جلسه 5: نقش HTTP در تست امنیت (Security Testing)
جلسه 5: نقش HTTP در تست امنیت (Security Testing)
نگهداری امن و محرمانه اطلاعات مشتریان از اولویت بالایی در تمامی سازمان ها و شرکت ها برخوردار است. متأسفانه، روزانه آسیب پذیری های جدیدی کشف شده و همگامی نگهداشت امن سازمان در برابر آن ها، تقریباً به امری محال تبدیل شده است. این آسیب پذیری ها در تاروپود زیرساخت IT قرار گرفته و گاهاً به مدت بسیار طولانی کشف نشده باقی می مانند. اگرچه راه های بسیاری برای امن سازی سیستم ها و اپلیکیشن ها در برابر آسیب پذیری ها وجود دارد، اما تنها راه کسب اطمینان واقعی از آن، تست امنیتی بستر IT سازمان به منظور یافتن این حفره های امنیتی است.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده گرفته و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند. راهکار “تست امنیتی” امکان تکرار حملات بر روی سیستم ها، دستگاه ها و اپلیکیشن ها را به منظور آشکارسازی زنجیره ای از مسیرهای باز و آسیب پذیر بر روی سیستم ها و داده های حساس و حیاتی سازمان، فراهم می آورد.
خلاصه جلسه قبل:
در جلسه گذشته با اهمیت HTTP آشنا شدیم و آموختیم که چرا استفاده از آن مهم است. در این جلسه و در قسمت دوم آشنایی با مبانی HTTP در تست امنیت می خواهیم به نقش HTTPS در تست امنیت بپردازیم.
نقش HTTPS در تست امنیت چیست؟
HTTPS (پروتکل انتقال Hypertext از لایه سوکت ایمن) یا HTTP over SSL یک پروتکل وب است که توسط Netscape ساخته شده است. این HTTPS یک پروتکل نیست بلکه فقط نتیجه لایه بندی HTTP در SSL/TLS یا Secure Socket Layer/Transport Layer Security محسوب می شود.
به طور خلاصه= HTTPS = HTTP + SSL
چه زمانی به HTTPS نیاز است؟
معمولاً اطلاعات را با استفاده از پروتکل HTTP ارسال و دریافت می کنیم و بنابراین این باعث می شود هر یک هکر بتواند به مکالمه بین رایانه و سرور وب دسترسی داشته باشد. اما بارها پیش می آید که اطلاعات در حال تبادل اطلاعات حساس و مهمی اند که باید از دسترسی شخص سوم (هکر یا سارق اطلاعات) به آن جلوگیری کرد و دسترسی به آن را میان کاربر و وب سرور محدود نمود. در چنین شرایطی است که به Https نیاز پیدا می کنیم در بستر امن آن دسترسی به اطلاعات را برای نفر سوم ببندیم و همین نیز نکته اهمیت وجود Https را به خوبی توجیه می کند.
معمولاً برای موارد زیر از پروتکل Https استفاده می شود:
- وب سایت های بانکی
- درگاه های پرداخت
- سایت ها وب سایت های خرید
- همه صفحات ورود یا Login Pages ها
- برنامه های ایمیل
Https چگونه کار می کند؟
- کلیدهای عمومی و گواهی های امضا شده برای پروتکل HTTPS برای سرور لازم است.
- درخواست کاربر برای صفحه //:https
- هنگام استفاده از اتصال https، سرور با ارائه لیستی از روش های رمزگذاری که وب سرور پشتیبانی می کند که لازم است به اتصال اولیه پاسخ دهد.
- در پاسخ، کاربر یک روش اتصال را انتخاب می کند و کاربر و گواهی های مبادله سرور برای تأیید هویت هویت خود می توانند اقدام کنند.
- پس از اتمام این کار هم وب سرور و هم کاربر، اطلاعات رمزگذاری شده را پس از اطمینان از استفاده ،کلید یکسان را رد و بدل کرده و در این هنگام اتصال بسته می شود.
- برای میزبانی از اتصالات https، یک سرور باید دارای گواهی کلید عمومی باشد که اطلاعات اصلی را با تأیید هویت صاحب کلید جاسازی می کند.
- تقریباً تمام گواهینامه ها توسط شخص ثالث تأیید می شوند تا مشتری اطمینان داشته باشد که کلید همیشه امن است.
سخن پایانی
در این جلسه با اهمیت HTTPS و نقشی که در تست امنیت دارد و علاوه بر این آموختیم که در چه مواردی باید از HTTPS استفاده کرد. در جلسه بعدی با رمزگذاری و رمزگشایی آشنا می شویم. لطفا نظرات خود در رابطه با این مقاله را با ما به اشتراک بگذارید.
شاد و موفق باشید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.