این واژه نامه مجموعه ای از اصطلاحات فنی را پوشش می دهد که در اسناد امنیتی ما به آنها اشاره شده است.
- امتیازات مدیر
- بالاترین سطح تنظیمات حساب مجوز در یک سیستم. این امتیازات به اقداماتی مانند حذف کل سایت، بازنشانی رمز عبور یا آپلود فایل ها اجازه می دهد.
- درب پشتی
- برنامه ای نصب شده بر روی یک سیستم برای دور زدن کنترل های احراز هویت و حفظ دسترسی هکرها به آن سیستم.
- پنهان کاری
تمرین ارائه محتوا یا URL های مختلف به کاربران انسانی و موتورهای جستجو.
به عنوان مثال، اسکریپت های پویا و قوانین
.htaccess
می توانند کدهای وضعیت را بر اساس درخواست های در حال پردازش برگردانند. هکرها با بازگرداندن کد خطای 404 یا 500 به آدرسهای IP یا مرورگرهای خاص، در حالی که هرزنامه را به آدرسهای IP یا مرورگرهای دیگر ارائه میکنند، از cloaking برای پنهان کردن مسیرهای خود استفاده میکنند.- فایل های پیکربندی
فایل هایی که اطلاعاتی مانند مکان پایگاه داده و اعتبارنامه های سایت های پویا را ذخیره می کنند.
- سیستم مدیریت محتوا (CMS)
بسته های نرم افزاری که به کاربران در ایجاد و ویرایش وب سایت ها کمک می کند. به عنوان مثال می توان به وردپرس، دروپال و جوملا اشاره کرد، هرچند موارد دیگر نیز وجود دارد، از جمله برخی که به صورت سفارشی ساخته شده اند.
- متخصصان پزشکی قانونی دیجیتال
افراد یا تیم هایی که می توانند به شما کمک کنند تا سایت خود را تمیز کنید و شناسایی کنید که چگونه به خطر افتاده است.
- صفحه وب استاتیک
یک صفحه وب که از یک فایل واحد و بدون تغییر تشکیل شده است که محتوای یک وب سایت را نمایش می دهد.
- صفحه وب پویا
یک صفحه وب که از اسکریپت ها و قالب ها برای تولید محتوا در سایت استفاده می کند. هر بار که آن صفحه درخواست می شود دوباره هر صفحه را تولید می کند.
-
eval()
یک تابع PHP و جاوا اسکریپت که یک رشته را ارزیابی می کند و نتیجه را برمی گرداند. هنگامی که یک سایت با ورودی کاربر سروکار دارد، عملکردهای Eval دلسرد می شوند، زیرا آسیب پذیری را باز می کنند که به مهاجمان اجازه می دهد تا کدهای مخرب را پنهان کنند (مثلاً با تزریق دستورات مضر PHP).
- پروتکل انتقال فایل (FTP)
پروتکلی که برای انتقال فایل ها از یک ماشین به ماشین دیگر استفاده می شود.
- فایل های مخفی
فایل هایی که به طور پیش فرض در یک فهرست نمایش داده نمی شوند. به طور معمول، فایلهایی مانند
.htaccess
پنهان میشوند تا اطلاعات مهم را از تغییر تصادفی محافظت کنند. شما باید سیستم فایل خود را طوری پیکربندی کنید که به شما امکان می دهد فایل های مخفی را مشاهده و ویرایش کنید.- کدهای وضعیت HTTP
پاسخهای استاندارد شدهای که سرورهای وب به همراه محتوا هنگام تلاش کاربران برای تعامل با یک صفحه، مانند هنگام بارگیری یک صفحه یا ارسال نظر، باز میگردانند. این کدها به کاربران کمک می کنند تا بفهمند وب سایت چگونه پاسخ می دهد یا خطاها را شناسایی کنند. برای فهرست کامل کدهای وضعیت و معانی آنها به صفحه کد وضعیت کنسرسیوم وب جهانی مراجعه کنید.
- آی فریم
کدی که به یک صفحه وب اجازه می دهد تا محتوا را از یک صفحه در صفحه دیگر نمایش دهد. آی فریم های مخفی تاکتیک رایجی است که توسط هکرها برای هدایت کاربران به سایت هایشان استفاده می شود.
- ورود به سیستم فایل
فایلهایی که در آن سرورهای وب درخواستهای کاربر را برای پیگیری تمام فعالیتهای انجامشده روی سرور ثبت میکنند. شما می توانید تلاش های هک یا ترافیک مشکوک به سایت خود را با مشاهده فایل های گزارش شناسایی کنید.
- بد افزار
هر نرم افزاری که به طور خاص برای آسیب رساندن به رایانه، نرم افزار در حال اجرا یا کاربران آن طراحی شده است. برای کسب اطلاعات بیشتر به بدافزارها و نرم افزارهای ناخواسته مراجعه کنید.
- مبهم سازی
تاکتیکی که هکرها برای گیجکردن افرادی که کدشان را تفسیر میکنند با سختتر کردن خوانش کد استفاده میکنند. روشهای مبهمسازی رایج توسط هکرها شامل جایگزینی کاراکتر، گیج کردن عمدی نام متغیرها، استفاده از رمزگذاریهایی مانند
base64
،rot13
،gzip
، رمزگذاری URL، رمزگذاری هگزا یا ترکیبی از این موارد است. برخی از روشهای مبهمسازی، مانندbase64
وgzip
نیز برای فشردهسازی و پنهان کردن مقادیر زیادی کد، مانند پوستههای کل وب، استفاده میشوند.- فیشینگ
شکلی از مهندسی اجتماعی که کاربران را فریب می دهد تا با تظاهر به اینکه یک منبع قابل اعتماد هستند، اطلاعات حساسی مانند نام کاربری یا رمز عبور را در اختیار کاربران قرار دهند. به عنوان مثال، یک فیشر ممکن است به قربانی احتمالی که تظاهر به بانک اوست ایمیل بزند و اعتبار حساب بانکی او را بخواهد. برای کسب اطلاعات بیشتر، به پیشگیری و گزارش حملات فیشینگ مراجعه کنید.
- کنسول جستجو
یک سرویس رایگان ارائه شده توسط گوگل که به شما کمک می کند تا حضور سایت خود را در نتایج جستجوی گوگل نظارت و حفظ کنید. گوگل همچنین از کنسول جستجو برای برقراری ارتباط با صاحبان سایت در مورد مشکلات وب سایت استفاده می کند. برای کسب اطلاعات بیشتر، به «درباره کنسول جستجو» مراجعه کنید.
- نقشه سایت
فایلی حاوی فهرستی از صفحات وب در یک سایت که موتورهای جستجو را از سازماندهی محتوای سایت مطلع می کند. برای کسب اطلاعات بیشتر، به Learn about sitemaps مراجعه کنید.
- مهندسی اجتماعی
تکنیکی برای دستیابی یا کنترل اطلاعات حساس از طریق تلاش برای فریب دادن افراد برای ارائه دسترسی به جای حمله مستقیم به کد. فیشینگ یکی از رایج ترین اشکال مهندسی اجتماعی است. برای کسب اطلاعات بیشتر به مهندسی اجتماعی (سایت های فیشینگ و فریبنده) مراجعه کنید.
- اوج ترافیک
افزایش ناگهانی یا غیرمنتظره در ترافیک وب سایت.
- احراز هویت دو مرحله ای (2FA)
یک مکانیسم امنیتی برای محافظت از ورود به حساب کاربری با نیاز به حداقل دو نشانه اثبات. برای مثال، کاربری که از احراز هویت دو مرحلهای استفاده میکند ممکن است برای دسترسی به حساب خود به رمز عبور و کد امنیتی دریافت شده توسط پیامک نیاز داشته باشد.
- خدمات میزبانی وب
سرویسی که فضایی را در اختیار کاربران قرار می دهد تا سایت خود را روی یک وب سرور میزبانی کنند، به عنوان مثال Google Sites. بسته به خدمات ممکن است ویژگی ها یا ابزارهای اضافی در دسترس باشد.
- زبان های برنامه نویسی وب
زبانهای کدنویسی اغلب در کنار HTML برای افزودن ویژگیهای اضافی به سایت استفاده میشوند، از جمله پردازش فرمها، تعدیل نظرات یا جلوههای بصری خاص. راهنماهای بازیابی از زبان برنامه نویسی برای ارجاع به PHP یا جاوا اسکریپت استفاده می کنند.
PHP یک زبان برنامه نویسی سمت سرور است، به این معنی که وب سرور دستورات خود را تفسیر و اجرا می کند. جاوا اسکریپت در درجه اول یک زبان سمت کلاینت است، به این معنی که مرورگر کاربر دستورات آن را تفسیر و اجرا می کند.
- وب سرور
ماشین و نرم افزاری که میزبان و کنترل صفحات وب و سایر فایل های مربوط به یک وب سایت است.
- پوسته وب
یک اسکریپت درب پشتی که به مهاجمان اجازه می دهد تا دسترسی به سرور را حفظ کنند.
- هرزنامه وب
تاکتیک های فریبنده بهینه سازی موتور جستجو (SEO) یا محتوای هرزنامه که سعی در افزایش رتبه یا محبوبیت یک سایت با فریب و دستکاری موتورهای جستجو دارد.