستند که به سایت مراجعه کرده اند. در حقیقت هکر ها در این نوع از حمله ، اطلاعات کاربران سایت را بدون آگاهش آنها به سرقت میبرند.به زبانی ساده تر این آسیب پذیری، به هکر اجازه میدهد تا آنها اسکریپت هایی مانندJava-Script یا VB-Script روی مرورگر کلاینت ها اجرا کنند; مانند ربودن نشست کلاینت ها و هدایت آنها به سوی سایت های آلوده و … این حمله به 2 نوع هست :

Non-Persistent) Reflected): این روش در هر لحظه از حمله ، تنها برای یک درخواست اعتبار دارد. به زبان ساده تر میتوان گفت رابطهی ایجاد شده بین نفوذگر و قربانی ها ، به صورت (1:1) یک به یک است.مثلا ارسال یک لینک آلوده از طریق ایمیل به کاربر که حاوی یک اسکریپت مخرب است.
Persistent) Stored): این روش بر خلاف روش قبلی بسیار خطرناک است. چون اسکریپت مخرب، درون برنامه کاربردی جاسازی شده و در یک لحظه میتواند به تعداد زیادی از کاربران حمله کند. به زبان ساده تر میتوان گفت رابطه ز ایجاد شده بین هکر و قربانی ها به صورت یک به چند است.

3) Cross-Site Request Forgery) CSRF) :

این حمله به XSRF نیز مشهور است ، نفوذگر در این حمله کاربری که وارد برنامه تحت وب شده را مجبور به ارسال یک درخواست به نرم افزار وب آسیب پذیر میکند تا عملیات دلخواه نفوذگر را انجام دهد. برای مثال، اگر کاربر به طور همزمان وارد ایمیل خود و حساب بانکی اش شده باشد، هکر یا نفوذ گر، برای کاربر ایمیل ارسال میکند و بیان میکند که اطلاعات بانکی او نیاز به به روز رسانی از طریق یک پیوند دارد و کاربر با کلیک بر روی یک پیوند یا لینک بدون آنکه آگاه باشد، دستور انتقال وجه از حساب بانکی اش به حساب بانکی دیگری را به صورت خودکار برای نرم افزار بانک فرستاده و در این لحظه اگر نرم افزار بانک فاقد مکانیزم های اعتبار سنجی باشد، درخواست ارسال شده، حتما پردازش خواهد شد. امروزه برای جلوگیری از این گونه حملات ، از شناسه های معتبر (Valid-Tokens) پیچیده ، طولانی و تصادفی استفاده میشود.

4) Broken-Authentication & Session Management :

گاهی به خاطر عدم پیاده سازی درست توابع در بخش هایی مانند مدیریت نشست ها، توکن ها، اعتبارنامه ها، هویت سنجی استفاده کنندگان، سطوح دسترسی و… باعث میشود هکر از چنین حفره های امنیتی برای دست یابی به اطلاعات مهم افراد سوء استفاده کند.

5) Insecure-Direct-Object-References) IDOR) :

این نوع از آسیب پذیری ها زمانی رخ میدهد که توسعه دهنده ، بدون پیاده سازی مکانیزم های کنترل سطح دسترسی و… ، دسترسی منبع/منابع به شئ/اشیاء داخلی برنامه یا سیستم را نا آگاهانه باز میدارد.هکر با دستکاری مقادیر چنین ارجاعاتی میتواند به داده های مهم برنامه ی وب یا سرور دسترسی غیر مجاز به دست آورد.

6) Sensitive-Data-Exposure :

بسیاری از برنامه های کاربردی تحت وب از اطلاعات حساسی مانند اطلاعات اعتبار سنجی کاربران ، اطلاعات کارت بانکی ، اعتبار نامه ها ، و… به درستی محافظت نمیکنند هکر با ربودن این اطلاعات قدر به سوء استفاده از آن ها و ایجاد خرابکاری خواهد بود.اطلاعات محرمانه و مهم، نیازمند تدابیر محافظتی ویژه ای است که از آن جمله میتوان به رمز نگاری اطلاعات در زمان تبادل اطلاعات با مرورگر ها اشاره نمود.

7) Missing-Function-Level-Access-Control :

بسیاری از برنامه های کاربردی وب پیش از اجرای توابع و نمایش خروجی در بخش واسط کاربری (UI)، حق دسترسی را بررسی میکنند.پس نرم افزار باید همان سطح دسترسی را در سمت سرور نیز بررسی کند و چنانچه در خواست های آمده اعتبار سنجی نشود، هکر یا نفوذگر قادر به جعل درخواست ها بوده و میتواند از این رخنه برای دسترسی به امکانات توابع استفاده کند.

8) Componnents-with-know-Vulnerabilities :

مولفه هایی مانند کتاب خانه ها ،فریم ورک ها و دیگر ماژول های نرم افزاری ، معمولا با سطح دسترسی کامل اجرا میشوند.اگر در یکی از این مولفه ها آسیب پذیری افشا شود، باعث به دست آوردن دسترسی به سرور و تخریب اطلاعات خواهد شد.نرم افزار هایی که از این گونه مولفه ای دارای آسیب پذیری های شناخته شده استفاده میکنند ، امکان رخ دادن حملات گشترده ای رو فراهم میسازند.

9) Security-Misconfiguration :

برقراری امنیت نیازمند تعریف و استقرار پیکر بندی مناسب در نرم افزار ها، فریم ورک ها ، وب سرور ها ، بانک های اطلاعاتی، سیستم عامل ها و … می باشند.تنظیمات امنیتی میبایست تعریف ، پیاده سازی و نگه داری شود همچنین نرم افزار ها باید به روز نگه داری شوند.

10) Unvalidated-Redirects-and-Forwards :

برنامه های کاربردی وب همواره در حال تغییر دادن مسیر کاربران به صفحات دیگر میباشند و متاسفانه از تکنیک های ضعیف به منظور تشخیص صفحات مقصد استفاده میکنند. بدون اعتبار سنجی مناسب ، هکر قادر به هدایت قربانیان به سایت های الوده خواهد بود.

تروجان‌های بانكداری دنباله‌رو باج افزار

ارسال کننده: arenanoc - ۹۷/۲/۱، ۰۴:۵۷ عصر - انجمن: هک و امنیت - بدون پاسخ

تروجان بانکداری یک نوع بدافزار است که با هدف سرقت اطلاعات محرمانه مربوط به حساب‌های بانکی مورد استفاده قرار می‌گیرد. این نوع تروجان سال‌ها است که تبدیل به ابزار اصلی سارقین سایبری گردیده است. با این وجود، باج افزار که سهولت استفاده و موفقیت بالای آن تاکنون به اثبات رسیده تدریجا درحال از دست دادن محبوبیت خود است.

در یک حمله تروجان بانکداری، برای مثال سارق یک کمپین فیشینگ به راه می‌اندازد تا هدف را برای باز کردن ضمیمه حاوی بدافزار یا کلیک روی لینکی اغوا نماید، که ورود محتوای پنهان شده آن به رایانه قربانی را باعث گردد. زمانی‌ که تروجان نصب شد، سارق می‌تواند از طریق آن به اطلاعات محرمانه بانکداری قربانی دست یابد و اقدام به برداشت از حساب بانکی وی نماید.

به گفته اندی فیت رئیس بخش بازاریابی محصول‌های مبارزه با تهدیدها در Check Point، اخیرا گرایش قابل‌ملاحظه‌ای به باج افزار به‌عنوان بدافزار انتخابی سارقین آنلاین مشاهده گردیده است. به گفته وی در مصاحبه‌ای با TechNewsWorld، «ما در سه ماه گذشته شاهد گرایش قابل‌ملاحظه جامعه هکری به نصب باج افزار بر روی سیستم‌ها بودیم.» «باج افزار اکنون به عنوان ابزار درآمدزایی مورد توجه است،ولی زمانی‌ که یک گرایش رایج گردد، شبکه‌های اجتماعی هکرها شروع به خبرسازی در ارتباط با آن خواهند کرد و هرکس شروع به استفاده از آن خواهد کرد.»

مزایای بیشتر، بازده‌های بهتر

طبق گزارش گد ناوه محقق امنیت از Check Point، بدافزار بانکداری نیازمند تطبیق‌پذیری و سفارشی‌سازی قابل‌توجه مطابق با بانک هدف است. در واقع هیچ سلاح عمومی برای حمله وجود ندارد. این وضعیت با شرایط باج افزار قابل مقایسه است که به‌سهولت توسط مجرمان سایبری و بدون نیاز به تغییرات ویژه بوسیله توسعه‌گر قابل تطبیق با هدف هستند. تنها تغییر در واقع اصلاح متن باج‌گیری است که البته بوسیله Google Translate نیز قابل انجام است.

به‌علاوه دست‌یافتن به پول قربانی بواسطه باج افزار ساده‌تر از تروجان بانکداری است. عموما، مجرمان سایبری پول را از حساب بانکی به حساب ساختگی برای تبدیل به پول نقد هم‌ارز (مانند انتقال وجه Western Union) انتقال می‌دهند. ناوه توضیح داد، «سیستم‌های کلاهبرداری بانکداری می‌توانند هشدار قرمز را برای دستگیری هکر در زمان تلاش برای دریافت پول فعال سازند یا فقط انتقال وجه را مسدود سازند.» «توانایی سیستم‌های بانکداری در ردیابی نقل و انتقالات وجوع یا برداشت فیزیکی برای هکر ریسک‌آمیز است.»

در مقایسه، قربانی‌ها باج درخواست شده از طریق باج افزار را به بیت‌کوین پرداخت می‌کنند. اشخاص ثالث بیرونی نمی‌توانند در نقل و انتقال وجوه دیجیتال دخالت نمایند. ناوه خاطر نشان شد، «جابجایی کیف پول بیت‌کویت غیرقابل ردیابی بودن تراکنش توسط مقامات را تضمین می‌نماید و تبدیل بیت‌کویت به پول نقد به‌سهولت مراجعه به دستگاه ATM است.» به اعتقاد وی، «با تکیه بر این مزایا، آشکار است که چرا باج افزار اینقدر برای مجرمین سودآور است.» «این گرایش سریعا درحال رشد است و باید انتظار رشد بیشتر آن را نیز داشت.»

زمانی‌که حفاظت بدل به عفونتی بدخیم می‌گردد

فرض بر این است که نرم‌افزار امنیتی باید از دستگاه‌ها در برابر بازیگران بداندیش محافظت نماید؛ ولی گاهی‌اوقات افراط در حفاظت از سیستم در واقع باعث آسیب‌پذیرتر شدن آن در مقابل حمله خواهد شد. این وضعیت زمانی رخ می‌دهد که مرورگر با مسیر داده رمزنگاری شده‌ای برخورد می‌نماید. با اتصال غیر رمزنگاری شده، محصولات امنیتی می‌توانند جریان داده را پویش نمایند و اگر تشخیص دهند که هیچ چیز مخربی وجود ندارد، آنگاه اجازه عبور داده را می‌دهند. این موضوع زمانی‌که جریان داده رمزنگاری شده امکان‌پذیر نیست، زیرا تشخیص ابتدا یا پایان مولفه‌های جریان داده ممکن نیست.

برای حل این مسئله، نرم‌افزار امنیتی عموما اتصال را قطع می‌نماید و هویت وب سایتی که مرورگر قصد تماس با آن را داشته را تقلید می‌نماید. به گفته لانس کوترل محقق ارشد در Ntrepid، «شیوه عملکرد نرم‌افزار امنیتی در این وضعیت، اغلب باعث می‌گردد که مرورگر دیگر نداند که آیا این سایت امن و قابل اطمینان است یا خیر.» این موضوع عموما باعث برانگیختن هشدار مرورگر خواهد شد.

با این وجود، نرم‌افزار امنیتی برای حل این موضوع گواهینامه‌ای را نصب می‌نماید که نرم‌افزار می‌تواند امضا کند. مسئله‌ای که این رویکرد به دنبال داشته این است که باعث می‌گردد که مرورگر کلیه اتصال‌ها را به‌عنوان معتبر بپذیرد حتی اگر معتبر هم نباشند. به گفته کوترل، توسعه‌گران نرم‌افزارهای امنیتی می‌توانند از مسئله اجتناب کنند. به گفته وی در مصاحبه‌ای با TechNewsWorld، «شیوه‌هایی برای طراحی این سیستم‌ها وجود دارند به‌طوری‌که شما لزوما نباید SSL را بشکنید. و پیاده‌سازی قابلیت پویش در داخل خود مرورگر بسیار بهتر خواهد بود.» کوترل توضیح می‌دهد، «داخل مرورگر، شما می‌توانید داده را بازرسی نمایید و پیش از رمزنگاری آن، داده را مورد بررسی قرار دهید.» «از اینرو، شما لزوما نباید مدل امنیت SSL را بشکنید.»

کلاهبرداری تبلیغاتی

تبلیغات آنلاین درحال رونق است. عواید تبلیغات در شش ماهه نخست سال 2015 بالغ بر 5/27 میلیارد دلار بوده است که 19درصد افزایش را در مقایسه با نیمه نخست سال 2014 نشان می‌ دهد (طبق گزارش دفتر تبلیغات تعاملی). متاسفانه، با افزایش عواید تبلیغات، کلاهبرداری تبلیغاتی نیز افزایش یافته است. طبق گزارش انجمن تبلیغ‌کننده‌های ملی، انتظار می‌رود که کلاهبرداری از این طریق در سال جاری هزینه‌ای بالغ بر 2/7 میلیارد دلار داشته است. این میزان تقریبا یک میلیارد دلار بیش از سال 2015 بوده است که کلاهبرداری تبلیغاتی رقم 3/6 میلیارد دلار را نشان می‌داد.

در تلاش برای کاهش این ضرر و زیان‌ها، گروه Trustworthy Accountability هفته گذشته ابتکار عملی را برای مبارزه با فعالیت مجرمانه در زنجیره تامین تبلیغات دیجیتال معرفی نمود. از طریق این برنامه، شرکت‌ها پس از برآوردن الزامات ضد کلاهبرداری سخت‌گیرانه‌ گواهینامه‌ای را دریافت می‌نمایند. به گفته سیدنی گولدمن مدیر بازاریابی Engage:BDR به‌عنوان یکی از اولین‌ها در حوزه صنعت که تعهد خود را به برنامه جدید اعطای گواهینامه اعلام کرد، «فناوری‌های بسیاری وجود دارند که آماده مبارزه با کلاهبرداری تبلیغاتی هستند، ولی در عمل هیچ استاندارد مرکزی از بهترین رویه‌های قابل پیاده‌سازی در این ارتباط وجود ندارد.»

به گفته وی در مصاحبه‌ای با TechNewsWorld، «با تکیه بر این برنامه، مردم می‌توانند بگویند که «ما این قوانین را دنبال می‌کنیم، قوانینی که هر کس دیگر دنبال می‌نماید و از اینرو، آنچه که ما انجام می‌دهیم مشروع و قانونی است.»

«این مورد راه‌حلی بدون واسط نخواهد بود، ولی امیدواریم که ظرف یک یا دو سال آتی باعث کاهش چشمگیر در کلاهبرداری شود.»

همكاری مایكروسافت و F5

ارسال کننده: arenanoc - ۹۷/۲/۱، ۰۳:۲۹ عصر - انجمن: کامپیوتر و اینترنت - بدون پاسخ

F5 راه‌حل Turnkey WAF را در مرکز امنیت Azure مایکروسافت راه‌اندازی نمود.

جدیدترین راه‌حل فایروال برنامه‌کاربردی وب (WAF) شرکت F5 برای Azure، بنگاه‌های اقتصادی را در انطباق با الزامات و حفاظت از دارایی‌های خویش در مقابل تهدیدهای کنونی و جدید علیه برنامه‌های کاربردی و حملات DDoS یاری می‌رساند. مدیران یا توسعه‌گران مرکز امنیت Azure می‌توانند به‌سهولت سرویس F5 را انتخاب نمایند، سطح حفاظت مناسب را تعیین کنند.

رشد Apps و DevOps

مزایای اتخاذ ابر عمومی توسط شرکت‌ها پیش از این اثبات گردیده‌است: کاهش زمان محصول/خدمات تا عرضه در بازار، تغییر هزینه‌ها از هزینه‌های سرمایه‌ای به هزینه‌های عملیاتی و تمرکز دوباره بر نگرانی‌های اصلی کسب و کار. لذا نباید تعجب کرد که سازمان‌ها راهبرد «ابتدا ابر» را برای برنامه‌های کاربردی جدید اتخاذ نموده‌اند و انتقال بارهای کاری کنونی به محیط‌های ابر عمومی درحال افزایش است. چنین تلاش‌هایی پایه و اساس پیش‌بینی Azure را می‌سازد که ظرفیت ابر عمومی هر 9 تا 12 ماه یکبار ظرف چند سال دوبرابر خواهد شد. این موضوع نشان می‌دهد که تعداد برنامه‌های کاربردی میزبانی شده در ابرهای عمومی احتمالا تا سال 2017 به رقم 30 میلیون خواهد رسید.

چالش‌های ابرهای عمومی

این آهنگ حرکت می‌توانست سریع‌تر باشد اگر چالش‌های پیش رو بنگاه‌های اقتصادی در زمان انتقال برنامه‌های کاربردی موجود به محیط ابر وجود نداشتند. درحالی‌که ابرهای عمومی قطعا ظرفیت جذب رشد حجم حملات مبتنی‌بر شبکه را افزایش می‌دهند، ما امروز به‌طور ناگزیر پذیرفته‌ایم که امنیت برنامه‌کاربردی در حوزه مسئولیت توسعه‌گران و مالکین برنامه‌های کاربردی قرار دارد. و چنین مسئولیتی بسیار جدی و سنگین است، درحالی‌که حملات مبتنی‌بر وب (درخواست-پاسخ) تا سطح هشدار افزایش یافته‌اند. به گزارش یک ناظر صنعت، حملات برنامه‌کاربردی وب در سه‌ماهه نخست سال 2016، 25درصد افزایش یافته است درحالی‌که حملات مبتنی‌ بر HTTPS افزایش 236درصدی را تجربه کرده‌اند. و این درحالی است که حملات متناسب با صنعت هدف به‌صورت اختصاصی عمل می‌نمایند و لذا، هیچ افقی امن نیست. به‌طور اخص، حملات SQLi و XSS دوباره درحال افزایش هستند.

این موضوع احتمالا بخاطر شانس بالای موفقیت آنها در زمان درمعرض خطر قرار گرفتن برنامه‌های کاربردی کنونی است که سال‌ها قبل توسعه یافته‌اند. به‌رغم اطلاع از تهدیدها و نیاز به برخورد قطعی‌تر با آنها، سازمان‌ها با چالش‌هایی از قبیل موارد ذیل روبرو هستند:

انتخاب بهترین گزینه از بین تعداد زیادی گزینه جذاب و مطلوب؛
گسترش با تکیه بر امنیت برنامه‌کاربردی محدود؛
تاخیر پروژه؛

بهره‌برداری از راه‌حلی پیچیده با وجود کادر فناوری اطلاعات اندک که مهارت‌ها یا تجربه لازم برای پیکربندی و مدیریت آن را دارند. در سطح بالا، نتیجه عموما برنامه‌کاربردی با حفاظت بیشتر در ابر عمومی است. و در سطح پایین، سیاست غیرمنظم و پراکنده و سیلوهای دستگاه وجود خواهد داشت که شکاف‌هایی را در امنیت ایجاد خواهند کرد؛ شکاف‌هایی که زمینه‌ساز بروز سایر آسیب‌پذیری‌ها خواهند بود. در اینجا، هنوز ریسک بالقوه تاثیر منفی خدمات مرتبط با امنیت بر دسترس‌پذیری و عملکرد برنامه‌کاربردی مدنظر قرار نگرفته است که متعاقبا می‌تواند باعث کاهش بهره‌برداری و تنزل سود گردد.

خوشبختانه، ارائه‌دهنده‌های خدمات ابر عمومی (همانند مایکروسافت) تلاش بسیاری برای حل چنین نگرانی‌هایی از طریق پیاده‌سازی مستقیم قابلیت‌های امن‌تر در زیرساخت ابر و مشارکت با فروشنده‌های معتبر حوزه امنیت نموده‌اند؛

فروشنده‌هایی که محصولات و خدمات ایشان پیش از این به‌طور گسترده‌ای در مراکز داده خصوصی پیاده‌سازی و مورد بهره‌برداری قرار گرفته‌اند.

F5 و مرکز امنیت Azure مایکروسافت: یکپارچه‌سازی توام با سهولت بهره‌برداری و انطباق

بیش از یک دهه است که بنگاه‌های اقتصادی از راه‌حل‌های امنیت برنامه‌کاربردی F5 استفاده می‌نمایند. بسیاری از این راه‌حل‌ها روی نسخه‌های مجازی مبتنی‌بر نرم‌افزار و سخت‌افزار F5 BIG-IP در مراکز داده خصوصی پیاده‌سازی شده‌اند. با فرض افزایش کاربرد ابر عمومی، F5 راه‌حل‌های امنیتی خویش را به بارکاری برنامه‌های کاربردی در محیط‌های ابر عمومی نیز تعمیم داده است. امروز F5 به خود می‌بالد که راه‌حل‌های خود را در بازار Azure مایکروسافت برای نزدیک به یک سال به‌عنوان یک ابزار مجازی در اختیار عموم قرار داده است.

امروز با معرفی مرکز امنیت Azure، شرکت F5 جایگاه پیشتاز خود را در حوزه امنیت برنامه‌کاربردی با یکپارچگی بیشتر و سهولت پیاده‌سازی و بهره‌برداری اثبات نموده است. جدیدترین راه‌حل فایروال برنامه‌کاربردی وب (WAF) شرکت F5 برای Azure بنگاه‌های اقتصادی را در انطباق با الزامات و حفاظت از دارایی‌های خویش در مقابل تهدیدهای کنونی و جدید علیه برنامه‌های کاربردی و حملات DDoS یاری می‌رساند.

به گفته میکال براورمان-بلومنستیک مدیر عامل واحد Azure Cybersecurity در شرکت مایکروسافت، «مرکز امنیت Azure بارهای کاری در محل‌هایی کشف می‌نماید که فایروال‌های برنامه‌کاربردی وب توصیه شده‌اند و تدارک،

پایش و هشدار را از طرف ارائه‌کننده‌های پیشتاز راه‌حل‌ها در این حوزه (همانند F5) یکپارچه‌سازی می‌نماید.» «مشتریان ما از مزیت چشم‌انداز یکپارچه امنیتی بین پیاده‌سازی‌های Azure خویش (شامل ابزارهای F5 BIG-IP که

پیاده‌سازی و مورد بهره‌برداری قرار داده‌اند) برخودار خواهند بود که انتقال راه‌حل‌های امنیتی مورد اعتماد ایشان را به محیط ابر تسهیل خواهد کرد.»

هسته راه‌حل F5 WAF از مزیت فناوری‌های پیشتاز در صنعت و تحت گواهینامه ICSA «مدیر ترافیک محلی» (LTM) و «مدیر امنیت برنامه‌کاربردی BIG-IP» (ASM) به‌عنوان سرویس مجازی از پیش پیکربندی شده داخل مرکز امنیت Azure برخوردار است. با تکیه بر این سرویس، بخش فناوری اطلاعات از مزایای کنترل سطح مرکز داده و سفارشی‌سازی در محیط ابر عمومی Azure بهره‌مند خواهد بود. این سرویس سطح حفاظت لایه کاربردی فراگیری را ارائه می‌نماید و به‌سهولت با استفاده از سه سطح حفاظت از پیش تعریف شده توسط کارشناسان امنیت F5 قابل فعال‌سازی است.

مدیران یا توسعه‌گران مرکز امنیت Azure می‌توانند به‌سهولت سرویس F5 را انتخاب نمایند، سطح حفاظت مناسب را تعیین کنند و سپس، ظرف چند دقیقه دفاع از برنامه‌های کاربردی در مقابل تهدیدها آغاز می‌گردد.

گزارش‌ها و تحلیل‌های امنیتی بلادرنگ از طرف F5 برای برنامه‌های کاربردی به‌طور یکپارچه در مرکز امنیت Azure در قالب یک داشبورد حاوی اطلاعات و چشم‌اندازهای ارزشمند برای توسعه‌گران برنامه‌کاربردی، بخش فناوری اطلاعات مرکزی و تیم‌های امنیتی قرار گرفته‌اند.

به گفته دامیر ورانکیک مدیر بخش مدیریت محصول ابر در شرکت F5، «راه‌حل Turnkey F5 WAF برای مرکز امنیت Azure از تخصص F5 در حوزه امنیت میکروتیک و اتوماسیون برای ساده‌سازی پیاده‌سازی و پیکربندی بهره جسته است.»

«این موضوع بهبود سطح حفاظت برنامه‌های کاربردی در محیط Azure را برای کاربران بیشتری (از جمله، تیم‌های DevOps) امکان‌پذیر می‌سازد.»

شرکت F5 انعطاف‌پذیری لازم را برای فعال‌‌سازی سرویس WAF درصورت دسترس‌پذیری یا از طریق اجرای LTM BIG-IP وBIG-IP ASM در قالب ماشین‌های مجازی Azure ارائه می‌کند. درحالی‌که توصیه می‌گردد که ابتدا یکی از سطوح حفاظت از پیش پیکربندی شده را برای برآوردن سریع سیاست‌های انطباق انتخاب نمایید، بنگاه‌های اقتصادی نباید در اینجا متوقف شوند. و زمانی‌که سرویس F5 WAF فعال شد، دسترسی به مجموعه‌ای از ویژگی‌های پیشرفته ASM وجود خواهد داشت که سفارشی‌سازی بیشتر را برای برآوردن نیازهای منحصر به فرد سازمانی یا برنامه‌کاربردی امکان‌پذیر می‌سازد. یا می‌توانند از مزیت قابلیت توکار Rapid Policy Builder برای اتوماسیون ایجاد سیاست امنیتی خود استفاده نمایند.

از سوی دیگر، پیاده‌سازی راه‌حل F5 در محیط Azure گسترش و تعمیم سیاست‌های امنیتی موجود در سازمان‌ها را برای حفظ سازگاری بین محیط‌های ابر عمومی، کاربرد الگوی موجود iApps و iRules و استفاده از لیسانس‌های F5 کنونی از طریق گزینه Bring Your Own License (BYOL) امکان‌پذیر می‌سازد.

10 روش برای جلوگیری از هک دوربین مداربسته

ارسال کننده: doorbinmarket - ۹۷/۲/۱، ۰۲:۳۷ عصر - انجمن: هک و امنیت - بدون پاسخ

چرا هکرها، دوربین های مداربسته را هک می کنند؟ هدف آن ها از این کار چیست ؟ برای جلوگیری از این کار باید چه کار هایی انجام دهیم ؟

هدف ما از نصب دوربین مداربسته، محفاظت از جان و مال عزیزانمان در مقابل خرابکاران است. به همین خاطر، هکرها می خواهند سیستم امنیتی شما را هک کنند تا بتوانند به ساختمان نفوذ کرده و به هدف خود برسند! آنها می توانند از خانه شما سرقت کنند و یا فعالیت های غیر قانونی دیگری انجام دهند . آن ها می توانند زنگ هشدار سیستم امنیتی را غیرفعال کرده و به داخل ساختمان شما، وارد شوند.

در این مقاله شما با این روش ها آشنا می شوید .

1) تغییر دادن رمز عبور در فواصل زمانی کوتاه

دسترسی به سیستم دوربین مداربسته از طریق رمز عبور انجام می گیرد. اگر احساس می کنید که چندین نفر رمز عبور سیستم شما را در دسترس خود دارند، آن را تغییر دهید. هیچ موقع به افراد متفرقه و غیرقابل اطمینان، رمز عبور خود را نگویید. اگر متوجه شدید که کسی به سیستم امنیت شما دسترسی پیدا کرده، به سرعت پسورد را تغییر دهید.

2) محافظت از Wi-Fi

اگر از سیستم امنیتی در ساختمان مسکونی یا تجاری خود استفاده می کنید، از شبکه اینترنت خود با یک رمز عبور قوی محافظت کنید. رمز عبور شبکه های WIFI را تنها با خانواده و دوستان نزدیک خود به اشتراک بگذارید تا شانس هک دوربین مداربسته را به حداقل برسانید.

3) استفاده از یک شبکه اختصاصی

اگر سیستم نظارتی دوربین مداربسته را از راه دور کنترل می کنید، توصیه می شود که از یک شبکه اختصاصی استفاده کنید. اگر از WIFI عمومی استفاده کنید، خطر هک شدن افزایش می یابد.

4) خرید دوربین مداربسته با سیگنال های رمز گذاری شده

به تازگی ، ویژگی ها و مشخصات دوربین های امنیتی، ببسیار توسعه یافته است. اگر شما یک دوربین مداربسته پیشرفته خریداری کنید که دارای سیگنال های پیچیده تر است و قابلیت ارسال اطلاعات را در قالب چندین کانال دارد ، در اینصورت کسی نمی تواند به راحتی به آن نفوذ کند.

5) چشم خود را بر روی کاربران نگه دارید

یک سیستم امنیتی می تواند توسط هر کسی هک شود. از این جهت همیشه باید کنترل کنید که در زمان حضور و یا عدم حضور شما، چه کسی دسترسی به شبکه داشته و چه کاری انجام داده است.

6) خرید از فروشگاه های قابل اعتماد

اگر قصد خرید دوربین مداربسته را دارید، حتما آن را از یک تولید کننده و فروشگاه معتبر تهیه کنید . دوربین های مداربسته ارزان قیمت را به آسانی می توان هک کرد.

7) عدم خرید سیستم دوربین مداربسته ای که قبلا استفاده شده است

اگر به فکر افزایش امنیت ساختمان خود هستید، همواره دوربین مداربسته ای جدید را خریداری کنید تا از مزایای آن بهره مند شوید. دوربین مداربسته ای که قبلا استفاده شده، به آسانی هک می شود و می تواند به عنوان ابزار جاسوسی مورد استفاده قرار گیرد. توصیه ما به شما این است که نباید دوربین مداربسته را از افراد غریبه و افراد ناشناس خریداری کنید.

8) خرید و راه اندازی دزدگیر

از سیستم دزدگیر (Anti-jammer) استفاده کنید. این سیستم می تواند به شما در مورد هر گونه نقص سیگنال که ممکن است توسط یک دستگاه jamming ایجاد شود، هشدار دهد.

9) خرید دوربین مداربسته با سیم

سیستم های امنیتی دوربین مداربسته باسیم بازدهی بیشتری دارند . اگر سیستم دوربین مداربسته شما سیمی باشد ، بدیهی است که تعداد کمی از مردم می توانند به آن دسترسی پیدا کنند. از این جهت ، دوربین های باسیم، در مقایسه با دوربین های مداربسته بی سیم، کمتر امکان هک شدن دارند.

10) به روزرسانی سیستم دوربین مداربسته

بر روی به روز رسانی سیستم های امنیتی خود تمرکز کنید تا ویژگی های آن را ارتقا دهید و عملکرد آن را افزایش دهید. بسیاری از تولید کنندگان، سیستم خود را به طور منظم با ویژگی های پیشرفته تر برای مقابله با تهدیدات جدید، ارتقا می دهند. اگر این ویژگی های جدید را نادیده بگیرید و عملیات روزرسانی را انجام ندهید، احتمال هک دوربین مداربسته افزایش می یابد.

منبع : دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

ثبت شرکت فوم

ارسال کننده: sabtnik - ۹۷/۲/۱، ۰۲:۲۸ عصر - انجمن: معرفی سایت، وبلاگ و خدمات - بدون پاسخ

این شرکت ها در زمینه ی فوم و تولیدات فومی به فعالیت می پردازند. اگر می خواهید یک شرکت فوم راه اندازی کنید، بایستی ابتدا با انواع شرکت ها (سهامی خاص، سهامی عام ، با مسئولیت محدود ، تضامنی، تعاونی، مختلط سهامی ، مختلط غیرسهامی ) از نظر ماهیت حقوقی آشنا شده و سپس اقدام به ثبت شرکت خود نمایید.
شرایط لازم جهت ثبت شرکت فوم سهامی خاص
حداقل سرمایه شرکت سهامی خاص یک میلیون ریال است ولی در مورد افزایش یا حداکثر آن محدودیتی وجود ندارد.

حداقل 35 درصد سرمایه نقداَ پرداخت شود.ثبت شرکت فوم ثبت نیک
حداقل 3 نفر عضو+ 2 نفر بازرس
مدارک لازم جهت ثبت شرکت فوم سهامی خاص
دو نسخه صورتجلسه هیات مدیره با امضاء تمامی اعضاء هیات مدیره

گواهی عدم سوء پیشینه جهت اعضاء هیات مدیره،مدیر عامل و بازرسان

اصل مجوز فعالیت از مراجع ذی ربط در مواردی که ثبت موضوع نیاز به مجوز داشته باشد.

دو برگ اساسنامه تکمیل شده با امضاء موسسین
دو نسخه صورتجلسه مجمع عمومی موسسین با امضاء موسسین

طراحی سایت سید خندان

ارسال کننده: npcowebdesign - ۹۷/۲/۱، ۰۱:۱۸ عصر - انجمن: معرفی سایت، وبلاگ و خدمات - بدون پاسخ

دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
منطقه ی سید خندان در شهر تهران یکی از مناطق مرکزش در این شهر می باشد که حرفه و مشاغل بسیار زیادی را در خود جای داده است و به جهت توسعه ی این منطقه در سال های اخیر توجه بسیار زیادی به طراحی سایت در این منطقه شده است.
از آنجایی که شرکت طراحی سایت نونگار پردازش در شهر تهران دسترسی راحتی به سید خندان دارد افراد و صاحبان مشاغل در این منطقه به راحتی می توانند پروژه های طراحی سایت خود را به این شرکت بسپارند. کادری تخصصی ما اعم از برنامه نویسان، گرافیست ها و سئو کاران در شرکت طراحی سایت قادر خواهند بود وب سایتی با بالاترین سطح امنیت و کیفیت و گرافیکی بی نظیر به مشتریان خود تحویل دهند.