انتبه من ان تتعرض الى هجمة سرقة بيانات دخول أعضاء منتداك
في الأسابيع القليلة الماضية , لفت انتباهنا محاولة فاشلة لسرقة بيانات دخول الأعضاء في phpBB.com . بالرغم من أن المحاولة قد كانت فاشلة , يجدر بنا تبيان بعض النقاط التي تساعد على تأكيد أمان و الوقاية من هجمات كهذه . حيث يجب على مدراء المنتديات أخذ إجراءات احترازية هامة لطمان أمن منتدياتهم .
شرح للهجمة التي حصلت :
قام المهاجم أولاً بالتسجيل في المنتدى ,و جرب صلاحياته بالنسبة لقائمة الأعضاء حيث كانت له الصلاحية لرؤوية كافة اسماء الأعضاء من قائمة الأعضاء كما هو الحال مع الجميع . ثم استخدم المهاجم طريقة ديناميكية لتحميل قوائم بأسماء الأعضاء , حيث جمع أكثر من 5000 اسم من قائمة الأعضاء . بعد جمعه لهذه الأسماء , حاول المهاجم تسجيل الدخول بطريقة آلية و متكررة باستمرار في المنتدى . و بما أن المهاجم لا يمكنه كتابة الرمز الأمني الذي يظهر عند عدد معين لمحاولة تسجيل الدخول الفاشلة , فقد فشل في النجاح الدخول لأي من العضويات .
الدلاء على الهجمة :
كان من أهم الدلائل على الهجمة :
– طلب من بعض المستخدمين ادخال الرمز الأمني عند محاولتهم لتسجيل الدخول .
– ارتفاع في الضغط على معالجة السيرفر .
– طلبات أوامر متكررة للصفحة ucp.php?mode=login من نفس الـ IP .
الوقاية :
تقدم phpBB عدة أدوات تساعد المستخدمين في الحصول على وقاية و أمانة بكل سهولة .
– لمنع محاولات سرقة البيانات , على مدير المنتدى التأكد من أن ” الحد الأعلى لمحاولات التسجيل الفاشلة ” لا يتجاوز الـ 3 محاولات مثلا لكي يظهر الرمز الأمني عندها .
– كما يمكن لمدير المنتدى أن يمنع الأعضاء المسجلين الجدد من رؤية صفحات معينة في المنتدى , و هنا يمكنه منعهم من رؤية قائمة الأعضاء . للقيام بذلك , تأكد من أن ميزة ” الأعضاء
المسجلين الجدد ” فعالة من خلال الدخول الى لوحة التحكم الرئيسية > اعدادات التسجيل > تأكد أن الرقم الخاص بعدد مشاركات الأعضاء الجدد أكثر من 0 . ثم من قسم الصلاحيات > صلاحيات المجموعة > الأعضاء المسجلين الجدد > الملف > ضع “يمكنه مشاهدة الملفات الشخصية و الأعضاء على الخط ” : أبدا .
– بالإضافة إلى ذلك , فإن الهجمة اعتمدت على كلمات سر مختارة لتجربة الدخول بها . تأكد من أن كلة السر الخاصة بك و لدى أعضائك تحتوي ارقام و حروف و ألا تكون كلمة شائعة أو مصطلح معروف أو ارقام ” 12345 ” الخ . يمكنك ضبط مدى صعوبة كلمة المرور الواجب كتابتها من خلال لوحة التحكم الرئيسية > اعدادات التسجيل .
بالرغم من تأكيدنا فشل الهجمة , إلا أننا ننصح بشدة مدراء المنتديات الأخذ بعين الإعتبار النقاط السابقة لوقاية منتدياتهم و بيانات الأعضاء لديهم .
إذا كان لديك أي سؤال أو مداخلة حول هذا الموضوع , رجاء قم بكتابة موضوع جديد في قسم الدعم الفني .