محصولات :

سیستم کنترل دماو رطوبت اتاق سرور,..........شمارشگر تردد نمایشگاهی و فروشگاهی ,......... footfall.........,visitor counter........,people counter.........,server room monitoring,........هشدار دهنده دمای اتاق سرور ,..........مانیتورینگ دمای انبار و سردخانه,........مانیتورینگ دمای یخچال و فریزر,........کنترلر دمای گلخانه ,...... سامانه کنترل و مانیتورینگ دمای اتاق تمیز ,........سامانه کنترل شرایط محیطی اتاق سرور ,.........سیستم کنترل و نظارت بر اتاق تمیز ,.........,سیستم شمارشگر نفرات ورودی به نمایشگاه,........ آمارگیرهای تردد نمایشگاهی ,.........,temprature controller for server room .......,سیستم آبیاری اتوماتیک ........,کنتور تفکیک آب............,server room controller............کنتور آب گرم........کنتور آب داغ............کنتور گازوییل .........کنتور مازوت........کنتور الکل.......کنتور پارافین.........کنتور بچینگ و پیش تنظیم.......تایمر ابیاری و صنعتی........شمارنده فروشگاهی.......کنترل پمپ با موبایل........سیستمهای آبیاری اتومانیک قطره ای........کنترل هوشمند موتورخانه........کنترل موتورخانه از راه دور.......کنترل و بهینه سازی انرژی..........کنترل هوشمند اتاق سرور.......پرکن اتومانیک مخازن مایعات........سامانه مانیتورینگ و هشدار دهنده دما و رطوبت اتاق سرور ..........کنترل دمای انبار دارو........سیستم هشدار افزایش دمای یخچال دارویی......سیستم کنترل از راه دور موتورخانه و پمپ آب.........اندازه گیری سطح مخازن........فلومتر حجمی سیال......انرژی میتر صنعتی........سیستم های اتوماسیون صنعتی مبتنی بر پی ال سی ........سیستم اتوماتیک کنترل دمای جکوزی و سونا........نمایشگرهای دما و رطوبت محیطی.......شیر برقی .......شیر موتوری........شیر آنالوگ.........شیر اتوماتیک.........شیر اتو درین.......dry protection ..........سامانه کنترل و مانیتورینگ دما و رطوبت محیطی........مانیتورینگ دمای دیتا سنترو اتاق سرور.........اندازه گیری از راه دور دما و رطوبت.......کنتورهای هوشمند صنعتی و خانگی........هشدار دهنده های صنعتی.......سیستم اعلان و اطفای حریق.........سامانه کنترل دمای اتاق سرور روی کامپیوتر.......کنترل و مانیتورینگ دمای اتاق سرور..........سامانه کنترل و مانیتورینگ اتاق سرور..........سیستم مانیتورینگ دمای اتاق سرور.......سیستم مانیتورینگ اتاق سرور.......شیر برقی.......شیر موتوری......کنترل آبیاری از راه دور.........آبیاری اتومانیک .......آبیاری قطره ای .......کنترل دمای یخچال .......کنترل و مانیتورینگ دمای سردخانه و انبار........دیتالاگر دمای یخچال ......دیتالاگر دما و رطوبت صنعتی .......دیتالاگر دمای آزمایشگاهی .........شمارشگر تردد نمایشگاهی ..........شمارشگرهای تردد فروشگاهی ..........سیستم آمارگیر تردد نمایشگاهی و فروشگاهی .........کانترهای صنعتی.........سیستم نظر سنجی مشتریان رستوران ..........سیستم نظر سنجی مشتریان فروشگاهی ........کنترل و مانیتورینگ دمای انبار ..........سیستم کنترل و نظارت بر اتاق سرور .......تایمرهای صنعتی .......تایمر پمپ آب .......تایمر تکرار کننده...........سامانه کنترل اتاق سرور ........سیستم کنترل و نظارت بر اتاق سرور...........مانیتورینگ دما و رطوبت اتاق سرور......سیستم هوشمند آبیاری .........سامانه مانیتورینگ اتاق سرور.........اتاق سرور هوشمند.........اتوماسیون دمای اتاق سرور..........شمارشگر مشتریان فروشگاهی ......آمارگیر مشتریان نمایشگاهی ........دیتالاگر دما و رطوبت فریزر و یخچال آزمایشگاهی .......سیستم ثبت آمار نمایشگاهی ....آمارگیر تردد فروشگاهی.......سیستم مانیتورینگ جامع اتاق سرور.........کنترل سیستمهای حرارتی وبرودتی .................استابلایزر......استابلایزر سه فاز .......یو پی اس های صنعتی........سیستمهای برق اضطراری........سیستمهای روشنایی اضطراری.......کنترل درب و جک پارکینگی ........سیستمهای اعلام حریق مسکونی ........اعلام حریق تجاری ........اعلام حریق صنعتی ........سیستمهای اطفای حریق .........اعلام +++ حریق اتاق سرور ........اکسس کنترل اتاق سرور........سیستمهای کنترل rfid...... دیتالاگر دما و رطوبت سردخانه ای ........دیتالاگر داروخانه........خانه هوشمند.........bms........سیستم اعلان حریق........ویلای هوشمند.........گیتهای مکانیزه...... دوربین های مدار بسته........اکسس کنترل.......هشدار دهنده های یخچال و فریزر دارویی............تابلوی برق صنعتی و کارگاهی .......تابلوهای برق فارم ماینر.........سیستمهای هوشمند کنترل دمای فارم ماینر..........تابلوهای برق سردخانه .........خانه هوشمند ..........smarthome .......هوشمند سازی تجهیزات خانگی .......سیستمهای هوشمند آبیاری ........کنترل اتوماتیک آبیاری .......کنتورهای هوشمند .......سیستم کنترل و نظارت بر اتاق سرور ......مانیتورینگ دما و رطوبت روی کامپیوتر.......سامانه مانیتورینگ دیتا سنتر و اتاق سرور...........مانیتورینگ پارامترهای فارم ماینر..........تابلوی برق فارم ماینر .........تابمرهای کنترل تک فاز و سه فاز ........

برنامه نویسان به چه نکاتی باید توجه کنند

 

 

 

برنامه‌های کاربردی، سامانه‌ها و شبکه‌ها با انواع مختلفی از حمله‌های سایبری مثل شکستن رمزهای عبور، حمله‌های فرهنگ لغت و جست‌وجوی فراگیر روبه‌رو هستند. در سال‌های گذشته، شرکت‌ها از برنامه‌نویسان انتظار نداشتند در ارتباط با مباحث امنیتی شناخت دقیقی داشته باشند، زیرا این مسئولیت برعهده کارشناسان امنیتی قرار داشت، اما امروزه یکی از وظایف مهم برنامه‌نویسان کدنویسی تمیز و عاری از اشتباهات رایج است. به‌طور کلی، برنامه‌های کاربردی با دو مشکل امنیتی بزرگ روبرو هستند. مشکل اول آسیب‌پذیری مستتر در چارچوب‌ها، کتابخانه‌ها یا ابزارهایی است که برنامه‌نویسان برای توسعه نرم‌افزارها از آن‌ها استفاده می‌کنند. مشکل دوم، ضعف در کدنویسی است که باعث می‌شود یک نرم‌افزار قربانی حمله‌های سایبری شود. موارد مذکور موضوعات مهمی هستند که باید در مورد آن‌ها اطلاع داشته باشید. امروزه، بخش عمده‌ای از حمله‌هایی که زیرساخت‌ها و شبکه‌های سازمانی را هدف قرار می‌دهند از طریق آسیب‌پذیری‌های مستتر در برنامه‌های کاربردی که روی سامانه‌های کلاینت یا سرور اجرا می‌شوند پیاده‌سازی می‌شوند. از این‌رو، مهم است به‌عنوان یک برنامه‌نویس اطلاعات کاملی در ارتباط با بردارهای حمله داشته باشید تا هنگام کدنویسی برنامه‌ها ناخواسته راه ورودی برای هکرها ایجاد نکنید.


برنامه‌های کاربردی و چالش‌های آن‌ها

برنامه‌های کاربردی که روزانه از آن‌ها استفاده می‌کنیم در معرض انواع مختلفی از حمله‌های سایبری قرار دارند. هکرها همانند کاربران عادی، نرم‌افزارها را نصب و اجرا می‌کنند، عملکرد آن‌ها را بررسی می‌کنند و در ادامه به‌ جست‌وجوی آسیب‌پذیری‌های موجود در نرم‌افزارها می‌پردازند. با توجه به این‌که هکرهای حرفه‌ای در زمینه برنامه‌نویسی خبره هستند، شناخت کاملی در ارتباط با مفاهیم برنامه‌نویسی و نحوه سوءاستفاده از آسیب‌پذیری‌ها دارند.


پیمایش دایرکتوری

توسعه‌دهندگان برنامه‌های وب‌محور و مدیران سایت‌ها همواره نگران حمله پیمایش دایرکتوری (Directory Traversal) هستند. در حمله مذکور، هکرها سیستم فایلی وب‌سرور را ارزیابی می‌کنند تا بتوانند دستورات مخرب را درون پیام‌های HTTP تزریق کنند. در این تکنیک، هکر سعی می‌کند چندمرتبه ../.. را در یک آدرس اینترنتی آزمایش کند تا موفق شود به ساختار دایرکتوری وب‌سرور وارد شود. پس از ورود به دایرکتوری، چند مرتبه به عقب باز می‌گردد تا به دایرکتوری سیستم‌عامل برسد و دستورات سطح سیستم‌عامل را اجرا کند. برای مقابله با حمله‌های پیمایش دایرکتوری، باید اطمینان حاصل کنید که سیستم‌ها با وصله‌های امنیتی به‌روز هستند و به دنبال فهرست سیاه کاراکترهای رایج در آدرس‌های اینترنتی مثل ../.. باشید.


حمله‌های تزریقی

بزرگ‌ترین مشکلی که برنامه‌های کاربردی با آن روبرو هستند حمله‌های تزریقی است. حمله تزریقی به دلایل مختلفی انجام می‌شود. به‌طور مثال، ممکن است با هدف استخراج اطلاعات انجام شود. در این‌جا، نرم‌افزار کاربردی به‌عنوان واسطی برای حمله به یک بانک اطلاعاتی مورد سوءاستفاده قرار می‌گیرد. هکرها از این تکنیک برای درج انواع مختلف کدهای برنامه‌نویسی به‌جای داده‌هایی که نرم‌افزار در انتظار دریافت آن‌ها است، استفاده می‌کنند. حمله‌های تزریقی به انواع مختلف زیر تقسیم می‌شوند.


تزریق SQL

تقریبا همه کارشناسان بانک‌های اطلاعاتی و برنامه‌نویسان وب نگران این حمله هستند. زبان پرس‌وجوی ساخت‌یافته SQL سرنام Structured Query Language توسط برنامه‌نویسان برای پیاده‌سازی محاوره‌ها روی بانک‌های اطلاعاتی استفاده می‌شود. برنامه‌های کاربردی وب و برنامه‌های سازمانی برای بازیابی داده‌ها از بانک‌های اطلاعاتی، از زبان پرس‌جوی ساخت‌یافته استفاده می‌کنند. به‌عنوان مثال، شما ممکن است یک نرم‌افزار موجودی در دفتر داشته باشید که اطلاعات آن درون یک پایگاه داده ذخیره می‌شود. این برنامه از زبان پرس‌وجوی ساخت‌یافته برای بازیابی این داده‌ها از بانک‌های اطلاعاتی استفاده می‌کند و اطلاعات را نشان می‌دهد. در حمله‌های تزریق پرس‌وجوی ساخت‌یافته، هکر از دستورات این زبان استفاده می‌کند تا داده‌های موجود در بانک اطلاعاتی را دستکاری کند. در روش مذکور، هکر کدهای عادی زبان پرس‌وجوی ساخت‌یافته را به برنامه وارد می‌کند و اطمینان دارد که برنامه دستورات فوق را برای بانک اطلاعاتی ارسال می‌کند. هکر دستورات SQL را در مکانی که برنامه‌نویسان یا مدیران بانک اطلاعاتی انتظارش را ندارند، مثل فیلدهای نام کاربری و رمز عبور در صفحه ورود به برنامه وارد می‌کند.

شکل ۱، نمونه‌ای از یک حمله تزریق کد SQL را نشان می‌دهد. در این شکل، یک صفحه ورود به سیستم را مشاهده می‌کنید که منتظر دریافت نام کاربری و رمزعبور است. هنگامی که کاربر اطلاعات فیلدهای مذکور را وارد می‌کند، این اطلاعات در دستورات SQL قرار می‌گیرند تا کاربر احراز هویت شود و بتواند به سیستم وارد شود. دستوری که برای این منظور استفاده می‌شود، دستور select است که برای یافتن اطلاعات در پایگاه داده استفاده می‌شود. هنگامی که کاربر روی دکمه LOGON کلیک می‌کند، دستور select سعی می‌کند نام کاربری و رمز عبوری که در برنامه تایپ شده است را پیدا کند.



در مثال فوق، هکر باید اطمینان حاصل کند پس از اجرای یک محاوره، نتیجه دلخواه را دریافت می‌کند، زیرا نام کاربری و رمز عبور معتبر را نمی‌داند، بنابراین سعی می‌کند کدهای SQL را به‌عنوان رمز عبور وارد می‌کند تا شاید بتواند به سیستم وارد شود. به‌طور مثال، یکی از تکنیک‌های رایجی که در این زمینه استفاده می‌شود، درج دستورات بانک اطلاعاتی در کادر رمز عبور است تا یک حمله تزریق کد SQL با موفقیت انجام شود:

pass’ or 1=1 --

کلمه pass چیزی است که هکر به‌عنوان رمز عبور خود تایپ می‌کند که در واقع کار نخواهد کرد، زیرا هکر در برنامه حساب کاربری ندارد. دستور 1=1 به‌عنوان شرطی در دستور select استفاده می‌شود، اما به‌عنوان رمز عبور واقعی آزمایش نمی‌شود. در این‌جا نکته مهم در کاراکتر «'» مستتر است که برای بستن دستور select استفاده می‌شود. کاراکترهای «--» در پایان این دستور اشاره به درج نظر دارند و در حالت عادی مشکل خاصی ندارند، با این‌حال، نکته ظریفی وجود دارد. در کدهای اصلی، برنامه‌نویس از کاراکتر «'» در دستور select واقعی استفاده کرده و در این‌جا این کاراکتر پایان آن دستور را مشخص می‌کند. اکنون دو کاراکتر «-» ‌که در دنیای واقعی تنها برای درج نظرات توسط برنامه‌نویسان استفاده می‌شود، در خط بالا باعث نادیده گرفتن ادامه دستورات select اصلی می‌شوند. از این‌رو، در کدنویسی‌های ضعیف این تکنیک به هکر اجازه ورود به سامانه را می‌دهد.

یکی دیگر از چالش‌های بزرگی که برنامه‌نویسان بانک‌های اطلاعاتی با آن روبرو هستند، تغییر قیمت کالاها در یک فروشگاه آنلاین توسط هکرها است. دستور زیر اجازه به ورود به سیستم را می‌دهد، اما در عین حال یک عبارت به‌روزرسانی را اجرا می‌کند که قیمت همه کتاب‌های جدول titles را به ۵۰ سنت تغییر می‌دهد:

pass’ or 1=1; update titles set price=.5 --

یکی دیگر از مخاطراتی که پیرامون برنامه‌های کاربردی وجود دارد، فراخوانی دستورات سیستم‌عامل یا سرور بانک اطلاعاتی برای ساخت حساب‌های کاربری است. به‌طور مثال، دستور زیر یک رویه ذخیره شده داخلی موجود در

SQL Server را فراخوانی می‌کند که به توسعه‌دهنده پایگاه داده اجازه می‌دهد یک فرمان سیستم‌عامل را برای جمع‌آوری اطلاعات فراخوانی کند. در مثال فوق، هکر حساب کاربری خودش که fromSQL نام دارد را در ویندوز ایجاد می‌کند تا بتواند برای ورود به وب‌سایت هدف از آن استفاده کند. خوشبختانه این تکنیک از SQL Server 2005 به بعد قابل استفاده نیست، زیرا روال ذخیره شده

xp_cmdshell به‌طور پیش‌فرض غیرفعال است و به این دلیل نباید فعال شود.

pass’ ;exec master ..xp_cmdshell “net user fromSQL password /add» –

دستور زیر از تکنیکی مشابه حالت قبل برای افزودن حساب کاربری به گروه مدیران محلی سیستم استفاده می‌کند. به‌طوری‌که هکر یک در پشتی با قابلیت‌های مدیریتی کامل به‌دست می‌آورد. این تکنیک نیز تنها زمانی قابل استفاده است که xp_cmdshell فعال باشد، در حالی‌که روی نسخه‌های جدید SQL Server در حالت پیش‌فرض غیرفعال است.

pass’ ;exec master ..xp_cmdshell “net localgroup administrators fromSQL /add” –


چگونه مانع پیاده‌سازی موفقیت‌آمیز حمله‌های تزریق SQL شویم؟

همان‌گونه که اشاره شد، ایمن‌سازی نرم‌افزارهای کاربردی از وظایف اصلی برنامه‌نویسان است، زیرا کارشناسان امنیتی قدرت مانور محدودی برای مقابله با این مدل حمله‌ها دارند. از این‌رو، برای محافظت از برنامه‌های کاربردی که داده‌محور هستند به نکات زیر دقت کنید:

    Sanitization : برنامه‌نویسان باید از طریق به‌کارگیری الگوهایی مثل عبارات باقاعده هر کاراکتر ورودی دریافتی از کاربر که می‌تواند کدهای SQL را اجرا کند را شناسایی و پاک کنند. به‌عنوان مثال، آن‌ها باید نقطه ویرگول و دو خط تیره را از ورودی حذف کنند.
    Validation: برنامه‌نویسان باید ورودی را تایید کنند و اطمینان حاصل کنند که تعداد نویسه‌های قابل ‌وارد ‌کردن و نوع نویسه‌های استفاده‌شده دارای محدودیت هستند.
    Parameterized queries: استفاده از پرس‌و‌جوهای پارامتری به این معنا است که ورودی به‌شکل مستقیم به یک دستور SQL ارسال نمی‌شود، بلکه در قالب پارامتر برای دستورات ارسال می‌شود و تنها مقادیر خاصی پذیرفته می‌شوند. اگر مقدار پارامتر درست باشد، توسط دستورات SQL اجرا می‌شود. الگوی محاوره‌های پارامتری یکی از مهم‌ترین مباحث دنیای برنامه‌نویسی است که باید به آن دقت کنید.

تزریق کتابخانه پیوند پویا(Dynamic-Link Library Injection)

    تزریق کتابخانه پیوند پویا (DLL) هنگامی اتفاق می‌افتد که یک برنامه مجبور است یک DLL را در فضای آدرس خود بارگذاری کند و کد DLL را اجرا کند. کد موجود در DLL می‌تواند کد مخربی باشد که هکر می‌خواهد روی سیستم اجرا کند. این بردار حمله پیچیده و ظریف است؛ بنابراین اگر برنامه‌نویس در هنگام ساخت برنامه‌های کاربردی مکانیزمی برای اعتبارسنجی کتابخانه پویا در نظر نگرفته باشد، با موفقیت پیاده‌سازی می‌شود.

تزریق پروتکل دسترسی دایرکتوری سبک وزن
(Lightweight Directory Access Protocol Injection)

    حمله تزریق پروتکل دسترسی به دایرکتوری سبک وزن هنگامی اتفاق می‌افتد که هکری یک فرم وب را به‌گونه‌ای پر می‌کند که معمولا از داده‌های فرم برای پرس‌وجو از پایگاه داده با فراخوانی LDAP استفاده می‌کند، اما از آن‌جایی که توسعه‌دهنده برنامه هیچ‌کدام از ورودی‌ها را تایید نکرده، هکر در اجرای دستورات موفق خواهد بود. در این حالت هکر محتوا و دستورات موردنظر را درج می‌کند و سرور آن‌ها را اجرا می‌کند.

تزریق زبان نشانه‌گذاری توسعه‌پذیر
(Extensible Markup Language Injection)

    حمله تزریق زبان نشانه‌گذاری توسعه‌پذیر (XML) شبیه تزریق کد اس‌کیو‌ال و تزریق LDAP است، با این تفاوت که هکر کد XML را به برنامه وارد می‌کند. اگر توسعه‌دهنده برنامه، ورودی را اعتبارسنجی نکرده باشد، هکر می‌تواند روند اجرای برنامه را با تزریق داده‌های XML  دستکاری کند. برای حل این مشکل کافی است ورودی‌ها را اعتبارسنجی کنید تا مانع پیاده‌سازی موفقیت‌آمیز این مدل حمله‌ها باشید.

حملات سرریز بافر (Buffer Overflow Attacks)

با توجه به این‌که بخش عمده‌ای از برنامه‌های کاربردی با زبان‌های برنامه‌نویسی سی و سی‌پلاس‌پلاس نوشته می‌شوند، هنوز هم هکرها شانس خود برای انجام حمله‌های سرریز بافر را امتحان می‌کنند. بافر ناحیه‌ای از حافظه اصلی است که برای ذخیره اطلاعات ارسال‌شده به برنامه استفاده می‌شود. سرریز بافر زمانی است که یک هکر اطلاعات زیادی را به برنامه می‌فرستد و باعث می‌شود که اطلاعات از بافر سرریز کنند. بافر را همانند لیوان آبی تصور کنید که گنجایش مشخصی دارد، هنگامی که بیشتر از ظرفیت آب درون لیوان بریزد از آن سرازیر می‌شود. حمله سرریز بافر نیز دقیقا به همین شکل انجام می‌شود. شکل ۲، نمونه ساده‌ای از پیاده‌سازی موفقیت‌آمیز این حمله را نشان می‌دهد.



اگر هکر بتواند اطلاعاتی در حافظه خارج از ناحیه بافر ذخیره کند، قادر به اجرای هرگونه کدی با مجوز مدیریتی است. نرم‌افزارهایی که در معرض این مدل حمله‌ها قرار می‌گیرند، برنامه‌های کاربردی یا سرویس‌های در حال اجرا در پس‌زمینه سیستم‌عامل هستند.
چرا آسیب‌پذیری در برنامه‌های کاربردی وجود دارد؟

شاید بپرسید که چرا این حملات موفقیت‌آمیز هستند. دلایل مختلفی وجود دارد. به‌طور معمول، هکرها وقت کافی برای کار با فناوری‌ها اختصاص می‌دهند تا بفهمند نقاط ضعف فناوری‌ها کجا است و چگونه از آن‌ها برای انجام فعالیت‌های مخرب استفاده کنند.

علاوه بر این، برنامه‌نویسان و تیم‌های توسعه نرم‌افزارهای کاربردی، به‌عمد درهای پشتی روی محصولات خود قرار می‌دهند تا در آینده بتوانند تغییرات موردنیاز را در برنامه‌های کاربردی وارد کنند. گاهی‌اوقات، هکرها موفق می‌شوند این درهای پشتی را شناسایی کنند و به سوء‌استفاده از آن‌ها بپردازند. بنابراین توسعه‌دهندگان مجبور می‌شوند وصله‌هایی برای بستن این درهای پشتی منتشر کنند. از مهم‌ترین دلایل موفقیت‌آمیز بودن حملات به برنامه‌های کاربردی به موارد زیر باید اشاره کرد:

    مدیریت نامناسب ورودی: مدیریت و ارزیابی ورودی یکی دیگر از وظایف مهم برنامه‌نویسان و توسعه‌دهندگان نرم‌افزار است. هر زمان که داده‌ها به یک برنامه ارسال می‌شوند، برنامه‌نویس باید آن داده‌ها را اعتبارسنجی کند و از مناسب بودن آن‌ها اطمینان حاصل کند.

در این حالت، اگر داده‌ها نامعتبر باشند، به‌جای پردازش اطلاعات، یک خطا به کاربر نمایش داده می‌شود. اگر برنامه‌نویس ورودی را تایید نکند، هکرها می‌توانند داده‌های مخرب را به برنامه تزریق کنند تا نرم‌افزار را به روشی که مطلوب نیست کنترل کنند.

    مدیریت نادرست خطا: مدیریت خطا یکی دیگر از وظایف کلیدی برنامه‌نویسان است. برنامه‌نویسان باید اطمینان حاصل کنند که هرگونه خطای تولیدشده در برنامه را به‌دام می‌اندازند و آن خطاها را به‌طور مناسب مدیریت می‌کنند تا برنامه با مشکل جدی روبرو نشود. علاوه بر این، هنگامی که کدنوسی نرم‌افزار به‌پایان رسید، باید به‌دنبال شناسایی خطا باشید. مدیریت نادرست خطا می‌تواند منجر به سوء‌استفاده از برنامه شود.
    پیکربندی پیش‌فرض: هنگام نصب نرم‌افزار یا سیستم‌ها، مطمئن شوید که پیکربندی پیش‌فرض را تا حد امکان تغییر دهید. هکرها تنظیمات پیش‌فرض محصولات را می‌شناسند و یاد می‌گیرند که چگونه از تنظیمات پیش‌فرض برای سوءاستفاده از سیستم‌ها استفاده کنند. شما باید پیش‌فرض‌ها را تغییر دهید تا هکرها شانس کمتری برای نفوذ به برنامه‌ها داشته باشند.
    پیکربندی نادرست یا پیکربندی ضعیف: بخش عمده‌ای از حمله‌های هکری به‌دلیل پیکربندی نادرست یا ضعیف سیستم‌عامل و برنامه‌های کاربردی انجام می‌شوند. در ارتباط با نرم‌افزارهای مهمی مثل SQL Server، Exchange Server و نمونه‌های مشابه باید اطمینان حاصل کنید که پیکربندی درستی را اعمال کرده‌اید.
    Weak cipher: یکی از بزرگ‌ترین مشکلات برنامه‌های کاربردی دانش کم برنامه‌نویسان در زمان به‌کارگیری الگوریتم‌های رمزنگاری است. متاسفانه برخی از برنامه‌هایی که توسط کاربران سیستم‌عامل ویندوز و اندروید استفاده می‌شود از فناوری‌ها یا پروتکل‌های رمزگذاری ضعیف استفاده می‌کنند. به‌طور ‌مثال، در برخی برنامه‌ها و سفت‌افزارها برای رمزگذاری داده‌ها از الگوریتم متقارن DES یا 3DES استفاده می‌شود. این رمزگذاری ضعیف است و باید با الگوریتم‌های قوی‌تری مثل AES جایگزین شود. مثال دیگر جایگزینی پروتکل‌های رمزگذاری ضعیف‌تر مثل TLS 1.0 و TLS 1.1 با نمونه جدیدتر TLS 1.3 است.
    تهدیدات روز صفر: یکی از شایع‌ترین آسیب‌پذیری‌هایی که بسیاری از شرکت‌ها را قربانی می‌کند، تهدید روز صفر است که اشاره به آسیب‌پذیری ناشناخته‌ای دارد که فروشنده هنوز از آن آگاه نیست، یا به‌تازگی از آن آگاه شده است. در آسیب‌پذیری روز صفر، زمان کافی برای عرضه وصله وجود ندارد و در نتیجه هکرها می‌توانند در فرصت کوتاهی از آن استفاده کنند. بهترین راه مقابله با این حمله، به‌کارگیری سامانه‌های تشخیص و پیشگیری از نفوذ است.

کلام آخر

یکی از جنبه‌های نادیده گرفته شده در حوزه توسعه برنامه‌های کاربردی که روزانه از آن‌ها استفاده می‌کنیم مقوله امنیت است. درک این نکته که چگونه هکرها از طریق برنامه‌های کاربردی در حال اجرا روی سامانه‌ها به زیرساخت‌های یک شرکت وارد شده و به آن‌ها آسیب جدی وارد می‌کنند بسیار مهم است. نکته کلیدی در بحث توسعه نرم‌افزارهای کاربردی، درک این مسئله است که به‌عنوان یک برنامه‌نویس می‌توانید کار خود را انجام دهید و پس از به‌اتمام رساندن یک پروژه نرم‌افزاری با دقت و وسواس خاصی آزمایش‌های امنیتی را روی نرم‌افزاری که طراحی کرده‌اید انجام دهید.

علاوه بر این، مجموعه خط‌مشی‌ها، چک‌لیست‌ها و الگوهایی وجود دارد که کمک می‌کنند هنگام کدنویسی از اشتباهات رایج دوری کنید. با این‌حال، دقت کنید هر زبان برنامه‌نویسی الگوهای امنیتی خاص خود را دارد و این‌گونه نیست که قواعد مذکور در مورد تمامی زبان‌های برنامه‌نویسی صدق کند. به‌طور مثال، سی‌شارپ با ارائه مفهومی به‌نام Garbage Collection روند کدنویسی را برای برنامه‌نویسان ساده کرد، در حالی که زبان‌هایی مثل سی فاقد چنین ویژگی‌ای هستند و برنامه‌نویسان در هنگام تخصیص حافظه به اشیاء پویا باید خود حافظه را آزاد کنند.

 

برگرفته از سایت شبکه

 

 

 

شروع با پیشران

شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه  مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص  برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین  مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای محتلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi  در ایران است.

 تماس با پیشران    رزومه وپروژها

مشتریان پیشران

شرکتها - موسسات - ادارات دولتی و مشتریان خصوصی پیشران صنعت ویرا موسسات مشتریان پیشران صنعت شرکت های مشتری پیشران صنعت ویرا ادارات مشتری پیشران صنعت ویرا مشتریان ما

پروژه های پیشران

پروژه های اجرا شده توسط پیشران صنعت ویرا پیشران صنعت ویرا پروژه های پیشران صنعت ویرا دستگاه اتوماسیون اداری شرکت پیشران صنعت ویرا