این روز ها با افزایش وب سایت ها و کاربران اینترنت ، امنیت وب سایت روز به روز احمیت بیشتر می گیرد و برای اینکه این مقوله امنیت وب سایت از خاطر طراحان وب سایت فراموش نشود شاید هر روز ده ها مقاله مختلف نوشته و منتشر میابد اما واقع مشکل کجاست

شاید بشه از مهم ترین مقوله های امنیت به مورد زیر اشاره کرد

• استفاده از سیستم تشخیص هویت
• تنظیم CustomErrors
• Debug در سیستم های تحت توسعه دات نت
• لاگ رویداد ها و مدیریت خطاها
• تنظیمات دیتا بیس
• SQL Injection
  
• xss
• FileUpload
• اعتبار سنجی ViewState
• رمز نگاری اطلاعات (Encryption)
• هش کردن اطلاعات مهم (Hashing)
• رمزکردن متن های اتصال
• انتی ربات ها

و شاید صدها موارد ریز و درشت دیگر که می توانه شرایط هک شدن سایت را برای نفوذ گر فراهم بیاره اما در این میان با برسی بیشتر سایت های هک شده شاید یک مورد دیگر هم جلب توجه می کنه و ان هم بیشتر سایت ها از cms های اماده استفاده می کنند و متاسفانه از نسخه های قدیمی بله درسته جوملا ، وردپرس و ... از جمله این سامانه های مدیریت محتوا هستند که به دلیل سورس باز بودن این سامانه ها همه نفوذگر ها با برسی این سورس ها شاید صدها به خصوص در نسخه های قدیمی راه برای نفوذ بی دردسر و با هزینه کم پیدا می کنند حالا این سوال پیش میاد که ایا رایگان بودن این مدیریت محتوا می ارزند به اندازه امنیت پایدار وب سایت های طراحی اختصاصی ان ؟!؟!

وحال هک شدن بیش از  500 سایت ایرانی در یک روز توسط تیم TeaM System Dz
با یک مرورکوچک می توان پی برد که این سایتها همگی ازمدیریت محتوای  CMS اماده استفاده میکنند و بدون توجه به باگهای مدیریت محتوا همچون جوملا و وردپرس و عدم بروزرسانی به هنگام این سامانه های مدیریت محتوا خودرا اماه هک شدن توسط نفوذگر ها قرار میدهند

اگر نیازمند به یک طراحی وب سایت امن هستید می توانید با ما در تماس باشید

اهمیت امنیت در طراحی سایت اختصاصی

چرا طراحی سایت اختصاصی باید از روز اول با محوریت امنیت انجام شود و چه گام هایی برای محافظت از کسب و کار دیجیتال لازم است

[call-action type="ticket"]

 

تصور کنید یک مدیر شرکت در تهران صبحی ایمیلی دریافت می کند که مشتری بزرگ او دیگر وارد پنل سفارشات نمی شود. بعد از بررسی متوجه می شود سایت شرکت هک شده و اطلاعات سفارشات لو رفته است. آن مدیر پیش از این هرگز اولویت را به امنیت نداده بود چون هزینه طراحی پایین تر از دغدغه امنیت به نظر می رسید. نتیجه خسارت مالی و از دست رفتن اعتماد مشتری بود. این داستان کوتاه نشان می دهد اهمیت امنیت در طراحی سایت اختصاصی چیست و چرا سرمایه گذاری در آن یک هزینه نیست بلکه حفاظت از کسب و کار است.

چرا امنیت باید در طراحی سایت اختصاصی اولویت باشد

سایت اختصاصی به معنی کنترل کامل روی کد و زیرساخت است. این مزیت وقتی با امنیت ترکیب شود تبدیل به برتری رقابتی می شود. در غیر این صورت همان کنترل می تواند به ریسک تبدیل شود چون خطا در پیاده سازی یا غفلت مدیریتی محل نفوذ هکرها می گردد.

مزایای طراحی سایت اختصاصی با امنیت از ابتدا

• کاهش ریسک نشت داده و حفظ اعتبار برند
• قابلیت پیاده سازی سیاست های امنیتی سازمانی
• بهینه سازی عملکرد و کاهش حملات مبتنی بر منابع
• سفارشی سازی مکانیزم های احراز هویت و لاگینگ

اشتباهات رایج که امنیت را تضعیف می کنند

1. انتخاب قالب یا افزونه های نامعتبر یا قابل دسترسی عمومی
2. عدم به روز رسانی منظم سیستم عامل و کتابخانه ها
3. رمزهای ضعیف و عدم مدیریت دسترسی
4. نبود بک آپ و برنامه بازیابی حادثه

تهدیدهای متداول برای سایت های اختصاصی

آشنایی با انواع حمله کمک می کند تا راهکار دقیق تری داشته باشیم

حملات رایج

• SQL Injection برای استخراج یا تغییر داده
• Cross Site Scripting مخرب کردن صفحات و فیشینگ
• حملات بروت فورس علیه فرم های ورود
• Upload تهدیدآمیز فایل های مخرب
• حملات DDoS برای از کار انداختن سرویس
• نفوذ از طریق ماژول ها یا پلاگین های ناامن

مثال عملی

یک فروشگاه آنلاین در تبریز با افزونه قدیمی پرداخت مواجه شد که یک نقطه نفوذ داشت. مهاجم با یک اسکریپت ساده توانست سفارشات جعلی ثبت کند و سپس با استفاده از اطلاعات جانبی به حساب های کاربری دسترسی یابد. اگر افزونه به روز شده و سیاست بررسی ورودی ها اعمال شده بود، این اتفاق رخ نمی داد.

چک لیست عملی و گام به گام برای افزایش امنیت سایت اختصاصی

در ادامه یک راهنمای کاربردی که تیم توسعه و مدیران سایت می توانند اجرا کنند آمده است

پیش از راه اندازی

1. طراحی امن در معماری
   • تفکیک لایه ها presentation business data
   • محافظت از اسرار با vault یا متغیرهای محیطی
   • نصب و پیکربندی WAF برای محافظت سطح ابتدایی
2. برنامه مدیریت وابستگی ها
   • استفاده از نسخه های تاییدشده کتابخانه ها
   • بررسی CVE های مرتبط قبل از به کارگیری هر بسته
3. سیاست کنترل دسترسی
   • ایجاد نقش های دقیق با حداقل امتیاز لازم
   • استفاده از احراز هویت چند عاملی برای حساب های مدیریتی

پس از راه اندازی

1. پچ و به روز رسانی منظم سیستم عامل و پکیج ها
2. نظارت و لاگینگ پیوسته با نگهداری لاگ ها در مکان ایمن
3. تست نفوذ دوره ای و اسکن خودکار کد و محیط
4. آموزش کاربران و مدیران درباره حملات فیشینگ و مهندسی اجتماعی

توصیه های فنی کوتاه مدت که فوری اجرا شوند

• تعویض نام کاربری پیش فرض ادمین و پیشوند دیتابیس
• محدودیت تلاش های لاگین و بلاک شدن IP بعد از چند تلاش
• غیرفعال کردن اجرای کد در پوشه های آپلود
• فعال کردن HTTPS با گواهی معتبر و تنظیم HSTS

دعوت به اقدام

برای بررسی امنیت سایت اختصاصی خود و دریافت گزارش رایگان وضعیت فعلی تماس بگیرید

[call-action type="ticket"]

امنیت در سایت های وردپرس در مقابل سایت های اختصاصی

وردپرس محبوب است اما اگر مدیریت نشود می تواند ریسک ایجاد کند. در این بخش تفاوت ها و راهکارهای ویژه وردپرس را مرور می کنیم

ویژگی های ریسک ساز در وردپرس

• افزونه های غیراستاندارد
• قالب های نال شده یا ویرایش نشده
• بروزرسانی ناپیوسته

[suggest-article keyword="وردپرس"]

راهکارهای موثر برای وردپرس

1. به روز نگه داشتن هسته قالب و پلاگین
2. نصب پلاگین های معتبر امنیتی مانند Wordfence Sucuri iThemes
3. غیرفعال کردن XmlRPC و ویرایشگر فایل در پیشخوان
4. استفاده از سرویس های CDN و WAF برای کاهش حملات

نکته مهم این است که سایت اختصاصی با کدنویسی اصولی می تواند خیلی امن تر و قابل کنترل تر از وردپرس باشد اما این نیازمند تیم فنی مجرب و رعایت استانداردها است.

پیشنهادهای فنی ویژه برای توسعه دهندگان

این موارد برای تیم فنی و توسعه دهنده مهم و اجرایی هستند

کدنویسی امن

• استفاده از پارامتریزیشن در کوئری های دیتابیس
• سنجش و فیلتر ورودی های کاربر در سمت سرور
• عدم نمایش خطاهای تفصیلی در محیط تولید

مدیریت اسرار

• ذخیره کلید ها و پسوردها در vault یا secret manager
• عدم قرار دادن پسورد در کد منبع

پایش و واکنش به حادثه

1. پیاده سازی لاگینگ ساختاریافته و ارسال به SIEM
2. تعریف playbook های واکنش به حادثه
3. آزمون بازیابی از پشتیبان و سناریوهای ریکاوری

انتخاب هاست و زیرساخت مناسب

هاست و سرور محل وقوع بسیاری از حملات هستند یا می توانند اولین خط دفاع باشند

ویژگی های هاست امن

• پشتیبانی از TLS جدید
• فایروال سطح شبکه و برنامه
• بک آپ گیری منظم و امکان بازیابی سریع
• پنل مدیریت با لاگین امن و IP whitelisting

هاست اشتراکی یا اختصاصی

برای سایت های حساس و سازمانی همواره هاست اختصاصی یا کلود اختصاصی پیشنهاد می شود. هاست اشتراکی ممکن است هزینه پایینی داشته باشد اما ریسک اشتراک منابع و دسترسی های کنترلی وجود دارد.

 

[suggest-article keyword="سرور"]

نکات محلی برای کسب و کارهای تهران و تبریز

هر منطقه می تواند نیازهای خاص خود را داشته باشد. در شهرهایی مثل تهران سرعت و دسترسی مهم است و در تبریز اهمیت بهینه سازی منابع و سازگاری با زیرساخت های محلی اهمیت دارد

• استفاده از دیتاسنترهای معتبر داخل کشور برای کاهش تأخیر و رعایت قوانین محلی
• تنظیمات DNS و رکوردهای امنیتی مانند DNSSEC برای حفاظت بیشتر
• بومی سازی پیام های هشدار و آموزش کارمندان به زبان فارسی

خدمات شرکت برنامه نویسان دانش برتر سهند

شرکت برنامه نویسان دانش برتر سهند با بیش از ۲۰ سال سابقه در طراحی و توسعه وب سازمانی خدمات زیر را ارائه می دهد

• طراحی سایت اختصاصی با ASP.NET Core و Vue.js
• پیاده سازی پنل کاربری امن و تجربه کاربری مطلوب
• تست نفوذ و اسکن امنیتی دوره ای
• پیاده سازی سیاست های بک آپ و بازیابی

زمان طراحی از یک ماه آغاز می شود و هزینه اولیه از ۳۰ میلیون تومان است. برای کسب اطلاعات بیشتر و مشاوره رایگان به صفحه خدمات ما مراجعه کنید

[suggest-article keyword="خدمات"]

چک لیست نهایی برای مدیران

این چک لیست را به عنوان تسک های ماهانه در نظر بگیرید

1. بررسی و اجرای به روز رسانی ها
2. چک کردن لاگ ها و هشدارها
3. آزمون بک آپ و ریکاوری
4. مرور سطوح دسترسی و تغییر پسوردها
5. برنامه ریزی تست نفوذ سالانه

[call-action type="ticket"]

اگر می خواهید وضعیت امنیتی سایت شما به صورت حرفه ای بررسی شود درخواست آزمایش نفوذ و گزارش امنیتی را ثبت کنید

[suggest-article keyword="امنیت"]

سوالات متداول

طراحی سایت اختصاصی امن چقدر هزینه دارد

هزینه به نیازهای پروژه بستگی دارد اما برای پروژه های سازمانی طراحی اختصاصی با امنیت بالا از ۳۰ میلیون تومان شروع می شود و ممکن است بسته به سطح حفاظت و خدمات پشتیبانی افزایش یابد.

آیا سایت وردپرس امن تر است یا اختصاصی

هر دو می توانند امن باشند. وردپرس سریع راه اندازی می شود اما وابستگی به افزونه ها دارد. سایت اختصاصی با طراحی امن می تواند کنترل بیشتری بدهد و برای سازمان ها مناسب تر است.

چند وقت یک بار باید بک آپ گرفت

بسته به تغییرات سایت متفاوت است اما پیشنهاد می شود برای سایت های فروشگاهی روزانه و برای سایت های اطلاع رسانی حداقل هفتگی بک آپ گرفته شود.

چگونه می توانم صفحه ادمین را مخفی کنم

می توانید مسیر ورود را تغییر دهید و دسترسی به پوشه مدیریت را با پسورد محافظت یا IP limited کنید. در وردپرس افزونه هایی برای تغییر آدرس ورود وجود دارد.

آیا نصب فایروال کاربردی است

بله فایروال وب اپلیکیشن می تواند حملات شناخته شده را فیلتر کند و بار زیادی از ترافیک مخرب را دفع نماید اما فایروال تنها کافی نیست و باید در کنار دیگر اقدامات استفاده شود.

آیا باید از CDN استفاده کنم

استفاده از CDN به کاهش تاخیر و محافظت در برابر برخی حملات کمک می کند. برای کسب و کارهای در تهران و تبریز توصیه می شود CDN داشته باشید تا کارایی و تحمل خطا افزایش یابد.

چگونه رفتار مشکوک کاربران را تشخیص دهم

با مانیتورینگ لاگ ها و تحلیل رفتار کاربری می توانید IP ها و الگوهای عجیب را شناسایی کنید. ابزارهای SIEM یا افزونه های امنیتی می توانند به شما هشدار دهند.

آیا می توانم امنیت را بعد از طراحی افزایش دهم

بله. اما بهترین نتیجه وقتی حاصل می شود که امنیت از مرحله طراحی در نظر گرفته شده باشد. با این حال می توان با اسکن و پوشش نقاط ضعف فعلی ایمن سازی را انجام داد.

بهترین افزونه های امنیتی وردپرس چیست

افزونه های مطرح شامل Sucuri Wordfence iThemes All In One WP Security MalCare هستند. انتخاب بسته به نیاز و بودجه شما دارد.

در صورت هک شدن اولین قدم چیست

اولین کار قطع دسترسی مهاجم و گرفتن نسخه بک آپ از وضعیت فعلی است سپس لاگ ها بررسی شود و در صورت نیاز سایت از دسترس خارج و اقدامات تعمیراتی آغاز گردد.

نتیجه گیری

امنیت در طراحی سایت اختصاصی الزامی است. سرمایه گذاری زمان و بودجه روی امنیت باعث حفظ درآمد و اعتبار می شود. اجرای چک لیست های فنی، انتخاب زیرساخت مناسب و همکاری با تیمی مانند شرکت برنامه نویسان دانش برتر سهند که تجربه در ASP.NET Core Vue.js MSSQL و Node.js دارد می تواند تضمین کننده مسیر امن برای کسب و کار شما باشد.

تماس برای مشاوره و بررسی امنیتی

برای دریافت مشاوره رایگان بررسی وضعیت فعلی و پیشنهاد راهکار مناسب با ما تماس بگیرید

[call-action type="ticket"]

شرکت برنامه نویسان دانش برتر سهند بیش از ۲۰ سال سابقه دارد زمان طراحی از یک ماه شروع می شود و هزینه از ۳۰ میلیون تومان آغاز می گردد

نکات فنی اضافی برای توسعه دهندگان

فایل هایی که باید در مستندات پروژه ذکر شوند

• سند معماری امنیتی
• فهرست وابستگی ها و نسخه ها
• Playbook های واکنش به حادثه
• فرآیندهای بک آپ و زمان بندی

آیا تا به حال به هک کردن فکر کرده‌اید؟ اصلاً آیا می دانید که واژه هک دقیقاً به چه معناست و چه کاربردی دارد؟ اگر با این مفاهیم آشنا نیستید و نمی‌دانید برای شروع یادگیری هک از چه طریقی شروع کنید، ما مطلب آموزش هک با پایتون را برایتان آماده کرده‌ایم که می‌تواند راهنمای خوبی برای یادگیری هک با زبان برنامه نویسی پایتون باشد. با ما همراه باشد تا در این مورد بیشتر با هم صحبت کنیم.

هک چیست؟

واژه هک برای اولین بار به دوره دهه 60 میلادی باز می گردد. هک به معنای دستیابی به آن چیزی است که نمی توانید در حالت عادی آن را داشته باشید، مانند دسترسی غیر مجاز به یک شبکه کامپیوتری در حالی که ورود به آن امکان پذیر نیست، یا دارای پسورد است! به طور کلی هر زمان که سخنی از هک می شود، اشاره ای به کارهای غیرقانونی نیز دارد.

عموماً هدف از هک کردن کسی یا چیزی، همانند دزدی است اما به روش مدرن! هدف هکرها دزدیدن اطلاعات یا در بسیاری از موارد آسیب رساندن به سیستم است. اگر قصد دارید از هک شدن سیستم جلوگیری کنید، بایستی چند اقدام امنیتی در این باره انجام دهید که در ادامه مطلب آموزش هک با پایتون به آن ها اشاره خواهیم کرد.

توصیه های امنیتی جهت جلوگیری از هک شدن

همیشه سعی کنید بر روی سیستم‌های کامپیوتری یا حساب کاربری‌های خود در انواع شبکه‌های اجتماعی از پسورد قوی استفاده کنید، این مسئله باعث می‌شود تا هکر به راحتی نتواند به رمز عبور شما دسترسی داشته باشد. اگر پسورد ترکیبی از حروف کوچک و بزرگ انگلیسی، اعداد و کاراکترها انتخاب کنید، میلیون‌ها سال طول می‌کشد تا یک پسورد تازه آن هم به صورت رمزنگاری شده پیدا شود. مورد بعدی این است که همیشه سیستم عامل خود را آپدیت کنید تا موارد امنیتی که به سیستم عامل اضافه خواهند شد دریافت کنید. همچنین استفاده از نرم افزارهای اورجینال جهت جلوگیری از ایجاد باگ در سیستم و درنهایت جلوگیری از هک شدن پیشنهاد می‌شود.

آموزش هک با پایتون

اگر این امکان را دارید که آنتی ویروس و فایروال بر روی سیستم عامل خود نصب کنید و به این موضوع فکر کرده‌اید، پیشنهاد می‌شود حتماً این کار را انجام دهید زیرا برای افزایش امنیت سیستم و جلوگیری از ایجاد باگ جهت دسترسی هکر به داده‌ها بسیار مفید است. سعی کنید بر روی لینک‌های ناشناخته به هیچ وجه کلیک نکنید زیرا ممکن است با هدف‌هایی مانند نفوذ به سیستم یا انتقال ویروس ایجاد شده باشند.

بسیاری از افراد با دیدن لینک‌هایی با عناوینی مانند آموزش هک با پایتون یا حتی آموزش هک در 10 روز و غیره وسوسه می‌شوند و بر روی آن کلیک می‌کنند، سعی کنید از هیچ جایی جز گوگل و لینک‌هایی که به آن‌ها اطمینان دارید سایتی باز نکنید! همچنین از انداختن فلش دیگران بر روی سیستم بدون اسکن و ویروس کشی جداً خودداری نمایید. اگر احساس می‌کنید بیشتر از این نیاز دارید در مورد روش‌های مقابله با هک و همچنین انواع هک‌ها یاد بگیرید، پیشنهاد می‌کنیم آموزش مرتبط را از فرادرس دریافت نمایید. بر روی لینک زیر کلیک کنید.

آموزش شناخت انواع هک و روش های مقابله با آن — کلیک کنید

انواع هکرها

هکرها ممکن است بر اساس نوع رفتارشان به دسته‌های مختلفی تقسیم شوند. همان‌طور که در ابتدای مطلب گفتیم، برخی از هکرها ممکن است به قصد دزدی و آسیب رساندن به اطلاعات و سیستم فعالیت کنند، این افراد هکرهای کلاه سیاه نامیده می‌شوند که عموماً کارهای غیرقانونی انجام می‌دهند. در مقابل این هکرها افرادی را داریم که به قصد تست نفوذ و افزایش امنیت سیستم اقدام به هک می‌کنند. فعالیت این هکرها کاملاً قانونی است و به هکرهای کلاه سفید مشهور هستند. برخی از افراد نیز صرفاً به دلیل خفن بودن این شغل علاقه‌مند به یادگیری هک هستند و می‌خواهند به این دلیل هک را یاد بگیرند. این افراد عموماً می‌خواهند هک را بلد باشند و قصد انجام فعالیت جدی در زمینه هک را ندارند. به این افراد نیز هکرهای کلاه صورتی گفته می‌شود.

انواع هکرها

آموزش هک با پایتون

پس از آن که در مورد انواع هکرها صحبت کردیم، حال نوبت آن است که یک هک ساده و اخلاقی به شما آموزش دهیم. دانستیم که هک کردن اگر قانونی نباشد ممکن است شما را با مشکلات مختلف روبرو کند، پس ما نیز اجازه این را نداریم هک غیر قانونی را آموزش دهیم، اما می‌توان با استفاده از کتابخانه‌های آماده پایتون هک‌های ساده و اخلاقی انجام داد. یکی از هک‌هایی که قصد داریم در مطلب آموزش هک با پایتون به شما آموزش دهیم، رمزگشایی پسوردهایی است که به صورت رمزنگاری شده در پایگاه داده ذخیره می‌شوند. اصولاً به این پسوردها هش شده گفته می‌شود. از جمله الگوریتم‌هایی که برای هشینگ مورد استفاده قرار می‌گیرد، تابع md5 است.

رمزنگاری MD5 چیست؟

این رمزنگاری روشی برای درهم سازی یک رشته است که در نهایت خروجی آن با طول 128 بیت در اختیار کاربر قرار داده می شود. معمولاً از این روش رمزنگاری برای کد کردن پسوردها جهت ذخیره سازی در پایگاه داده استفاده می شود. این الگوریتم به دلیل داشتن سرعت بالا همواره مورد استفاده قرار گرفته و همچنان نیز استفاده می شود.

نکته قابل توجه اینجاست، هر رشته با طول متفاوت که توسط این الگوریتم هش می شود، خروجی با طول یکسان خواهد داشت. این خروجی در مبنای هگزادسیمال یا همان مبنای 16 نمایش داده می شود. تصور کنید اگر پسوردهای شما به همان صورتی که آن را وارد می کنید در پایگاه داده ذخیره می شد، در این صورت همه می توانستند به این داده ها دسترسی پیدا کنند، اما با استفاده از این الگوریتم به راحتی می توان این داده های مهم را هش کرد تا هر فردی با یک نگاه نتواند به رمز عبور واقعی دسترسی پیدا کند.

رمزنگاری MD5 چیست؟

زمانی که یک پسورد با این تابع هش می شود، محتوای پسورد به صورت کاراکترهایی از اعداد و حروف انگلیسی نمایش داده می شود. این نوع پسوردها برای انسان خوانا نیستند و برای اینکه بتوان آن را به متن ساده تبدیل نمود یا به عبارتی رمزگشایی کرد، نیازمند یکسری تابع ها و دستورات پیچیده هستیم. اما با استفاده از پایتون به راحتی می توان این پسوردها را پیدا کرد. در ادامه می خواهیم آموزش هک با پایتون را به شما توضیح دهیم.

شروع برنامه نویسی آموزش هک با پایتون

هدف از آموزش این پست، صرفاً نمایش متن ساده شده‌ای که خودتان وارد کرده‌اید نیست! ما می‌خواهیم یک پسورد لیست درست کنیم تا تمامی پسوردهایی که فکر می‌کنیم ممکن است مورد استفاده قرار بگیرند، به آن اضافه کنیم. سپس با دستوراتی که در ادامه خواهیم نوشت، پسوردهای موجود در این لیست چک خواهند شد و در صورتی که پسورد مدنظر در فایل پسورد لیست وجود داشته باشد، رمز عبور با متن ساده شده نمایش داده خواهد شد. در واقع می‌خواهیم یک ابزار Hash Cracker با پایتون بسازیم.

برای شروع کار بایستی نرم افزار پایتون را روی سیستم خود نصب نمایید. اگر هنوز پایتون را ندارید می‌توانید از سایت خود Python یا سایت‌های ایرانی به صورت رایگان آن را دانلود و نصب نمایید. اکنون نوبت آن است که دستورات خود را در پایتون بنویسیم. یک پروژه جدید در پایتون ایجاد کنید و اولین دستور زیر را در آن وارد کنید.

import hashlib

دستور بالا نشان دهنده این است که ما می خواهیم از کتابخانه آماده Hashlib استفاده کنیم. چنانچه این کتابخانه را به پروژه اضافه نکنید، با ارور مواجه خواهید شد. این کتابخانه نیازی به نصب از طریق CMD ندارد!

در ادامه خواهیم داشت:

print("***PASSWORD CRACKER***")

pass_found = 0

input_hash = input("Enter the hashed password: ")

pass_doc = input("\nEnter passwords filename including path(root/home): ")

در دستورات بالا یک متغیر به نام pass_found تعریف کردیم که مقدار 0 به آن داده ایم. قصد داریم از این متغیر برای ذخیره داده 0 یا 1 به عنوان اینکه آیا پسورد کرک شده یا نه استفاده کنیم. چنانچه مقدار مدنظر 0 باشد به معنای این است که هنوز پسورد کرک نشده است.

دو متغیر input_hash و pass_doc نیز به منظور ذخیره ورودی هایی است که توسط کاربر دریافت خواهد شد. در پیغام اول از کاربر پسورد هش ده و در پیغام دوم آدرس یا نام پسورد لیستی که قرار است در ادامه بسازیم دریافت می شود. در ادامه آموزش هک با پایتون داریم:

try:

pass_file = open(pass_doc, 'r')

except:

print("Error:")

print(pass_doc, "is not found.\nPlease give the path of file correctly.")

quit()

در دستورات بالا با استفاده از open تلاش کردیم تا فایل پسورد لیستی که در بالا آدرس آن توسط کاربر دریافت شده است باز کنیم. این فرآیند توسط try … except انجام شده است تا بتوانیم در صورتی که فایل یافت نشد یک پیغام ارور نمایش دهیم و سپس برنامه را به کمک quit به پایان برسانیم. حال اگر این فرآیند با موفقیت انجام شود در ادامه خواهیم داشت:

for word in pass_file:

enc_word = word.encode('utf-8')

hash_word = hashlib.md5(enc_word.strip())

digest = hash_word.hexdigest()

if digest == input_hash:

print("Password found.\nThe password is:", word)

pass_found = 1

break

در این بخش به کمک حلقه for می خواهیم ببینیم آیا پسوردی که به صورت هش شده در برنامه توسط کاربر وارد شده است، در پسورد لیست وجود دارد یا خیر؟ قبل از هر چیزی متن را به فرمت utf-8 تبدیل کرده ایم؛ سپس یکی از پسوردهای موجود در پسورد لیست را به کمک تابع md5 هش کرده ایم، در نهایت این رمز با رمزی که در ابتدای برنامه توسط کاربر دریافت شده است مقایسه می شود. چنانچه پسوردها با هم مطابقت داشته باشند پیغامی مبنی بر اینکه رمز پیدا شده است نمایش داده می شود. در ادامه نیز پسورد به صورت متن ساده را مشاهده خواهید کرد. همچنین متغیر pass_found مقدار 1 را دریافت می کند و برنامه با دستور break به پایان می رسد.

مجموعه آموزش امنیت شبکه (Network Security) — کلیک کنید

حال در ادامه آموزش هک با پایتون چنانچه پسورد در فایل پسورد لیست یافت نشود، برای نمایش پیغام مناسب بدین صورت عمل خواهیم کرد.

if not pass_found:

print("Password is not found in the", pass_doc, "file")

print('\n')

در نهایت نیز برای زیبایی برنامه یک پیغام تشکر می نویسیم که در هر دو حالت بالا یعنی پیدا شدن یا نشدن پسورد برای کاربر نمایش داده می شود.

و تمام! شاید باورتان نشود اما این کل دستوراتی است که می توانید به راحتی از آن برای کرک کردن پسورد هش شده با تابع md5 استفاده کنید. همچنین می توانید با کتابخانه Hashlib برای دیگر تایع های هشینگ نیز دستور بنویسید.

حال اگر بخواهیم دستورات بالا را اجرا کنیم، بایستی یک پسورد لیست درست کنیم، شرطِ یافتنِ رمز این است که شما پسورد هش شده را در دست داشته باشید، و قصد دارید آن را به متن ساده تبدیل کنید، در واقع آن را رمزگشایی کنید. در ادامه یک فایل نوت پد باز کنید و چند پسورد مانند زیر در آن وارد کنید.

دقت داشته باشید که تمامی این پسوردها بایستی به همین ترتیب و زیر هم قرار گیرند. فایل را در دسکتاپ یا در مسیری مشخص ذخیره کنید. حال فرض می کنیم که معادل هش شده یکی از پسوردهای بالا را در دست داریم، برنامه را اجرا کنید تا با صفحه زیر روبرو شوید. می توانید مقادیر را طبق تصویر زیر در برنامه وارد کنید.

آموزش یک هک ساده اما کاربردی!

حال اگر دکمه enter را بزنید و همینطور پسورد در فایل پسورد لیست موجود باشد با پیغام زیر مواجه خواهید شد! توجه کنید که اگر فایل پسورد لیست را در مسیری غیر از دسکتاپ قرار دهید بایستی آدرس آن را به صورت کامل وارد نمایید؛ مانند تصویر زیر.

hack with python 2

و حال اگر پسورد وجود نداشته باشد خروجی به صورت زیر خواهد بود.

آموزش یک هک ساده اما کاربردی!

اگر به طور کلی برنامه نتواند فایل txt حاوی پسورد لیست را پیدا کند، با ارور زیر مواجه خواهید شد.

آموزش یک هک ساده اما کاربردی!

بدین ترتیب موفق شدید به کمک زبان برنامه نویسی پایتون یک هک ساده اما کاربردی انجام دهید. شاید پیش خود فکر کنید اگر رمزگشایی پسورد به این آسانی است، پس چرا این همه در مورد امنیت پسورد و مسائل پیرامون آن صحبت می‌شود؟ توجه داشته باشید که در این برنامه ما بر فرض مثال به پسورد رمزنگاری شده و همین‌طور پسورد اصلی دسترسی داشتیم، اگر یک هکر بخواهد پسورد را به دست آورد، بایستی یک پسورد لیست خیلی قوی بسازد تا قادر باشد پسوردهای سخت و پیچیده را رمزگشایی کند.

در حال حاضر پایتون بیشترین طرفدار را در بین زبان‌های برنامه نویسی برای هک و مسائل امنیتی دارد، هک کردن به کمک پایتون نسبت به دیگر زبان‌های برنامه نویسی آسان‌تر است زیرا پایتون دارای فایل‌های کتابخانه‌ای آماده‌ای است که به برنامه نویس کمک می‌کند تا از نوشتن دستورات اضافی خودداری کند!

اگر مطلب آموزش هک با پایتون برایتان مفید بود و علاقه‌مند به یادگیری زبان برنامه نویسی پایتون شدید، پیشنهاد می‌کنیم از مجموعه آموزش‌های پایتون فرادرس استفاده نمایید. این آموزش‌ها را می‌توانید از طریق کلیک بر روی لینک زیر مشاهده کرده و در صورت نیاز اقدام به دریافت آن نمایید.

مجموعه آموزش برنامه نویسی پایتون (Python) — کلیک کنید

سخن آخر درمورد آموزش هک با پایتون

همان‌طور که در ابتدای مطلب اشاره کردیم، هک با پایتون مبحث بسیار گسترده‌ای است که آموزش آن تنها در یک پست نمی‌گنجد. علاوه بر آن، برای آموزش دادن چنین محتواهایی طبیعتاً با محدودیت روبرو هستیم، پس امیدواریم که در مورد این موضوع ما را درک کرده باشید. امیدواریم که این مطلب برای شما مفید واقع شده باشد.

منبع

https://programstore.ir/