امنیت سایت یا تست نفوذ در برنامه‌های کاربردی وب، با استفاده از استانداردهای بین‌المللی

-

امنیت سایت یا برنامه کاربردی وب و اهمیت آن


امنیت سایت را از آنجا شروع می کنیم که در مقاله قبلی درباره تفاوت واژگان وب‌سایت و برنامه‌های کاربردی وب صحبت کردیم، اکنون وقت آن رسیده است که درباره امنیت در وب‌سایت و برنامه‌های کاربردی وب بپردازیم.

امروزه کلیه‌ی کسب‌وکارها و فروشگاه‌ها، با توجه به بازخوردهایی که از جامعه دریافت می‌نمایند، سعی بر این دارند تا برای کالا و خدمات خود وب‌سایتی را راه‌اندازی نمایند و محصولات خود را برای درآمد بیشتر و فروش بهتر ارائه دهند. همان‌گونه که در مقاله‌های قبلی با اهمیت امنیت در دنیای امروزه آشنا شدیم. در اینجا می‌خواهیم از اهمیت امنیت در صفحات وب و برنامه‌های کاربردی وب آشنا شویم.

[caption id="attachment_541" align="aligncenter" width="300"]استانداردسازی امنیت سایت امنیت سایت بر اساس استاندارد[/caption]

در دنیای امروزه که کسب‌وکارها به سمت‌وسوی آنلاین شدن در فضای مجازی را پیش گرفته‌اند، صفحات وب بستری مناسب و قابل‌اعتماد برای انسان گشته تا بتوانند کالا و خدمات موردنیاز خود را یا ارائه دهند و یا به فروش برسانند. با توجه به تجارت الکترونیکی که از طریق صفحات وب انجام می‌شود، اهمیت این موضوع آشکار است که در این جنبه از امنیت باید توجه بیشتری داشته باشیم. در هر زمان که صحبت از تبادلات مالی می‌شود، بحث امنیت خود را بشدت نشان می‌دهد.

اهمیت پورت HTTP


ازآنجایی‌که کلیه سازمان‌ها و شرکت‌ها دارای صفحات وب  مخصوص به خود هستند و این صفحات با شبکه‌های داخل سازمان در ارتباط هستند، بستر صفحات وب دارای اهمیت خاصی می‌گردد، تا بتوانیم امنیت شرکت و سازمان خود را بیشتر نماییم. ازآنجایی‌که پروتکل انتقال ابر متن یا HTTP از ترافیک بروی پورت 80 استفاده می‌نماید، می‌تواند خطرناک‌ترین نوع حملات را برای سازمان به وجود آورد. پورت 80 در فایروال‌ها برای ترافیک پروتکل HTTP در نظر گرفته‌شده است و هیچ‌گونه محدودیت قانونی برای اعمال سخت‌گیرانه ندارد و ازاین‌جهت می‌تواند یکی از خطرناک‌ترین پورت‌ها شناخته شود.پیدا کردن شکاف امنیتی در صفحات وب توسط هکر، باعث می‌گردد که هکر بتواند با استفاده از حرکت روبه‌جلو، به داخل سامانه‌های سازمان و حتی اطلاعات حساس در وب‌سایت رخنه نماید.

در مقاله‌های پیشین با اهمیت امنیت و انواع امنیت در فضای سایبری آشنا شدیم، که یکی از مهم‌ترین آن‌ها، امنیت سایت، امنیت سرور و امنیت برنامه‌های کاربردی وب است.

[caption id="attachment_543" align="aligncenter" width="256"]استاندارد تست نفوذ برنامه کاربردی وب تست نفوذ برنامه کاربردی وب با استاندارد[/caption]

آشنایی با استانداردهای امنیت سایت یا برنامه‌های کاربردی وب


ازآنجایی‌که امنیت یک پروسه و فرآیند است، باید در نظر داشته باشیم که همگام با رشد و تکامل صفحات سایت، امنیت نیز در کنار آن رشد پیدا کند. در شروع هر کاری که بخواهیم از ابتدا تا انتهای آن را به‌درستی انجام دهیم، باید حتماً از یک چهارچوب یا قاعده خاص استفاده کنیم. در بحث طراحی و امنیت سایت نیز دستورالعمل‌ها و استانداردهایی وجود دارد که رعایت آن باعث رشد کمی و کیفی در برقرار امنیت در سایت‌ها می‌گردد.

از قوی‌ترین و شناخته‌شده‌ترین استانداردها در راستای ایمن‌سازی طراحی سایت، پیاده‌سازی، توسعه و تست پروژه‌های نرم‌افزاری می‌توان سازمان بین‌المللی و غیرانتفاعی OWASP را نام برد. کلیه اطلاعات، مستندات، ابزارها و مطالب این سازمان رایگان بوده و در وب‌سایت آن قابل‌دسترسی است. عبارت OWASP که مخفف عبارت Open Web Application Security Protocol Projects بوده، یک متدولوژی است تا در آن شما را به‌عنوان یک متخصص برنامه‌نویسی تحت وب، با معیارهای درست امن‌تر کردن برنامه‌های کاربردی وب آشنا سازد.

 

با توجه به پیچیده شدن ساختارهای برنامه‌نویسی سایت و برنامه‌های کاربردی وب و همچنین بحث امنیت در آن‌ها، پروژه OWASP به چندین پروژه کوچک‌تر تبدیل شد. غالب افراد بر این تفکر هستند که پروژه OWASP شامل یک یا دو پروژه خاص است؛ ولی این در حالی است که این سازمان دارای تعداد 9 زیر پروژه است که هرکدام درباره‌ی امنیت در حوزه‌های مختلف برنامه‌های کاربردی وب فعالیت می‌نمایند. این سازمان متشکل از پروژه‌های زیر است.

OWASP ASVS


این پروژه یا به‌عبارت‌دیگر OWASP Application Security Verification Standard، استانداردی برای تائید امنیت نرم‌افزارهای کاربردی وب است. از نام این پروژه می‌توان فهمید، زمانی که یک برنامه کاربردی وب درباره استانداردهای امنیتی بخواهد تائید شود و از این سازمان تأییدیه دریافت نماید، باید حتماً بر اساس استانداردهای این پروژه برنامه‌های کاربردی خود را طراحی نمایند. برنامه‌های کاربردی وب با گذشتن از چندین تست امنیتی توسط این پروژه می‌توانند تأییدیه ایمنی این پروژه را دریافت نماید.

OWASP XSG


این پروژه با نام XML Security Gateway به‌صورت خاص و ویژه‌ای بروی امنیت در ساختارهای XML پرداخته است.

OWASP Development Guide


این پروژه شامل مجموعه‌ای از نمونه کدهای J2EE، ASP.NET و PHP است که توسعه‌دهندگان برنامه‌های کاربردی وب می‌توانند از آن‌ها در جهت راهنمایی برای برنامه‌نویسی وب‌سایت و نرم‌افزارهای وب استفاده نمایند. به کمک این مجموعه از کدها، برنامه نویسان می‌توانند با انواع و اقسام رایج‌ترین حملات وب‌سایت و برنامه‌های کاربردی وب آشنا شوند و در جهت رفع مشکلات امنیتی طراحی وب‌سایت از این مجموعه استفاده نمایند.

OWASP Testing Guide


این پروژه برای تست و آزمون از برنامه‌های کاربردی وب است. برنامه نویسان و طراحان برنامه‌های کاربردی وب می‌توانند از این پروژه برای تست نفوذ در برنامه‌های کاربردی وب، به‌عنوان یک معیار و سنجش امنیتی استفاده نمایند. در این پروژه راهنمای فنی و مقدماتی برای تست نفوذ و حمله به برنامه‌های کاربردی وب و سرویس‌دهنده‌های برنامه‌های کاربردی وب بیان‌شده است.

OWASP Code Review Guide


همان‌طور که از نام این پروژه مشخص است، بعد از نوشتن کد برنامه‌های کاربردی وب، برنامه‌نویس به کمک این پروژه می‌تواند با مرور کدهای نوشته‌شده و مستندسازی آن‌ها، نقاط ضعف و شکاف‌های امنیتی در کدها را برطرف نماید.

OWASP ZAP Project


پروژه ZAP یک نرم‌افزار تست نفوذ با رابط کاربری ساده است که برای انجام تست‌های نفوذ در برنامه‌های کاربردی وب توسط متخصصان تست نفوذ و هکرها مورداستفاده قرار می‌گیرد.

OWASP Top Ten


این پروژه که یکی از شناخته‌شده‌ترین پروژه‌های این سازمان است، در خصوص مشکلات و شکاف‌های امنیتی در برنامه‌های کاربردی وب اطلاع‌رسانی می‌نماید.

OWASP SAMM


پروژه Software Assurance Maturity Model یا به‌اصطلاح SAMM، راهنمایی است برای سازمان‌ها تا بتوانند یک قاعده و چهارچوب صحیح امنیتی و تحلیلی برای برنامه‌های کاربردی وب خود خلق نمایند. این پروژه باعث می‌شود تا سازمان‌ها با شکاف‌های امنیتی در برنامه‌های کاربردی وب و ریسک‌های امنیتی آن، به‌صورت هدفمندی مقابله نمایند.

OWASP WebGoat


این پروژه یک برنامه کاربردی وب است که کلیه‌ی نقاط ضعف شناخته‌شده توسط سازمان OWASP را به‌صورت مجازی و در قالب یک وب‌سایت در اختیار برنامه نویسان قرار می‌دهد تا بتوانند با انواع حملات رایج در برنامه‌های کاربردی وب آشنا شوند. این پروژه باعث می‌شود افراد به‌صورت عملی با انواع حملات وب‌سایت آشنا شوند.

در مقاله‌ی بعدی شما را با انواع حملات سایت یا برنامه‌های کاربردی وب بر اساس استانداردهای بین‌المللی آشنا خواهیم کرد.

Comments

Post a Comment

Popular posts from this blog

انواع حملات CSRF یا حملات جعل درخواست فرا وبگاهی در برنامه‌های کاربردی وب

-
Image
آشنایی با حملات CSRF یا حملات جعل درخواست فرا وبگاهی با توجه به اینکه، حملات CSRF به‌عنوان یکی از خطرناک‌ترین حملات در امنیت سایت شناخته می‌شود، در این مقاله قصد داریم تا با انواع گوناگون این حملات آشنا شویم. ازآنجایی‌که حملات CSRF مخفف عبارت Cross-Site Request Forgery است و به‌عنوان یکی از شناخته‌شده‌ترین نوع حملات سایت در بین هکرها محسوب می‌شود؛ منابع و مقالات بسیار زیادی در این زمینه ارائه‌شده است و هدف ما از ارائه‌ی این مقاله آشنایی اصولی و پایه‌ای با مفاهیم و انواع این نوع حملات در سطح وب‌سایت‌ها می‌باشد. [caption id="attachment_687" align="aligncenter" width="300"] انواع حملات CSRF[/caption] حملات جعل درخواست فرا وبگاهی یا همان حملات CSRF که گاهی Sea-Surf نیز تلفظ و بیان می‌گردد بانام‌هایی همچون One-Click Attack، Session Riding و یا XSRF نیز شناخته می‌شود. حملات CSRF از یک اعتماد اشتباه به وجود می‌آید. در این اعتماد اشتباه، یک وب‌سایت به کاربر خود و مرورگرش، اعتماد می‌نماید و کاربر، قربانی حملات CSRF می‌گردد. برای درک بهتر این نوع حملات به مثال زیر
Read more

آشنایی با دستورات کاربردی MySQL برای حملات SQL Injection بخش ششم

-
Image
آموزش جامع SQL Injection ----------------------------------------------------------------------- پایگاه داده MySQL و آشنایی با دستورات کاربردی آن در حملات SQL Injection ----------------------------------------------------------------------- دانلود ویدئو https://shekaf.org/downloads/database-learning / دانلود رایگان کل پکیج حملات SQL Injection ----------------------------------------------------------------------- در این پکیج آموزشی نگاهی به مفاهیم اولیه پایگاه‌های داده و دلایل استفاده از آن خواهیم داشت و سپس انواع پایگاه داده را بررسی نموده و با آن‌ها آشنا خواهیم شد. در ادامه کار پایگاه داده کاربردی، قدرتمند و متن‌باز MySQL را موردبررسی قرار داده و نحوه اجرای آن در سیستم‌عامل‌های لینوکسی و ویندوزی را موردبررسی قرار می‌دهیم. در انتهای کار با بسیاری از دستورات اساسی و کاربردی پایگاه داده MySQL آشنا خواهید شد؛ که این دستورات می‌توانند مقدمه‌ای برای آشنایی با حملات SQL Injection باشند. این دستورات که غالباً در حملات SQL Injection به کار می‌روند را یاد خواهید گرفت؛ تا بتوا
Read more

آشنایی با مفهوم اولیه پایگاه داده و دلیل استفاده از پایگاه‌های داده

-
Image
آموزش جامع SQL Injection ----------------------------------------------------------------------- پایگاه داده MySQL و آشنایی با دستورات کاربردی آن در حملات SQL Injection ----------------------------------------------------------------------- دانلود ویدئو https://shekaf.org/downloads/database-learning / دانلود رایگان کل پکیج حملات SQL Injection ----------------------------------------------------------------------- در این پکیج آموزشی نگاهی به مفاهیم اولیه پایگاه‌های داده و دلایل استفاده از آن خواهیم داشت و سپس انواع پایگاه داده را بررسی نموده و با آن‌ها آشنا خواهیم شد. در ادامه کار پایگاه داده کاربردی، قدرتمند و متن‌باز MySQL را موردبررسی قرار داده و نحوه اجرای آن در سیستم‌عامل‌های لینوکسی و ویندوزی را موردبررسی قرار می‌دهیم. در انتهای کار با بسیاری از دستورات اساسی و کاربردی پایگاه داده MySQL آشنا خواهید شد؛ که این دستورات می‌توانند مقدمه‌ای برای آشنایی با حملات SQL Injection باشند. این دستورات که غالباً در حملات SQL Injection به کار می‌روند را یاد خواهید گرفت؛ تا بتوا
Read more