امنیت سایت یا تست نفوذ در برنامه‌های کاربردی وب، با استفاده از استانداردهای بین‌المللی

-

امنیت سایت یا برنامه کاربردی وب و اهمیت آن


امنیت سایت را از آنجا شروع می کنیم که در مقاله قبلی درباره تفاوت واژگان وب‌سایت و برنامه‌های کاربردی وب صحبت کردیم، اکنون وقت آن رسیده است که درباره امنیت در وب‌سایت و برنامه‌های کاربردی وب بپردازیم.

امروزه کلیه‌ی کسب‌وکارها و فروشگاه‌ها، با توجه به بازخوردهایی که از جامعه دریافت می‌نمایند، سعی بر این دارند تا برای کالا و خدمات خود وب‌سایتی را راه‌اندازی نمایند و محصولات خود را برای درآمد بیشتر و فروش بهتر ارائه دهند. همان‌گونه که در مقاله‌های قبلی با اهمیت امنیت در دنیای امروزه آشنا شدیم. در اینجا می‌خواهیم از اهمیت امنیت در صفحات وب و برنامه‌های کاربردی وب آشنا شویم.

[caption id="attachment_541" align="aligncenter" width="300"]استانداردسازی امنیت سایت امنیت سایت بر اساس استاندارد[/caption]

در دنیای امروزه که کسب‌وکارها به سمت‌وسوی آنلاین شدن در فضای مجازی را پیش گرفته‌اند، صفحات وب بستری مناسب و قابل‌اعتماد برای انسان گشته تا بتوانند کالا و خدمات موردنیاز خود را یا ارائه دهند و یا به فروش برسانند. با توجه به تجارت الکترونیکی که از طریق صفحات وب انجام می‌شود، اهمیت این موضوع آشکار است که در این جنبه از امنیت باید توجه بیشتری داشته باشیم. در هر زمان که صحبت از تبادلات مالی می‌شود، بحث امنیت خود را بشدت نشان می‌دهد.

اهمیت پورت HTTP


ازآنجایی‌که کلیه سازمان‌ها و شرکت‌ها دارای صفحات وب  مخصوص به خود هستند و این صفحات با شبکه‌های داخل سازمان در ارتباط هستند، بستر صفحات وب دارای اهمیت خاصی می‌گردد، تا بتوانیم امنیت شرکت و سازمان خود را بیشتر نماییم. ازآنجایی‌که پروتکل انتقال ابر متن یا HTTP از ترافیک بروی پورت 80 استفاده می‌نماید، می‌تواند خطرناک‌ترین نوع حملات را برای سازمان به وجود آورد. پورت 80 در فایروال‌ها برای ترافیک پروتکل HTTP در نظر گرفته‌شده است و هیچ‌گونه محدودیت قانونی برای اعمال سخت‌گیرانه ندارد و ازاین‌جهت می‌تواند یکی از خطرناک‌ترین پورت‌ها شناخته شود.پیدا کردن شکاف امنیتی در صفحات وب توسط هکر، باعث می‌گردد که هکر بتواند با استفاده از حرکت روبه‌جلو، به داخل سامانه‌های سازمان و حتی اطلاعات حساس در وب‌سایت رخنه نماید.

در مقاله‌های پیشین با اهمیت امنیت و انواع امنیت در فضای سایبری آشنا شدیم، که یکی از مهم‌ترین آن‌ها، امنیت سایت، امنیت سرور و امنیت برنامه‌های کاربردی وب است.

[caption id="attachment_543" align="aligncenter" width="256"]استاندارد تست نفوذ برنامه کاربردی وب تست نفوذ برنامه کاربردی وب با استاندارد[/caption]

آشنایی با استانداردهای امنیت سایت یا برنامه‌های کاربردی وب


ازآنجایی‌که امنیت یک پروسه و فرآیند است، باید در نظر داشته باشیم که همگام با رشد و تکامل صفحات سایت، امنیت نیز در کنار آن رشد پیدا کند. در شروع هر کاری که بخواهیم از ابتدا تا انتهای آن را به‌درستی انجام دهیم، باید حتماً از یک چهارچوب یا قاعده خاص استفاده کنیم. در بحث طراحی و امنیت سایت نیز دستورالعمل‌ها و استانداردهایی وجود دارد که رعایت آن باعث رشد کمی و کیفی در برقرار امنیت در سایت‌ها می‌گردد.

از قوی‌ترین و شناخته‌شده‌ترین استانداردها در راستای ایمن‌سازی طراحی سایت، پیاده‌سازی، توسعه و تست پروژه‌های نرم‌افزاری می‌توان سازمان بین‌المللی و غیرانتفاعی OWASP را نام برد. کلیه اطلاعات، مستندات، ابزارها و مطالب این سازمان رایگان بوده و در وب‌سایت آن قابل‌دسترسی است. عبارت OWASP که مخفف عبارت Open Web Application Security Protocol Projects بوده، یک متدولوژی است تا در آن شما را به‌عنوان یک متخصص برنامه‌نویسی تحت وب، با معیارهای درست امن‌تر کردن برنامه‌های کاربردی وب آشنا سازد.

 

با توجه به پیچیده شدن ساختارهای برنامه‌نویسی سایت و برنامه‌های کاربردی وب و همچنین بحث امنیت در آن‌ها، پروژه OWASP به چندین پروژه کوچک‌تر تبدیل شد. غالب افراد بر این تفکر هستند که پروژه OWASP شامل یک یا دو پروژه خاص است؛ ولی این در حالی است که این سازمان دارای تعداد 9 زیر پروژه است که هرکدام درباره‌ی امنیت در حوزه‌های مختلف برنامه‌های کاربردی وب فعالیت می‌نمایند. این سازمان متشکل از پروژه‌های زیر است.

OWASP ASVS


این پروژه یا به‌عبارت‌دیگر OWASP Application Security Verification Standard، استانداردی برای تائید امنیت نرم‌افزارهای کاربردی وب است. از نام این پروژه می‌توان فهمید، زمانی که یک برنامه کاربردی وب درباره استانداردهای امنیتی بخواهد تائید شود و از این سازمان تأییدیه دریافت نماید، باید حتماً بر اساس استانداردهای این پروژه برنامه‌های کاربردی خود را طراحی نمایند. برنامه‌های کاربردی وب با گذشتن از چندین تست امنیتی توسط این پروژه می‌توانند تأییدیه ایمنی این پروژه را دریافت نماید.

OWASP XSG


این پروژه با نام XML Security Gateway به‌صورت خاص و ویژه‌ای بروی امنیت در ساختارهای XML پرداخته است.

OWASP Development Guide


این پروژه شامل مجموعه‌ای از نمونه کدهای J2EE، ASP.NET و PHP است که توسعه‌دهندگان برنامه‌های کاربردی وب می‌توانند از آن‌ها در جهت راهنمایی برای برنامه‌نویسی وب‌سایت و نرم‌افزارهای وب استفاده نمایند. به کمک این مجموعه از کدها، برنامه نویسان می‌توانند با انواع و اقسام رایج‌ترین حملات وب‌سایت و برنامه‌های کاربردی وب آشنا شوند و در جهت رفع مشکلات امنیتی طراحی وب‌سایت از این مجموعه استفاده نمایند.

OWASP Testing Guide


این پروژه برای تست و آزمون از برنامه‌های کاربردی وب است. برنامه نویسان و طراحان برنامه‌های کاربردی وب می‌توانند از این پروژه برای تست نفوذ در برنامه‌های کاربردی وب، به‌عنوان یک معیار و سنجش امنیتی استفاده نمایند. در این پروژه راهنمای فنی و مقدماتی برای تست نفوذ و حمله به برنامه‌های کاربردی وب و سرویس‌دهنده‌های برنامه‌های کاربردی وب بیان‌شده است.

OWASP Code Review Guide


همان‌طور که از نام این پروژه مشخص است، بعد از نوشتن کد برنامه‌های کاربردی وب، برنامه‌نویس به کمک این پروژه می‌تواند با مرور کدهای نوشته‌شده و مستندسازی آن‌ها، نقاط ضعف و شکاف‌های امنیتی در کدها را برطرف نماید.

OWASP ZAP Project


پروژه ZAP یک نرم‌افزار تست نفوذ با رابط کاربری ساده است که برای انجام تست‌های نفوذ در برنامه‌های کاربردی وب توسط متخصصان تست نفوذ و هکرها مورداستفاده قرار می‌گیرد.

OWASP Top Ten


این پروژه که یکی از شناخته‌شده‌ترین پروژه‌های این سازمان است، در خصوص مشکلات و شکاف‌های امنیتی در برنامه‌های کاربردی وب اطلاع‌رسانی می‌نماید.

OWASP SAMM


پروژه Software Assurance Maturity Model یا به‌اصطلاح SAMM، راهنمایی است برای سازمان‌ها تا بتوانند یک قاعده و چهارچوب صحیح امنیتی و تحلیلی برای برنامه‌های کاربردی وب خود خلق نمایند. این پروژه باعث می‌شود تا سازمان‌ها با شکاف‌های امنیتی در برنامه‌های کاربردی وب و ریسک‌های امنیتی آن، به‌صورت هدفمندی مقابله نمایند.

OWASP WebGoat


این پروژه یک برنامه کاربردی وب است که کلیه‌ی نقاط ضعف شناخته‌شده توسط سازمان OWASP را به‌صورت مجازی و در قالب یک وب‌سایت در اختیار برنامه نویسان قرار می‌دهد تا بتوانند با انواع حملات رایج در برنامه‌های کاربردی وب آشنا شوند. این پروژه باعث می‌شود افراد به‌صورت عملی با انواع حملات وب‌سایت آشنا شوند.

در مقاله‌ی بعدی شما را با انواع حملات سایت یا برنامه‌های کاربردی وب بر اساس استانداردهای بین‌المللی آشنا خواهیم کرد.

Comments

Post a Comment

Popular posts from this blog

انواع حملات ارجاع مستقیم ناامن به اشیاء داخلی برنامه در برنامه‌های کاربردی وب

-
Image
آشنایی با حملات ارجاع مستقیم ناامن به اشیاء داخلی برنامه یا حملات IDOR عبارت یا اصطلاح ارجاع مستقیم به اشیاء داخلی برنامه یا Direct Object Reference، یک رویکرد در طراحی صفحات وب را توصیف و بیان می‌کند که در آن کلیدهای واقعی و نام‌های موجود، برای شناسایی منابع تحت کنترل برنامه، استفاده می‌شوند. اگر طراح یا برنامه‌نویس وب‌سایت، در برنامه خود یک مقدار متفاوت را به‌اشتباه، برای کلیدها و نام‌ها جایگزین نماید و از طریق آن، برنامه به منابع مختلفی که قصد و تصمیم طراح نیست و یا کاربر مجاز به دسترسی در آن منابع نبوده است، دسترسی پیدا نماید، یک آسیب‌پذیری ارجاع مستقیم ناامن به اشیاء دخلی برنامه صورت می‌پذیرد. به بیان ساده‌تر، این نوع از حملات زمانی رخ می‌دهد که طراح یا برنامه‌نویس، دسترسی ارجاع یک منبع، به Object های داخلی برنامه را باز بگذارد و یا سطح دسترسی‌ها را به‌درستی پیکربندی نکرده باشد. به‌عنوان‌مثال می‌توان به فایل‌ها، دایرکتوری‌ها و یا بانک‌های اطلاعاتی اشاره نمود. زمانی که کنترل دسترسی بر روی یک دایرکتوری یا فایل به‌صورت صحیح پیکربندی نشده باشد، هکر می‌تواند منابع را در جهت استفاده خ...
Read more

انواع حملات نقض احراز هویت و مدیریت نشست در برنامه های کاربردی وب

-
Image
آشنایی با مفاهیم هویتی، مجوزی و بازرسی در سیستم‌های کامپیوتری قبل از آشنایی با حملات نقض احراز هویت و مدیریت نشست نیاز است تا با چندین اصطلاح و مفهوم خاص آشنا شویم. زمانی که درباره‌ی ورود کاربر یا کامپیوتر به سیستم‌ها بحث می‌کنیم، باید با سه مفهوم حسابرسی یا Accounting، صدور مجوز یا Authorization و احراز هویت یا Authentication آشنایی داشته باشیم و تفاوت این سه اصطلاح را در مبانی و فرایند انجامشان، درک نماییم. [caption id="attachment_663" align="aligncenter" width="300"] نقض احراز هویت و مدیریت نشست[/caption] احراز هویت یا Authentication کاربر، کامپیوتر یا هر دستگاه دیگر، برای آنکه بتواند نقش خود را در یک سیستم شبکه یا وب اجرا نماید، باید ابتدا فرایند احراز هویت را برای تشخیص هویت خود انجام دهد. ازآنجایی‌که احراز هویت یکی از مهم‌ترین بخش‌های هر وب‌سایت است، باید به این مسئله اهمیت فراوانی در طراحی وب داده شود. برای درک بهتر مسئله احراز هویت یک مثال ساده و کاربردی را در ادامه بیان می‌نماییم. فرض کنید شما کارمند یک سازمان هستید، زمانی که شما می‌خواهید وارد س...
Read more

انواع حملات CSRF یا حملات جعل درخواست فرا وبگاهی در برنامه‌های کاربردی وب

-
Image
آشنایی با حملات CSRF یا حملات جعل درخواست فرا وبگاهی با توجه به اینکه، حملات CSRF به‌عنوان یکی از خطرناک‌ترین حملات در امنیت سایت شناخته می‌شود، در این مقاله قصد داریم تا با انواع گوناگون این حملات آشنا شویم. ازآنجایی‌که حملات CSRF مخفف عبارت Cross-Site Request Forgery است و به‌عنوان یکی از شناخته‌شده‌ترین نوع حملات سایت در بین هکرها محسوب می‌شود؛ منابع و مقالات بسیار زیادی در این زمینه ارائه‌شده است و هدف ما از ارائه‌ی این مقاله آشنایی اصولی و پایه‌ای با مفاهیم و انواع این نوع حملات در سطح وب‌سایت‌ها می‌باشد. [caption id="attachment_687" align="aligncenter" width="300"] انواع حملات CSRF[/caption] حملات جعل درخواست فرا وبگاهی یا همان حملات CSRF که گاهی Sea-Surf نیز تلفظ و بیان می‌گردد بانام‌هایی همچون One-Click Attack، Session Riding و یا XSRF نیز شناخته می‌شود. حملات CSRF از یک اعتماد اشتباه به وجود می‌آید. در این اعتماد اشتباه، یک وب‌سایت به کاربر خود و مرورگرش، اعتماد می‌نماید و کاربر، قربانی حملات CSRF می‌گردد. برای درک بهتر این نوع حملات به مثال زیر ...
Read more