جلسه 19: بررسی مولفه های آسیب پذیر در تست امنیت
جلسه 19: بررسی مولفه های آسیب پذیر در تست امنیت
نگهداری امن و محرمانه اطلاعات مشتریان از اولویت بالایی در تمامی سازمان ها و شرکت ها برخوردار است. متأسفانه، روزانه آسیب پذیری های جدیدی کشف شده و همگامی نگهداشت امن سازمان در برابر آن ها، تقریباً به امری محال تبدیل شده است. این آسیب پذیری ها در تار و پود زیرساخت IT قرار گرفته و گاهاً به مدت بسیار طولانی کشف نشده باقی می مانند. اگرچه راه های بسیاری برای امن سازی سیستم ها و اپلیکیشن ها در برابر آسیب پذیری ها وجود دارد، اما تنها راه کسب اطمینان واقعی از آن، تست امنیتی بستر IT سازمان به منظور یافتن این حفره های امنیتی است.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده گرفته و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند. راهکار “تست امنیتی” امکان تکرار حملات بر روی سیستم ها، دستگاه ها و اپلیکیشن ها را به منظور آشکارسازی زنجیره ای از مسیرهای باز و آسیب پذیر بر روی سیستم ها و داده های حساس و حیاتی سازمان، فراهم می آورد.
خلاصه جلسه قبل:
در جلسه گذشته آموختیم که CSRF چه تاثیری بر تست امنیت دارد؛ یک حمله Cross-Site Request Forgery که به اختصار CSRF نامیده می شود حمله ای است که کاربر معتبر (قربانی) را مجبور می کند درخواست HTTP جعلی از جمله کوکی جلسه را به یک برنامه وب آسیب پذیر بفرستد. در این جلسه می خواهیم به آشنایی با مولفه های آسیب پذیر در تست امنیت بپردازیم.
آشنایی با مولفه های آسیب پذیر در تست امنیت
در حقیقت تهدید شدن به خاطر وجود مولفه های آسیب پذیر زمانی اتفاق می افتد که مؤلفه هایی مانند کتابخانه ها و چارچوب های مورد استفاده در برنامه تقریباً همیشه با امتیازات کامل اجرا شوند. اگر از یک مؤلفه آسیب پذیر سوءاستفاده شود، باعث می شود کار هکرها راحت تر شود زیرا با این کار بیشتر امکان لو رفتن داده ها وجود دارد و یا حتی امکان دارد که کنترل سرور نیز به دست فرد هکر بی افتد. اجازه دهید با کمک نمودار ساده، عوامل تهدید، وکتورهای حمله، ضعف امنیتی، تأثیر فنی و تأثیرات تجاری این نقص را بهتر درک کنیم.
مثال:
در مثال می خواهیم با هم نمونه ای از وجود مولفه های آسیب پذیر را بررسی نماییم.
- مهاجمان می توانند با اجازه کامل از ارائه نشانه هویتی، از هرگونه سرویس وب استفاده کنند.
- اجرای کد از راه دور با آسیب پذیری تزریق Expression Language از طریق فریم ورک Spring برای برنامه های مبتنی بر جاوا معرفی می شود.
مکانیسم های پیشگیرانه
- تمام مؤلفه ها و نسخه هایی که در وب ها استفاده می شود را فقط به database/frameworks محدود نکنید.
- بسته های امنیتی را در اطراف اجزایی که ذاتاً آسیب پذیر هستند اضافه کنید.
سخن پایانی
در این جلسه به آشنایی با مولفه های آسیب پذیر در تست امنیت پرداختیم؛ هدید شدن به خاطر وجود مولفه های آسیب پذیر زمانی اتفاق می افتد که مؤلفه هایی مانند کتابخانه ها و چارچوب های مورد استفاده در برنامه تقریباً همیشه با امتیازات کامل اجرا شوند.
در جلسه بعدی به بررسی تاثیر وجود ریدایرکت ها و فوروارد ها در تست امنیت می پردازیم. لطفا نظرات خود در رابطه با این مقاله را با ما به اشتراک بگذارید.
شاد و موفق باشید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.