امنیت نرم افزارهای تحت وب (WebApplication Security)
در امنیت نرم افزارهای تحت وب (WebApplication Security) حملات علیه برنامه های وب از دستکاری هدفمند پایگاه داده تا اختلال در شبکه در مقیاس بزرگ متغیر است. برخی از روشهای متداول حمله یا «vectors» که معمولاً مورد سوء استفاده قرار میگیرند:
Cross site scripting (XSS)
آسیبپذیری است که به attacker اجازه میدهد تا scripts سمت client را به یک صفحه وب inject کند تا مستقیماً به اطلاعات مهم دسترسی پیدا کند، هویت کاربر را جعل کند یا کاربر را فریب دهد تا اطلاعات مهم را فاش کند.
SQL injection (SQi)
روشی است که توسط آن مهاجم از آسیب پذیری های موجود در روشی که پایگاه داده search queriesرا اجرا می کند، سوء استفاده می کند. Attackers از SQi برای دسترسی به اطلاعات غیرمجاز، تغییر یا ایجاد مجوزهای کاربر جدید، یا دستکاری یا تخریب داده های حساس استفاده می کنند.
Denial-of-service (DoS) and distributed denial-of-service (DDoS) attacks
از طریق انواع vectors، attackers میتوانند سرور مورد نظر یا زیرساخت اطراف آن را با انواع مختلف attack traffic بارگذاری کنند. هنگامی که یک سرور دیگر قادر به پردازش موثر درخواست های دریافتی نیست، شروع به کند رفتار می کند و در نهایت سرویس به درخواست های دریافتی کاربران قانونی را رد می کند.
Memory corruption
خرابی حافظه زمانی اتفاق میافتد که یک مکان در حافظه به طور ناخواسته تغییر میکند و منجر به پتانسیل رفتار غیرمنتظره در نرمافزار میشود. Bad actorsتلاش میکنند تا از طریق سوءاستفادههایی مانند code injections یا حملات buffer overflow، خرابی حافظه را شناسایی کرده و از آن سوء استفاده کنند.
Buffer overflow
یک ناهنجاری است که زمانی رخ می دهد که نرم افزار داده ها را در یک فضای تعریف شده در حافظه به نام Buffer می نویسد. سرریز شدن ظرفیت بافر باعث می شود که مکان های حافظه مجاور با داده ها رونویسی شوند. این رفتار می تواند برای code injections مخرب به حافظه مورد سوء استفاده قرار گیرد و به طور بالقوه آسیب پذیری در ماشین مورد نظر ایجاد کند
Cross-site request forgery (CSRF)
جعل درخواست متقاطع سایت شامل فریب victim برای ارائه درخواستی است که از احراز هویت یا مجوز آنها استفاده می کند. با استفاده از امتیازات حساب کاربری، یک attacker میتواند درخواستی را به شکل کاربر ارسال کند. هنگامی که حساب کاربری در معرض خطر قرار گرفت، مهاجم می تواند اطلاعات مهم را از بین ببرد، یا تغییر دهد. حسابهای دارای امتیاز بالا مانند مدیران یا مدیران معمولاً هدف قرار میگیرند.
Data breach
برخلاف attack vectors خاص، نقض داده یک اصطلاح کلی است که به انتشار اطلاعات حساس یا محرمانه اشاره دارد و می تواند از طریق اقدامات مخرب یا به اشتباه رخ دهد. دامنه آنچه که نقض داده در نظر گرفته می شود نسبتاً گسترده است و ممکن است شامل چند رکورد بسیار ارزشمند تا میلیون ها حساب کاربری در معرض دید باشد.
روش هایی برای کاهش آسیب پذیری در امنیت نرم افزارهای تحت وب
گامهای مهم در محافظت از برنامههای وب در برابر بهرهبرداری شامل استفاده از رمزگذاری بهروز، نیاز به احراز هویت مناسب، وصله مداوم آسیبپذیریهای کشفشده و software development hygiene است. واقعیت این است که attacker باهوش ممکن است بتوانند آسیبپذیریها را حتی در یک محیط امنیتی نسبتاً قوی پیدا کنند و یک استراتژی امنیتی جامع توصیه میشود.
امنیت برنامه های وب را می توان با محافظت در برابر حملات DDoS، Application Layer و DNS بهبود بخشید
WAF
web application firewall یا WAF به محافظت از یک برنامه وب در برابر ترافیک HTTP مخرب کمک می کند. با قرار دادن یک مانع filtration بین سرور هدف و attacker ، WAF قادر است در برابر حملاتی مانند cross site forgery ، cross site scriptingو SQL injection محافظت کند.
DDOS
یک روش رایج برای ایجاد اختلال در یک برنامه وب، استفاده از حملات انکار سرویس یا حملات DDoS است. Cloudflare حملات DDoS را از طریق انواع استراتژیها کاهش میدهد، از جمله حذف ترافیک حملات حجمی در لبه ما، و استفاده از شبکه Anycast ما برای مسیریابی صحیح درخواستهای قانونی بدون از دست دادن سرویس.
DNS Security – DNSSEC protection
domain name system یا DNS دفترچه تلفن اینترنت است و نشان دهنده روشی است که ابزار اینترنتی مانند مرورگر وب سرور صحیح را جستجو می کند. Bad actors سعی میکنند این فرآیند درخواست DNS را از طریق مسمومیت حافظه پنهان DNS، حملات در مسیر و interfering with the DNS lookup lifecycle ربودند. اگر DNS دفترچه تلفن اینترنت است، DNSSEC یک شناسه تماس گیرنده غیرقابل جعل است.
گروه تکتاکام یکی از معدود شرکت هایی است که خدمات امنیت نرم افزارهای تحت وب (WebApplication Security)را ارائه می نماید و تمامی مراحل کار را به صورت مستند شده در اختیار کار فرما قرار می دهد.