2.Injection flaws
در این شیوه هکر به همراه بخشی از اطلاعات یا پارامترهای ارسالی به سایت  دستورات غیر مجازی که امکان خواندن،تغییر یا حذف یا درج اطلاعات جدید را فراهم میکند نیز تزریق میکند.یکی از معمول ترین این روشها SQL Injection است که امکان تغییر در  اطلاعات  و جداول بانک اطلاعاتی یا تغییر در درخواستها از بانک اطلاعات (مانند تعیین اعتبار کاربر و کلمه) را امکان پذیر میکند.

3.Malicious file execution
این مسئله به هکر ها اجازه اجرای برنامه یا کدی را میدهد که امکاناتی در تغییرات یا مشاهده اطلاعات یا حتی تحت کنترل گرفتن کل نرم افزار سایت یا سیستم را میدهد. این مشکل در سایتهایی که امکان ارسال فایل را به کاربران بدون بررسی ماهیت اطلاعات را می دهد اتفاق می افتد (مثلا ارسال یک اسکریپ PHP یا ASP به جای فایل تصویری توسط کاربر)

4.Insecure direct object reference
این مشکل عموما در دستکاری پارامترهای ارسالی به صفحات یا اطلاعات فرمهایی هست که بصورت مستقیم به فایل، جداول اطلاعاتی،فهرستها یا اطلاعات کلیدی اتفاق می افتد و  امکان دسترسی  یا تغییر  فایلهای اطلاعاتی دیگر کاربران را ایجاد میکند. (مانند ارسال کد کاربر یا نام فایل مخصوص او بصورت پارامتر در آدرس صفحه که با تغییر آن امکان دسترسی یا تغییر در اطلاعات کاربر دیگری وجود خواهد داشت)

5.Cross site request forgery
در اینگونه حملات هکر کنترل مرورگر قربانی را یدست آورده  و زمانی که وی وارد سایت (login) شده  درخواستهای نادرستی را به سایت ارسال می کند. (نمونه آن چندی پیش دز سایت myspace  اتفاق افتاده بود و هکری با استفاده  از یک کرم اینترنتی پیغامی را در میلیونها صفحه کاربران این سایت نمایش داد)

6.Information leakage and improper error handling
همانطور که از نام این مشکل مشخص است زمانی که در  خطاهای نرم افزار سایت به شکل مناسبی مدیریت نشوند در صفحات خطا اطلاعات مهمی نمایش داده شود که امکان سوء استفاده از آنها وجود داشته باشد.(نمونه ای از همین مشکل چندی پیش برای یکی از سایتهای فارسی نیز بوجود آمد و اطلاعات کاربری و کلمه عبور اتصال به بانک اطلاعات در زمان خطا نمایش داده می شد و باعث سوء استفاده و تغییر اطلاعات کاربران این سایت شد )

7.Broken authentication and session management
این مشکل در زمانی که نشست کاربر (Session) و کوکی اطلاعات مربوط به ورود کاربر به دلایلی به سرقت می رود یا به دلیلی نیمه کاره رها می شود  ایجاد می شود. یکی از شیوه های جلوگیری از این مشکل  رمز نگاری اطلاعات و  استفاده SSL است.

8.Insecure cryptographic storage
این مشکل نیز چنانچه از عنوان آن مشخص است بدلیل اشتباه در رمزنگاری اطلاعات مهم  (استفاده از کلید رمز ساده یا عدم رمز نگاری اطلاعات کلیدی)  است.

9.Insecure communications
ارتباط ناامن نیز مانند مشکل قبلی است با این تفاوت که در لایه ارتباطات شبکه است.هکر در شرایطی میتواند اطلاعات در حال انتقال در شبکه را مشاهده کند و از این طریق به اطلاعات مهم نیز دست پیدا کند. همانند مشکل قبلی نیز استفاده از شیوه های رمزنگاری و SSL راه حل این مشکل است.

10.Failure to restrict URL access
برخی از صفحات سایتها (مانند صفحات بخش مدیریت سایت) می بایست تنها در اختیار کاربرانی با دسترسی خاص باشند.اگر دسترسی به این صفحات و پارارمترهای ارسالی آنها به شکل مناسبی حفاظت نشده باشد ممکن است هکرها آدرس این صفحات را حدس بزنند و  به نحوی به آنها دسترسی پیدا کنند.

انگیزه هایی متعددی همچون کسب شهرت، قدرت نمایی، حذف مطالب مخالفین و یا آزار باعث می شود که افرادی همواره علاقمند هک و یا نابودی برخی وبلاگها باشند. در بین وبلاگهای فارسی نیز هر از گاهی شاهد هک و تغییر محتوا و صفحات برخی وبلاگها هستیم. بسیاری اوقات تصور غلطی از اینگونه هکر ها وجود دارد گویی آنها از نبوغ یا تخصص فارغ العاده ای بهره می برند اگر چه شاید چنین افرادی نیز وجود داشته باشند اما حقیقت آن است که شیوه هایی که معمولا برای هک وبلاگها استفاده می شود بسیار ساده و رایج است و با کمی دقت میتواند از محتوا و مطالب وبلاگ در برابر افرادی که سوء نیت دارند محافظت کرد. با توجه به ماهیت کارم همواره با مواردی از هک وبلاگها برخورد داشته ام و از همین رو در ادامه مطالب به برخی از مهمترین و رایج ترین دلایل و شیوه های هک وبلاگ که در بین وبلاگهای فارسی نیز رایج است اشاره ای خواهم داشت.

1.فریب
برای یک هکر یا فردی که  دارای سوء نیت است هیچ روشی ساده تر از فریب نویسنده وبلاگ و کسب اطلاعات از وی به جای سر و کله زدن با شیوه های فنی و تخصصی نیست. تقریبا اکثر سرویسهای مطرح وبلاگ فارسی اخطارهایی به کاربران خود نسبت به دریافت ایمیلهای جعلی داده اند و این نشان از رایج بودن شیوه فوق برای فریب کاربرانی که از سرویسهای وبلاگ استفاده میکنند دارد. در این شیوه هکرها تلاش میکنند با ارسال ایمیل و پیامهایی چون افرایش امکانات یا حذف وبلاگ به دلیل عدم فعالیت یا شناسایی وبلاگهای برتر و عناوین اینچنینی از طرف مدیران سایت کاربران را فریب دهند تا نام کاربری و کلمه عبور وبلاگ خود را برای فرستنده ایمیل ارسال کنند. هکرها تمام تلاش خود را میکنند که ایمیلها هرچه بیشتر واقعی به نظر برسند. اما با کمی دقت میتوان دریافت که ایمیلها جعلی هستند و البته  بایستی این منطق را نیز در نظر داشت که عموماً مدیران یک سرویس دهنده وبلاگ نیازی به دریافت کلمه عبور کاربران خود از این طریق ندارند.

2.صفحات جعلی
صفحات جعلی یکی از شیوه های رایج سرقت اطلاعات کاربران وب سایتهای مختلف در جهان است.در این شیوه هکرها صفحاتی بسیار شبیه صفحه نخست یا صفحه ورود کاربران (Login) یک سایت را طراحی میکنند و آنرا در آدرسی که شبیه آدرس اصلی سایت باشد قرار میدهند. آنها اینگونه صفحات را به شیوه مختلف مانند ارسال ایمیل یا چت برای قربانی خود ارسال میکنند و در این میان گاهی افراد بدون دقت در مورد آدرس اصلی صفحه فوق کلمه عبور خود را وارد این صفحه میکنند که در نهایت در اختیار هکر قرار خواهد گرفت. این شیوه یکی از شیوه های رایج برای هک ایمیلهای یاهو یا هات میل یا حتی سرقت اطلاعات مالی افراد است نیز هست و برخورد با اینگونه صفحات جعلی به عنوان هدفی در توسعه نسخه های جدید  مرورگرهای مطرح اینترنت مانند IE یا نرم افزار امنیتی  مطرح می باشد. چنین شیوه ای برای سرقت اطلاعات کاربری وبلاگ نویسان نیز مورد استفاده قرار میگیرد و  حتی در برخی از وبلاگها یا سایتهای هکرهای ایرانی صفحات جعلی آماده شبیه صفحات اصلی سایتهای مطرح سرویس دهنده وبلاگهای فارسی  برای سرقت اطلاعات ارائه می شود. دقت در نوار آدرس مرورگر و بررسی صحت آدرس وب سایت در مواقعی که قرار است اطلاعات مهمی همچون کلمه عبور را در صفحه ای وارد کنیم میتواند بهترین شیوه برای حفاظت در برابر چنین تهدیدی باشد.

3.هک ایمیل یا آی دی در چت
سایتها و وبلاگهای مرتبط با موضوع هک مملو از تروجانها و نرم افزارهای جاسوسی است که با هدف سرقت کلمه عبور ایمیلهای یاهو یا دیگر سرویسهای ایمیل مطرح و همچنین آی دی کاربران در چت می‌باشد.برنامه های کوچکی وجود دارند که به محض باز شدن در کامپیوتر قربانی کلمه عبور یاهو مسنجر وی را برای هکر ارسال میکنند یا بصورت یک جاسوس در کامپیوتر مقیم شده و کلمه عبور وارد شده در صفحه ورود کاربر (Login) ایمیل یاهو را ثبت میکنند.
این برنامه های کوچک با شیوه های مختلفی همچون ایمیل یا در چت  و یا با هدایت قربانی خود به صفحه اینترنتی خاصی و با عناوین فریب دهنده (مثل بازی جدید یا برنامه ای با امکانات جالب) به قربانی معرفی و در کامپیوتر وی نصب می شوند. متاسفانه این شیوه بسیار رایجی برای هک ایمیل و آی دی چت کاربران ایرانی است و بسیار مورد استفاده  ایرانیهای علاقمند به هک است و به همین دلیل تهدیدی بزرگی برای کاربران ایرانی به شمار می آید ، نفوذ به ایمیل افراد میتواند گامی موثر و برای سرقت اطلاعات وبلاگ باشد (معمولا یا کلمه عبور وبلاگ در ایمیل فرد هست یا با استفاده امکان فراموشی کلمه عبور سایت سرویس دهنده وبلاگ اطلاعات ورود کاربر در اختیار هکر قرار میگیرد) .  دقت در دریافت و بخصوص اجرای فایلها و استفاده از نسخه های به روز شده آنتی ویرویسها و نرم افزارهای فایروال میتواند تا حدود زیادی خطرات چنین تهدیدی را کاهش دهد.

4.سرقت اطلاعات در کامپیوترهای عمومی
به خاطر داشته باشید که کامپیوترهایی که مورد استفاده عموم هستند مانند کامپیوترهای کافی نت ها و یا دانشگاهها بهترین گزینه برای نصب نرم افزارهای جاسوسی و سرقت اطلاعات کاربران هستند و به صراحت می توان گفت استفاده کنندگان از این  کامپیوترها بیشتر در معرض تهدید و سرقت اطلاعات مهم خود هستند. بنابراین تا آنجا که ممکن است اطلاعات مهم خود را در کافی نت ها یا در کامپیوترهای دانشگاه وارد نکنید یا حداقل اگر چنین میکنید در دوره های زمانی کوتاه کلمه عبور خود را تغییر دهید.

5.کلمه عبور ساده
خود را جای یک هکر قرار دهید مطمئناً حدس و تست چند کلمه عبور یکی از شیوه هایی خواهد بود که در هک یک وبلاگ آنرا تجربه میکنید. کسانی که کلمات عبور ساده ای مانند نام کاربری خود یا نام واقعی خود یا اعداد ساده و قابل حدس انتخاب میکنند بیش از هر فرد دیگری نسبت به سرقت و یا صدمه به اطلاعات وبلاگ خود مقصر هستند. البته شاید لازم نباشد کلمات عبور را آنقدر پیچیده  انتخاب کنید که حتی خودتان هم نتوانید آنر به خاطر بسپارید اما حداقل کلمه عبور وبلاگ خود را به شکلی انتخاب نکنید که توسط دیگران قابل حدس باشد.
برخی از کاربران نیز روی اعتماد کلمه عبور خود را در اختیار افراد دیگری (مثلا برای ارسال مطالب ، چک کردن نظرات یا تغییر در قالب و...) قرار می دهند.شاید این افراد واقعا قصد صدمه به محتوای وبلاگ شما را نداشته باشند اما آیا شما میتواند مطمئن باشید که مثلا کامپیوتر آنها آلوده به تروجان یا نرم افزار جاسوسی نیست؟ یا به نحوی اطلاعاتی که شما در اختیار آنها گذاشتید بصورت ناخواسته توسط فرد دیگری رویت نمی شود؟  اگر در مواردی لازم شد که کلمه عبور خود بصورت مقطعی در اختیار فرد دیگری قرار دهید میتوانید بعد از اتمام کار کلمه عبور خود را تغییر دهید. برخی ابزارها و سرویسهای وبلاگ نیز به شما امکان تعریف نویسندگان یا کاربران دیگری با امکانات محدودتر می دهند که میتوانید از این امکانات استفاده کنید.

در ادامه دلایل هک وبلاگها میتوان به نواقص نرم افزاری در سایتهای سرویس دهنده وبلاگ یا ابزارهای مدیریت وبلاگ اشاره کرد،البته این اشکالات عموماً زود کشف و رفع می شوند.همچنین مانیتورینگ ترافیک شبکه و مشاهده کلمه های عبور وارد شده توسط کارمندان یک شرکت یا سازمان توسط مسولان فنی شبکه و یا فریب مسئولین پشتیبانی سایت یا شرکت میزبان وبلاگ و همچنین فریب کاربران طمعکار با عنوان هک وبلاگ دیگران با ورود کلمه عبور شخصی خودشان نیز از شیوه هایی هستند که در مواردی باعث صدمه به محتوای یک وبلاگ شده اند. اما آنچه در بررسی هک و آسیب به وبلاگهای فارسی بیش از هر دلیل و شیوه دیگری قابل مشاهده است پنج دلیل فوق است. تهدیدهایی که با کمی دقت بیشتر توسط کاربران از بین می روند.

پی نوشت:قسمت دوم کمی تخصصی تر خواهد بود