امنیت سایت یا تست نفوذ در برنامههای کاربردی وب، با استفاده از استانداردهای بینالمللی
امنیت سایت یا برنامه کاربردی وب و اهمیت آن
امنیت سایت را از آنجا شروع می کنیم که در مقاله قبلی درباره تفاوت واژگان وبسایت و برنامههای کاربردی وب صحبت کردیم، اکنون وقت آن رسیده است که درباره امنیت در وبسایت و برنامههای کاربردی وب بپردازیم.
امروزه کلیهی کسبوکارها و فروشگاهها، با توجه به بازخوردهایی که از جامعه دریافت مینمایند، سعی بر این دارند تا برای کالا و خدمات خود وبسایتی را راهاندازی نمایند و محصولات خود را برای درآمد بیشتر و فروش بهتر ارائه دهند. همانگونه که در مقالههای قبلی با اهمیت امنیت در دنیای امروزه آشنا شدیم. در اینجا میخواهیم از اهمیت امنیت در صفحات وب و برنامههای کاربردی وب آشنا شویم.
[caption id="attachment_541" align="aligncenter" width="300"]

در دنیای امروزه که کسبوکارها به سمتوسوی آنلاین شدن در فضای مجازی را پیش گرفتهاند، صفحات وب بستری مناسب و قابلاعتماد برای انسان گشته تا بتوانند کالا و خدمات موردنیاز خود را یا ارائه دهند و یا به فروش برسانند. با توجه به تجارت الکترونیکی که از طریق صفحات وب انجام میشود، اهمیت این موضوع آشکار است که در این جنبه از امنیت باید توجه بیشتری داشته باشیم. در هر زمان که صحبت از تبادلات مالی میشود، بحث امنیت خود را بشدت نشان میدهد.
اهمیت پورت HTTP
ازآنجاییکه کلیه سازمانها و شرکتها دارای صفحات وب مخصوص به خود هستند و این صفحات با شبکههای داخل سازمان در ارتباط هستند، بستر صفحات وب دارای اهمیت خاصی میگردد، تا بتوانیم امنیت شرکت و سازمان خود را بیشتر نماییم. ازآنجاییکه پروتکل انتقال ابر متن یا HTTP از ترافیک بروی پورت 80 استفاده مینماید، میتواند خطرناکترین نوع حملات را برای سازمان به وجود آورد. پورت 80 در فایروالها برای ترافیک پروتکل HTTP در نظر گرفتهشده است و هیچگونه محدودیت قانونی برای اعمال سختگیرانه ندارد و ازاینجهت میتواند یکی از خطرناکترین پورتها شناخته شود.پیدا کردن شکاف امنیتی در صفحات وب توسط هکر، باعث میگردد که هکر بتواند با استفاده از حرکت روبهجلو، به داخل سامانههای سازمان و حتی اطلاعات حساس در وبسایت رخنه نماید.
در مقالههای پیشین با اهمیت امنیت و انواع امنیت در فضای سایبری آشنا شدیم، که یکی از مهمترین آنها، امنیت سایت، امنیت سرور و امنیت برنامههای کاربردی وب است.
[caption id="attachment_543" align="aligncenter" width="256"]

آشنایی با استانداردهای امنیت سایت یا برنامههای کاربردی وب
ازآنجاییکه امنیت یک پروسه و فرآیند است، باید در نظر داشته باشیم که همگام با رشد و تکامل صفحات سایت، امنیت نیز در کنار آن رشد پیدا کند. در شروع هر کاری که بخواهیم از ابتدا تا انتهای آن را بهدرستی انجام دهیم، باید حتماً از یک چهارچوب یا قاعده خاص استفاده کنیم. در بحث طراحی و امنیت سایت نیز دستورالعملها و استانداردهایی وجود دارد که رعایت آن باعث رشد کمی و کیفی در برقرار امنیت در سایتها میگردد.
از قویترین و شناختهشدهترین استانداردها در راستای ایمنسازی طراحی سایت، پیادهسازی، توسعه و تست پروژههای نرمافزاری میتوان سازمان بینالمللی و غیرانتفاعی OWASP را نام برد. کلیه اطلاعات، مستندات، ابزارها و مطالب این سازمان رایگان بوده و در وبسایت آن قابلدسترسی است. عبارت OWASP که مخفف عبارت Open Web Application Security Protocol Projects بوده، یک متدولوژی است تا در آن شما را بهعنوان یک متخصص برنامهنویسی تحت وب، با معیارهای درست امنتر کردن برنامههای کاربردی وب آشنا سازد.
با توجه به پیچیده شدن ساختارهای برنامهنویسی سایت و برنامههای کاربردی وب و همچنین بحث امنیت در آنها، پروژه OWASP به چندین پروژه کوچکتر تبدیل شد. غالب افراد بر این تفکر هستند که پروژه OWASP شامل یک یا دو پروژه خاص است؛ ولی این در حالی است که این سازمان دارای تعداد 9 زیر پروژه است که هرکدام دربارهی امنیت در حوزههای مختلف برنامههای کاربردی وب فعالیت مینمایند. این سازمان متشکل از پروژههای زیر است.
OWASP ASVS
این پروژه یا بهعبارتدیگر OWASP Application Security Verification Standard، استانداردی برای تائید امنیت نرمافزارهای کاربردی وب است. از نام این پروژه میتوان فهمید، زمانی که یک برنامه کاربردی وب درباره استانداردهای امنیتی بخواهد تائید شود و از این سازمان تأییدیه دریافت نماید، باید حتماً بر اساس استانداردهای این پروژه برنامههای کاربردی خود را طراحی نمایند. برنامههای کاربردی وب با گذشتن از چندین تست امنیتی توسط این پروژه میتوانند تأییدیه ایمنی این پروژه را دریافت نماید.
OWASP XSG
این پروژه با نام XML Security Gateway بهصورت خاص و ویژهای بروی امنیت در ساختارهای XML پرداخته است.
OWASP Development Guide
این پروژه شامل مجموعهای از نمونه کدهای J2EE، ASP.NET و PHP است که توسعهدهندگان برنامههای کاربردی وب میتوانند از آنها در جهت راهنمایی برای برنامهنویسی وبسایت و نرمافزارهای وب استفاده نمایند. به کمک این مجموعه از کدها، برنامه نویسان میتوانند با انواع و اقسام رایجترین حملات وبسایت و برنامههای کاربردی وب آشنا شوند و در جهت رفع مشکلات امنیتی طراحی وبسایت از این مجموعه استفاده نمایند.
OWASP Testing Guide
این پروژه برای تست و آزمون از برنامههای کاربردی وب است. برنامه نویسان و طراحان برنامههای کاربردی وب میتوانند از این پروژه برای تست نفوذ در برنامههای کاربردی وب، بهعنوان یک معیار و سنجش امنیتی استفاده نمایند. در این پروژه راهنمای فنی و مقدماتی برای تست نفوذ و حمله به برنامههای کاربردی وب و سرویسدهندههای برنامههای کاربردی وب بیانشده است.
OWASP Code Review Guide
همانطور که از نام این پروژه مشخص است، بعد از نوشتن کد برنامههای کاربردی وب، برنامهنویس به کمک این پروژه میتواند با مرور کدهای نوشتهشده و مستندسازی آنها، نقاط ضعف و شکافهای امنیتی در کدها را برطرف نماید.
OWASP ZAP Project
پروژه ZAP یک نرمافزار تست نفوذ با رابط کاربری ساده است که برای انجام تستهای نفوذ در برنامههای کاربردی وب توسط متخصصان تست نفوذ و هکرها مورداستفاده قرار میگیرد.
OWASP Top Ten
این پروژه که یکی از شناختهشدهترین پروژههای این سازمان است، در خصوص مشکلات و شکافهای امنیتی در برنامههای کاربردی وب اطلاعرسانی مینماید.
OWASP SAMM
پروژه Software Assurance Maturity Model یا بهاصطلاح SAMM، راهنمایی است برای سازمانها تا بتوانند یک قاعده و چهارچوب صحیح امنیتی و تحلیلی برای برنامههای کاربردی وب خود خلق نمایند. این پروژه باعث میشود تا سازمانها با شکافهای امنیتی در برنامههای کاربردی وب و ریسکهای امنیتی آن، بهصورت هدفمندی مقابله نمایند.
OWASP WebGoat
این پروژه یک برنامه کاربردی وب است که کلیهی نقاط ضعف شناختهشده توسط سازمان OWASP را بهصورت مجازی و در قالب یک وبسایت در اختیار برنامه نویسان قرار میدهد تا بتوانند با انواع حملات رایج در برنامههای کاربردی وب آشنا شوند. این پروژه باعث میشود افراد بهصورت عملی با انواع حملات وبسایت آشنا شوند.
در مقالهی بعدی شما را با انواع حملات سایت یا برنامههای کاربردی وب بر اساس استانداردهای بینالمللی آشنا خواهیم کرد.
Comments
Post a Comment