جلسه 8: معرفی مفهوم SOP در تست امنیت (Security Testing)
جلسه 8: معرفی مفهوم SOP در تست امنیت (Security Testing)
نگهداری امن و محرمانه اطلاعات مشتریان از اولویت بالایی در تمامی سازمان ها و شرکت ها برخوردار است. متأسفانه، روزانه آسیب پذیری های جدیدی کشف شده و همگامی نگهداشت امن سازمان در برابر آن ها، تقریباً به امری محال تبدیل شده است. این آسیب پذیری ها در تاروپود زیرساخت IT قرار گرفته و گاهاً به مدت بسیار طولانی کشف نشده باقی می مانند. اگرچه راه های بسیاری برای امن سازی سیستم ها و اپلیکیشن ها در برابر آسیب پذیری ها وجود دارد، اما تنها راه کسب اطمینان واقعی از آن، تست امنیتی بستر IT سازمان به منظور یافتن این حفره های امنیتی است.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده گرفته و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند. راهکار “تست امنیتی” امکان تکرار حملات بر روی سیستم ها، دستگاه ها و اپلیکیشن ها را به منظور آشکارسازی زنجیره ای از مسیرهای باز و آسیب پذیر بر روی سیستم ها و داده های حساس و حیاتی سازمان، فراهم می آورد.
خلاصه جلسه قبل:
در جلسه قبل به آشنایی با رمزنگاری یا Cryptography در تست امنیت پرداختیم؛ رمزنگاری یا Cryptography علمی برای رمزگذاری و رمزگشایی داده ها است که به کاربران امکان می دهد اطلاعات حساس را ذخیره کنند و یا آن را از طریق شبکه های ناامن انتقال دهند، به گونه ای که فقط توسط گیرنده در نظر گرفته شده قابل خواندن باشد.
در این جلسه می خواهیم با مفهوم SOP در تست امنیت آشنا شویم.
مفهوم SOP در تست امنیت
(Same Origin Policy (SOP یک مفهوم مهم در مدل امنیتی برنامه وب است. طبق این خط مشی، اسکریپت هایی که از صفحه ای از یک سایت نشات می گیرند مجاز هستند و می توانند ترکیبی از موارد زیر باشند.
- Domain
- Protocol
- Port
دلیل این رفتار امنیت است. اگر try.com را در یک پنجره و gmail.com در یک پنجره دیگر داشته باشید، در حقیقت نمی خواهید یک اسکریپت از try.com برای دسترسی یا تغییر به محتوای gmail.com یا انجام اعمال در زمینه gmail خود داشته باشید. در زیر صفحات وب با همان منبع وجود دارد. همانطور که قبلاً توضیح داده شد، همین منشا domain/protocol/por را در نظر بگیرد.
- http://website.com
- /http://website.com
- http://website.com/my/contact.html
در ادامه صفحات وب با منشاء مختلف وجود دارد.
- http://www.site.co.uk (دامنه دیگر)
- http://site.org (دامنه دیگر)
- https://site.com (پروتکل دیگر)
- http://site.com:8080 (درگاه دیگر)
Origin policy Exceptions مشابه برای اینترنت اکسپلور
اینترنت اکسپلورر دو استثناء عمده برای SOP دارد.
- اولین مورد مربوط به “Trusted Zones” است. اگر هر دو دامنه در منطقه قابل اعتماد باشند، Same Origin polic کاربردی نخواهد داشت.
- استثناء دوم در اینترنت اکسپلور مربوط به درگاه ها است. اینترنت اکسپلور شامل پستی به همان Same Origin نمی شود، از این رو http://website.om و http://wesite.com:4444 از همان مبدأ در نظر گرفته می شوند و هیچ محدودیتی اعمال نمی شود.
سخن پایانی
در این جلسه به آشنایی با مفهوم SOP در تست امنیت پرداختیم؛ (Same Origin Policy (SOP یک مفهوم مهم در مدل امنیتی برنامه وب است. در جلسه بعدی قرار است راجع به کوکی ها به بحث و بررسی بپردازیم. لطفا نظرات خود در رابطه با این مقاله را با ما به اشتراک بگذارید.
موفق و سلامت باشید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.