امنیت برنامه ها: همه آنچه شما باید بدانید
قطع شدن شبکه، هک کردن، ویروس های رایانه ای و حوادث مشابه زندگی ما را تحت تأثیر قرار می دهد. Akamai در تحقیقات خود، برای گزارش وضعیت امنیت اینترنت، گزارش می دهد كه حملات به برنامه های وب از Q4 2017 به Q1 2018 بیش از ۵۹% افزایش یافته است این آمار ناخوشایند نشان می دهد كه امنیت برنامه بیش از هر زمان دیگری مهم است. این مقاله به شما کمک می کند تا مفهوم امنیت برنامه و اهمیت آنرا بیشتر درک کنید.
بیایید نگاهی به مباحث مطرح شده در این مقاله در مورد امنیت برنامه ها بیندازیم:
- امنیت سایبری چیست؟
- امنیت برنامه چیست و چرا مهم است؟
- چک لیست امنیت برنامه ها
- SQL Injection چیست؟
- نسخه ی نمایشی: نحوه انجام SQL Injection
- امنیت سایبری چیست؟
امروزه، کل شیوه زندگی مدرن ما، از ارتباطات گرفته تا تجارت الکترونیکی، اساساً به اینترنت بستگی دارد. ما با استفاده از اینترنت پول مبادله می کنیم، بازی می کنیم، اخبار می خوانیم، خرید می کنیم و بسیاری موارد دیگر. اینترنت ما را آگاه، سرگرم و متصل می کند. اما این لوکس بودن استفاده از اینترنت با یک قیمت آنهم امنیت همراه است.
جرایم اینترنتی یک مشکل جهانی است که در اخبار زیاد راجب آنها می شنویم. تهدیدی برای امنیت فرد و تهدیدی بزرگتر حتی برای شرکتهای بزرگ، بانکها و دولت است. در سال گذشته اخبار روزانه در مورد حملات سایبری، نقض داده ها و آسیب پذیری های نرم افزار ارائه می شد. اما نکته خوب این است که حتی با وجود این اینترنت نا امن ، کارهای ساده ای وجود دارد که می توانیم برای محافظت از خود در برابر این حملات انجام دهیم. اینجاست که به امنیت سایبری پی می بریم. در اینجا یک تعریف سریع آورده شده است:
“امنیت سایبری مجموعه فناوری ها، فرایندها و روش هایی است که برای محافظت از شبکه ها، سیستم ها، برنامه ها و داده ها از حمله، آسیب یا دسترسی غیر مجاز طراحی شده است.”
اطمینان از امنیت سایبری به تلاش های هماهنگ در سراسر یک سیستم اطلاعاتی نیاز دارد و این شامل موارد زیر است:
- امنیت شبکه
- امنیت برنامه ها
- امنیت اطلاعات
- امنیت عملیاتی
- بازیابی فاجعه Disaster recovery
- آموزش کاربر نهایی
بیایید امنیت برنامه ها را با جزئیات بررسی کنیم.
امنیت برنامه ها چیست و چرا مهم است؟
جرایم اینترنتی در سال های اخیر به طور چشمگیری افزایش یافته است و طیف گسترده ای از آسیب پذیری ها را در برنامه های وب و تلفن همراه نشان می دهد. بیشتر این مسائل امنیتی به دلیل شیوه های نادرست کدگذاری ایجاد می شود که منجر به ضعف یکپارچگی کد برنامه می شود. به عبارت دیگر، هکرها از سواستفاده از نقاط ضعف لایه های برنامه در برنامه های کدگذاری نشده برای شروع حملات خود استفاده می کنند.
امنیت برنامه وب، فرآیند محافظت از وب سایت ها و سرویس های آنلاین در برابر تهدیدهای امنیتی مختلف است که از آسیب پذیری های کد برنامه سو استفاده می کنند. اهداف معمول برای حملات برنامه های وب، سیستم های مدیریت محتوا (به عنوان مثال: WordPress) ، ابزارهای مدیریت پایگاه داده (به عنوان مثال: phpMyAdmin) و برنامه های نرم افزار به عنوان سرویس (SaaS) است.
دلایلی که به نظر می رسد برنامه های وب محبوب ترین هدف هستند، این موارد هستند:
شیوه های کدگذاری
اگر کد ضعیف نوشته شده باشد، هکرها می توانند از شکاف های لایه برنامه برای شروع حمله سو استفاده کنند
سهولت اجرا
اکثر حملات می توانند به راحتی خودکار انجام شوند و به طور بی رویه علیه هزاران، یا حتی دهها یا صدها هزار هدف در یک زمان انجام شوند.
از این رو ، سازمانها در تأمین امنیت برنامه های وب خود خطر حمله را همیشه دارند. و این بیشتر به دلیل آسیب پذیری های موجود در برنامه است. آسیب پذیری های کاربردی در فضای مجازی امروز ویرانی ایجاد می کند و به شما اجازه می دهد انواع مختلف حملات را در اختیار داشته باشید.
بیایید نگاهی به چند حمله اصلی به برنامه های وب بیندازیم:
هکر از کد SQL مخرب برای دستکاری یک پایگاه داده استفاده می کند تا اطلاعات حساس آنرا را بدست آورد.
Cross-site Scripting(XSS):
XSS زمانی اتفاق می افتد که مهاجم کدهای مخرب را مستقیماً به برنامه تزریق می کند، بدین ترتیب به حساب ها دسترسی پیدا می کند، Trojans را فعال یا محتوای صفحه را تغییر می دهد
Remote File Inclusion:
هکر یک فایل را به یک سرور برنامه وب تزریق می کند. با این کار او می تواند اسکریپت ها یا کدهای مخرب را در داخل برنامه اجرا کند، همچنین داده ها را بدزدد و یا آنها را دستکاری کند
Cross-site Request Forgery(CSRF):
این امر زمانی ایجاد می شود که یک برنامه وب مخرب باعث شود مرورگر کاربر یک اقدام ناخواسته را در سایتی که به آن وارد شده است انجام دهد.
خوب این چند نوع، محبوب ترین حملات است که از آسیب پذیری های یک برنامه برای شروع حمله است. OWASP (پروژه امنیت برنامه وب باز)، فهرست آسیب پذیری های ۱۰ برنامه را به همراه ریسک، تأثیر و اقدامات متقابل ، هر ۳-۴ سال یکبار ذکر می کند.
چک لیست امنیت برنامه ها:
‘پیشگیری بهتر از درمان است’. بیشتر اوقات سازمان ها اقدامات متقابل برای اطمینان از ایمنی در برابر این حملات دارند. این اقدامات متقابل می تواند به شکل نرم افزاری، سخت افزار و حالت های رفتاری باشد.
اقدامات متقابل نرم افزار عبارتند از:
فایروال های برنامه وب WAF: فایروال ها معمولاً برای بررسی ترافیک ورودی برای جلوگیری از حمله، طراحی می شوند و بدین ترتیب هرگونه دستکاری کد را جبران می کنند.
مسدودکننده های پاپ آپ: همچنین به عنوان قاتلان پاپ آپ شناخته می شود از نمایش پاپ آپ در مرورگر وب کاربر جلوگیری می کند
رمزنگاری: برای ایمن سازی همه انتقال داده ها می توان از الگوریتم های رمزنگاری و رمزگشایی مختلف استفاده کرد.
برنامه های شناسایی نرم افزارهای جاسوسی: برای جلوگیری از حملات سایبری، انواع برنامه های شناسایی و حذف نرم افزارهای جاسوسی را می توان نصب کرد
اقدامات متقابل سخت افزاری عبارتند از:
- NAT که می تواند از مشاهده مستقیم آدرس IP یک کامپیوتر در اینترنت جلوگیری کند
- سیستم های احراز هویت بیومتریک که محتوای میزبان شخص ثالث را شناسایی می کنند و برنامه شما را ایمن نگه می دارند
- IPS ها
اقدامات متقابل نرم افزاری عبارتند از:
- حذف مکرر کوکی ها و پرونده های موقت ذخیره شده از مرورگرهای وب
- نصب منظم به روزرسانی ها و وصله های سیستم عامل
- اسکن منظم برای ویروس ها و سایر بدافزارها
- از باز کردن پیامهای ایمیل و پیوست های ارسال کنندگان ناشناس خودداری کنید
امروزه تهدیدات سایبری چنان عادی و پیشرفته هستند که به نظر می رسد جلوگیری از آنها تقریباً غیرممکن است. با وجود شناسایی تهدیدهای جدید و راه های جدید برای مقابله با آنها، برنامه های امنیتی همچنان به تکامل در دفاع های جدید ادامه می دهند.
مطالب زیر را حتما بخوانید
-
کالی لینوکس چیست؟ و چرا همه متخصصان امنیت باید با آن آشنا باشند!
3.25k بازدید
-
هک اخلاقی با استفاده از پایتون
2.43k بازدید
-
معرفی ابزارهای تست نفوذ
4.42k بازدید
-
تست نفوذ چیست؟ و چگونه به امنیت شما کمک میکند
3.42k بازدید
-
مقایسه Kali Linux و Parrot OS: چگونه بهترین را انتخاب کنیم؟
2.83k بازدید
-
Fuzzing چیست؟ تست Fuzz چگونه انجام می شود
2.36k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.