جلسه 9: بررسی انواع کوکی ها و تاثیر آن ها در تست امنیت

جلسه 9: بررسی انواع کوکی ها و تاثیر آن ها در تست امنیت

نگهداری امن و محرمانه اطلاعات مشتریان از اولویت بالایی در تمامی سازمان ها و شرکت ها برخوردار است. متأسفانه، روزانه آسیب پذیری های جدیدی کشف شده و همگامی نگهداشت امن سازمان در برابر آن ها، تقریباً  به امری محال تبدیل شده است. این آسیب پذیری ها در تاروپود زیرساخت IT قرار گرفته و گاهاً به مدت بسیار طولانی کشف نشده باقی می مانند. اگرچه راه های بسیاری برای امن سازی سیستم ها و اپلیکیشن ها در برابر آسیب پذیری ها وجود دارد، اما تنها راه کسب اطمینان واقعی از آن، تست امنیتی بستر IT سازمان به منظور یافتن این حفره های امنیتی است.

داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده گرفته و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند. راهکار “تست امنیتی” امکان تکرار حملات بر روی سیستم ها، دستگاه ها و اپلیکیشن ها را به منظور آشکارسازی زنجیره ای از مسیرهای باز و آسیب پذیر بر روی سیستم ها و داده های حساس و حیاتی سازمان، فراهم می آورد.

خلاصه جلسه قبل:

در جلسه گذشته به آشنایی با مفهوم SOP در تست امنیت پرداختیم؛ (Same Origin Policy (SOP یک مفهوم مهم در مدل امنیتی برنامه وب است. در این جلسه می خواهیم به بررسی تاثیر انواع کوکی ها در تست امنیت بپردازیم.

بررسی تاثیر کوکی ها در تست امنیت

بیایید پیش از این که بررسی تاثیر کوکی ها در تست امنیت بپردازیم ببینیم که کوکی Cookie چیست.

کوکی چیست؟

کوکی یا Cookie در حقیقت یک واحد کوچک از اطلاعات است که توسط یک وب سرور برای ذخیره در یک مرورگر وب ارسال می شود تا بعداً توسط مرورگر خوانده شود. به این ترتیب، مرورگر برخی از اطلاعات شخصی یک فرد را به حفظ کرده تا بعداً کاربر از آن استفاده کند. اما اگر یک هکر اطلاعات کوکی را بدست آورد، می تواند منجر به مشکلات امنیتی شود.

آشنایی با ویژگی های کوکی ها Cookies

• کوکی ها معمولاً با توجه به برچسبهای شناسایی شده که در فهرست مرورگر رایانه شما ذخیره می شوند، فایل های متنی کوچکی محسوب می شوند.
• کوکی ها توسط توسعه دهندگان وب استفاده می شوند تا به کاربران كمك كنند، وب سایت های خود را به صورت كارآمدتری اداره کنند.
• در صورتی که یک کاربر وارد یک وبسایت شود و آن وبسایت مجهز به کوکی باشد؛ در صورت بازگشت مجدد او، داده های ذخیره شده در کوکی دوباره به وب سرور ارسال می شوند تا به وب سایت فعالیت های قبلی کاربر را اطلاع دهند.
• کوکی ها برای وب سایت هایی که پایگاه داده های عظیمی دارند و نیاز به ورود به سیستم در آن ها وجود دارد، دارای تم های قابل تنظیم هستند و اجتناب ناپذیر محسوب می شوند.

یک کوکی شامل چه مواردی است؟

• نام سروری که کوکی از آن ارسال شده است.
• طول عمر کوکی.
• مقدار – معمولاً یک عدد منحصر به فرد تولید شده به طور تصادفی است.

آشنایی با انواع کوکی ها

1. کوکی های جلسه (Session Cookies)

این کوکی ها موقتی هستند که با بسته شدن مرورگر کاربر پاک می شوند. بنابرین اگر کاربر دوباره وارد سیستم شود، یک کوکی جدید برای آن جلسه ایجاد می شود.

2. کوکی های ماندگار (Persistent cookies)

این کوکی ها بر روی هارد دیسک باقی می ماند مگر اینکه کاربر آنها را از بین ببرد و یا زمان این کوکی ها منقضی شود. منقضی شدن کوکی بستگی به مدت زمان ماندگاری که برای آنها تعریف می شود دارد.

تست کوکی ها یا Testing Cookies

در ادامه به  معرفی روش های تست کوکی ها پرداخته ایم.

1) غیرفعال کردن کوکی ها

به عنوان یک آزمایش کننده، باید دسترسی به وب سایت را بعد از غیرفعال کردن کوکی ها بررسی کنیم و ببینیم که آیا صفحات به درستی کار می کنند یا خیر (حرکت در تمام صفحات وب سایت و تماشای خرابی برنامه ها). همچنین لازم است به کاربر اطلاع دهید که کوکی ها برای استفاده از سایت مورد نیاز هستند.

2) از کار انداختن کوکی ها

آزمایش دیگری که باید انجام شود، خراب کردن کوکی ها است. برای انجام این کار ، باید مکان کوکی سایت را پیدا کرده و آن را به صورت دستی با داده های جعلی/نامعتبر ویرایش کنید که می توان از آن ها به اطلاعات داخلی دامنه دسترسی داشت و این کار به نوبه خود می تواند برای هک کردن سایت یکی از راه های هکر ها به شمار آید.

3) حذف کوکی ها

حالا تمام کوکی های وب سایت را حذف کنید و نحوه واکنش وب سایت به آن را بررسی کنید.

4) سازگاری Cross-Browser

در این مرحله باید ببینید که کوکی ها به طور صحیح در تمام مرورگرهای پشتیبانی شده کار می کنند و هر صفحه ای که کوکی ها را در آن ها کار گذاشته اید، مشکلی ندارند.

5) ویرایش و اصلاح کوکی ها

اگر برنامه ای از کوکی ها برای ذخیره اطلاعات ورود به سیستم استفاده می کند باید به عنوان یک آزمایش کننده سعی کنیم کاربر را در کوکی یا نوار آدرس به یک کاربر معتبر دیگر تغییر دهیم. ویرایش کوکی نباید به شما اجازه دهد که به یک حساب کاربری متفاوت وارد شوید.

6) پیش نمایش و ویرایش کوکی ها

مرورگرهای مدرن از مشاهده و ویرایش کوکی های اطلاعاتی، در داخل مرورگر پشتیبانی می کنند. افزونه هایی برای موزیلا/کروم وجود دارد که با استفاده از آن ها می توان ویرایش کوکی ها را با موفقیت انجام داد که عبارتند از:

• Edit cookies plugin for Firefox
• Edit This cookie plugin for chrome

برای ویرایش کوکی ها دو مرحله ساده زیر را انجام دهید.

• دانلود پلاگینی که برای کوکی ها در مرورگر معرفی شد.
• ویرایش کوکی به صورت زیر:

سخن پایانی

در این جلسه به بررسی تاثیر کوکی ها در تست امنیت پرداختیم؛ کوکی یا Cookie در حقیقت یک واحد کوچک از اطلاعات است که توسط یک وب سرور برای ذخیره در یک مرورگر وب ارسال می شود تا بعداً توسط مرورگر خوانده شود. اگر یک هکر اطلاعات کوکی را بدست آورد، می تواند منجر به مشکلات امنیتی شود. در جلسه آینده در خصوص هک شدن برنامه های وب صحبت خواهیم کرد. لطفا نظرات خود در رابطه با این مقاله را با ما به اشتراک بگذارید.

سر سبز و موفق باشید.