جلسه 16: تاثیر داده های حساس بر تست امنیت
جلسه 16: تاثیر داده های حساس بر تست امنیت
نگهداری امن و محرمانه اطلاعات مشتریان از اولویت بالایی در تمامی سازمان ها و شرکت ها برخوردار است. متأسفانه، روزانه آسیب پذیری های جدیدی کشف شده و همگامی نگهداشت امن سازمان در برابر آن ها، تقریباً به امری محال تبدیل شده است. این آسیب پذیری ها در تار و پود زیرساخت IT قرار گرفته و گاهاً به مدت بسیار طولانی کشف نشده باقی می مانند. اگرچه راه های بسیاری برای امن سازی سیستم ها و اپلیکیشن ها در برابر آسیب پذیری ها وجود دارد، اما تنها راه کسب اطمینان واقعی از آن، تست امنیتی بستر IT سازمان به منظور یافتن این حفره های امنیتی است.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده گرفته و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند. راهکار “تست امنیتی” امکان تکرار حملات بر روی سیستم ها، دستگاه ها و اپلیکیشن ها را به منظور آشکارسازی زنجیره ای از مسیرهای باز و آسیب پذیر بر روی سیستم ها و داده های حساس و حیاتی سازمان، فراهم می آورد.
خلاصه جلسه قبل:
در جلسه گذشته آموختیم که تنظیمات نادرست امنیتی در امنیت وب چه تاثیری دارد؛ تنظیمات امنیتی به عنوان پیش فرض تعریف، اجرا و نگهداری شوند. امنیت خوب نیاز به پیکربندی ایمن دارد که برای برنامه، سرور وب، سرور پایگاه داده و سیستم عامل تعریف و مستقر شود. به روز بودن نرم افزار نیز بسیار مهم است. در این جلسه می خواهیم تاثیر داده های حساس در تست امنیت را بررسی کنیم.
تاثیر داده های حساس در تست امنیت
از آنجا که برنامه های آنلاین روز به روز ایجاد شده و وارد زندگی ما می شوند؛ باید همواره مواظب اطلاعات مان باشیم زیرا همه برنامه ها ایمن نیستند. بسیاری از برنامه های وب از داده های حساس کاربر مانند اطلاعات کارت های اعتباری، اطلاعات شخصی و هویتی، اعتبار سنجی حساب بانکی و غیره به درستی محافظت نمی کنند و این موقعیت خوبی را برای هکر ها ایجاد می کند که از داده هایی که به صورت ضعیف محافظت شده اند بهره برده و از کارت های اعتباری کاربران و یا حتی هویت آن ها سوء استفاده نمایند. اجازه دهید با کمک نمودار ساده، عوامل تهدید، وکتورهای حمله، ضعف امنیتی، تأثیر فنی و تأثیرات تجاری این نقص را بهتر درک کنیم.
مثال:
بیایید با چند نمونه از شایع ترین موارد تاثیر داده های حساس و ضعیف و تاثیرات آن آشنا شویم.
- سایتی با خوش خیالی از SSL برای تمام صفحات معتبرش استفاده نمی کند و این امر به مهاجم امکان می دهد تا با نظارت بر ترافیک شبکه و سرقت کوکی جلسه کاربر بتواند برای ربودن جلسه کاربران یا دسترسی به داده های خصوصی آنها استفاده کند.
- یک برنامه شماره کارتهای اعتباری را با فرمت رمزگذاری شده در یک پایگاه داده ذخیره می کند. پس از بازیابی، آنها رمزگشایی می شوند و به هکر اجازه می دهند تا یک حمله تزریق SQL را انجام دهد تا تمام اطلاعات حساس را با یک متن روشن بازیابی کند. با رمزگذاری شماره کارتهای اعتباری با استفاده از یک کلید عمومی می توان از این کار جلوگیری کرد و به برنامه های back-end اجازه رمزگشایی آنها با کلید خصوصی داد.
Hands ON
مرحله 1) راه اندازی Webgoat و رفتن به بخش پیکربندی نا امن. در ادامه تصویر این سناریو را می بینید
مرحله 2) نام کاربری و رمز عبور را وارد کنید. زمان آن فرا رسیده است که انواع مختلف روش شناسی رمزگذاری و رمزگشایی را که قبلاً در مورد آنها صحبت کردیم یاد بگیریم.
مکانیسم های پیشگیرانه
- توصیه می شود داده های حساس را به طور غیر ضروری ذخیره نکنید و در صورت عدم نیاز بیشتر باید هر چه سریع تر آن ها را پاک نمایید.
- مهم است که مطمئن شویم از الگوریتم های رمزگذاری قوی و استاندارد استفاده می کنیم.
- با غیرفعال کردن تکمیل خودکار در فرم هایی که می توانند داده های حساس مانند رمز عبور را جمع آوری کرده و نیز غیر فعال سازی کش کردن صفحاتی که اطلاعات حساس را ذخیره یا کش می کنند؛ می توان از لو رفتن اطلاعات حساس جلوگیری کرد.
سخن پایانی
در این جلسه آموختیم که داده های حساس چه تاثیری بر تست امنیت دارد؛ بسیاری از برنامه های وب از داده های حساس کاربر مانند اطلاعات کارت های اعتباری، اطلاعات شخصی و هویتی، اعتبار سنجی حساب بانکی و غیره به درستی محافظت نمی کنند و این دسترسی هکر ها را به اطلاعات شخصی و مالی ما را ساده می کند. در این جلسه با روش های ایمن سازی اطلاعات و داده های حساس آشنا شدیم. در جلسه بعدی سطوح دسترسی کاربران و تاثیر آن را تست امنیت را بررسی خواهیم کرد. لطفا نظرات خود در رابطه با این مقاله را با ما به اشتراک بگذارید.
شاد و سر سبز باشید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.