امنیت سایت یا تست نفوذ در وبسایت با استفاده از استانداردهای بین‌المللی

امنیت سایت یا تست نفوذ در وبسایت با استفاده از استانداردهای بین‌المللی


امنیت سایت
  • ۲۲ اردیبهشت ۹۶
  • 52401 بازدید
  • [تعداد: 8    میانگین: 5/5]

امنیت سایت یا برنامه کاربردی وب و اهمیت آن

امنیت سایت را از آنجا شروع می کنیم که در مقاله قبلی درباره تفاوت واژگان وب‌سایت و برنامه‌های کاربردی وب صحبت کردیم، اکنون وقت آن رسیده است که درباره امنیت در وب‌سایت و برنامه‌های کاربردی وب بپردازیم.

امروزه کلیه‌ی کسب‌وکارها و فروشگاه‌ها، با توجه به بازخوردهایی که از جامعه دریافت می‌نمایند، سعی بر این دارند تا برای کالا و خدمات خود وب‌سایتی را راه‌اندازی نمایند و محصولات خود را برای درآمد بیشتر و فروش بهتر ارائه دهند. همان‌گونه که در مقاله‌های قبلی با اهمیت امنیت در دنیای امروزه آشنا شدیم. در اینجا می‌خواهیم از اهمیت امنیت در صفحات وب و برنامه‌های کاربردی وب آشنا شویم.

استانداردسازی امنیت سایت

امنیت سایت بر اساس استاندارد

در دنیای امروزه که کسب‌وکارها به سمت‌وسوی آنلاین شدن در فضای مجازی را پیش گرفته‌اند، صفحات وب بستری مناسب و قابل‌اعتماد برای انسان گشته تا بتوانند کالا و خدمات موردنیاز خود را یا ارائه دهند و یا به فروش برسانند. با توجه به تجارت الکترونیکی که از طریق صفحات وب انجام می‌شود، اهمیت این موضوع آشکار است که در این جنبه از امنیت باید توجه بیشتری داشته باشیم. در هر زمان که صحبت از تبادلات مالی می‌شود، بحث امنیت خود را بشدت نشان می‌دهد.

اهمیت پورت HTTP

ازآنجایی‌که کلیه سازمان‌ها و شرکت‌ها دارای صفحات وب  مخصوص به خود هستند و این صفحات با شبکه‌های داخل سازمان در ارتباط هستند، بستر صفحات وب دارای اهمیت خاصی می‌گردد، تا بتوانیم امنیت شرکت و سازمان خود را بیشتر نماییم. ازآنجایی‌که پروتکل انتقال ابر متن یا HTTP از ترافیک بروی پورت ۸۰ استفاده می‌نماید، می‌تواند خطرناک‌ترین نوع حملات را برای سازمان به وجود آورد. پورت ۸۰ در فایروال‌ها برای ترافیک پروتکل HTTP در نظر گرفته‌شده است و هیچ‌گونه محدودیت قانونی برای اعمال سخت‌گیرانه ندارد و ازاین‌جهت می‌تواند یکی از خطرناک‌ترین پورت‌ها شناخته شود.پیدا کردن شکاف امنیتی در صفحات وب توسط هکر، باعث می‌گردد که هکر بتواند با استفاده از حرکت روبه‌جلو، به داخل سامانه‌های سازمان و حتی اطلاعات حساس در وب‌سایت رخنه نماید.

در مقاله‌های پیشین با اهمیت امنیت و انواع امنیت در فضای سایبری آشنا شدیم، که یکی از مهم‌ترین آن‌ها، امنیت سایت، امنیت سرور و امنیت برنامه‌های کاربردی وب است.

استاندارد تست نفوذ برنامه کاربردی وب

تست نفوذ برنامه کاربردی وب با استاندارد

آشنایی با استانداردهای امنیت سایت یا برنامه‌های کاربردی وب

ازآنجایی‌که امنیت یک پروسه و فرآیند است، باید در نظر داشته باشیم که همگام با رشد و تکامل صفحات سایت، امنیت نیز در کنار آن رشد پیدا کند. در شروع هر کاری که بخواهیم از ابتدا تا انتهای آن را به‌درستی انجام دهیم، باید حتماً از یک چهارچوب یا قاعده خاص استفاده کنیم. در بحث طراحی و امنیت وبسایت نیز دستورالعمل‌ها و استانداردهایی وجود دارد که رعایت آن باعث رشد کمی و کیفی در برقرار امنیت در سایت‌ها می‌گردد.

از قوی‌ترین و شناخته‌شده‌ترین استانداردها در راستای ایمن‌سازی طراحی سایت، پیاده‌سازی، توسعه و تست پروژه‌های نرم‌افزاری می‌توان سازمان بین‌المللی و غیرانتفاعی OWASP را نام برد. کلیه اطلاعات، مستندات، ابزارها و مطالب این سازمان رایگان بوده و در وب‌سایت آن قابل‌دسترسی است. عبارت OWASP که مخفف عبارت Open Web Application Security Protocol Projects بوده، یک متدولوژی است تا در آن شما را به‌عنوان یک متخصص برنامه‌نویسی تحت وب، با معیارهای درست امن‌تر کردن برنامه‌های کاربردی وب آشنا سازد.

 

با توجه به پیچیده شدن ساختارهای برنامه‌نویسی سایت و برنامه‌های کاربردی وب و همچنین بحث امنیت در آن‌ها، پروژه OWASP به چندین پروژه کوچک‌تر تبدیل شد. غالب افراد بر این تفکر هستند که پروژه OWASP شامل یک یا دو پروژه خاص است؛ ولی این در حالی است که این سازمان دارای تعداد ۹ زیر پروژه است که هرکدام درباره‌ی امنیت در حوزه‌های مختلف برنامه‌های کاربردی وب فعالیت می‌نمایند. این سازمان متشکل از پروژه‌های زیر است.

OWASP ASVS

این پروژه یا به‌عبارت‌دیگر OWASP Application Security Verification Standard، یکی دیگر از استانداردها برای تائید امنیت وبسایت ها است. از نام این پروژه می‌توان فهمید، زمانی که یک برنامه کاربردی وب درباره استانداردهای امنیتی بخواهد تائید شود و از این سازمان تأییدیه دریافت نماید، باید حتماً بر اساس استانداردهای این پروژه برنامه‌های کاربردی خود را طراحی نمایند. برنامه‌های کاربردی وب با گذشتن از چندین تست امنیتی توسط این پروژه می‌توانند تأییدیه ایمنی این پروژه را دریافت نماید.

OWASP XSG

این پروژه با نام XML Security Gateway به‌صورت خاص و ویژه‌ای بروی امنیت در ساختارهای XML پرداخته است.

OWASP Development Guide

این پروژه شامل مجموعه‌ای از نمونه کدهای J2EE، ASP.NET و PHP است که توسعه‌دهندگان برنامه‌های کاربردی وب می‌توانند از آن‌ها در جهت راهنمایی برای برنامه‌نویسی وب‌سایت و نرم‌افزارهای وب استفاده نمایند. به کمک این مجموعه از کدها، برنامه نویسان می‌توانند با انواع و اقسام رایج‌ترین حملات وب‌سایت و برنامه‌های کاربردی وب آشنا شوند و در جهت رفع مشکلات طراحی امنیت سایت از این مجموعه استفاده نمایند.

OWASP Testing Guide

این پروژه برای تست و آزمون از برنامه‌های کاربردی وب است. برنامه نویسان و طراحان برنامه‌های کاربردی وب می‌توانند از این پروژه برای تست نفوذ در برنامه‌های کاربردی وب، به‌عنوان یک معیار و سنجش امنیتی استفاده نمایند. در این پروژه راهنمای فنی و مقدماتی برای تست نفوذ و حمله به برنامه‌های کاربردی وب و سرویس‌دهنده‌های برنامه‌های کاربردی وب بیان‌شده است.

OWASP Code Review Guide

همان‌طور که از نام این پروژه مشخص است، بعد از نوشتن کد برنامه‌های کاربردی وب، برنامه‌نویس به کمک این پروژه می‌تواند با مرور کدهای نوشته‌شده و مستندسازی آن‌ها، نقاط ضعف و شکاف های امنیتی در کدها را برطرف نماید.

OWASP ZAP Project

پروژه ZAP یک نرم‌افزار تست نفوذ با رابط کاربری ساده است که برای انجام امنیت وبسایت یا تست‌های نفوذ در برنامه‌های کاربردی وب توسط متخصصان تست نفوذ و هکرها مورداستفاده قرار می‌گیرد.

OWASP Top Ten

این پروژه که یکی از شناخته‌شده‌ترین پروژه‌های این سازمان است، در خصوص مشکلات و شکاف های امنیتی در برنامه‌های کاربردی وب اطلاع‌رسانی می‌نماید.

OWASP SAMM

پروژه Software Assurance Maturity Model یا به‌اصطلاح SAMM، راهنمایی است برای سازمان‌ها تا بتوانند یک قاعده و چهارچوب صحیح امنیتی و تحلیلی برای برنامه‌های کاربردی وب خود خلق نمایند. این پروژه باعث می‌شود تا سازمان‌ها با شکاف های امنیتی در برنامه‌های کاربردی وب و ریسک‌های امنیتی آن، به‌صورت هدفمندی مقابله نمایند.

OWASP WebGoat

این پروژه یک برنامه کاربردی وب است که کلیه‌ی نقاط ضعف شناخته‌شده توسط سازمان OWASP را به‌صورت مجازی و در قالب یک وب‌سایت در اختیار برنامه نویسان قرار می‌دهد تا بتوانند با انواع حملات رایج در برنامه‌های کاربردی وب آشنا شوند. این پروژه باعث می‌شود افراد به‌صورت عملی با انواع حملات وب‌سایت آشنا شوند.

در مقاله‌ی بعدی شما را با انواع حملات سایت یا برنامه‌های کاربردی وب بر اساس استانداردهای بین‌المللی آشنا خواهیم کرد.

امین کیانی

امین کیانی

متخصص و کارشناس امنیت صفحات وب با رویکردی پایه‌ای و هدفمند در جهت آموزش‌های مرتبط با امنیت سایت و انجام پروژه‌های تست نفوذ در سایت‌ها و کسب‌وکارهای آنلاین

تعداد علاقه‌مندانی که تاکنون عضو خبرنامه ما شده‌اند:

244 نفر

پاسخ دهید.

دیدگاه‌های این نوشته

  1. اشکان

    اشکان ۱۳۹۷/۱۲/۰۲ پاسخ

    مقاله جامعه و کاملی بود. متشکرم

مطالب زیر را حتما بخوانید

دوره‌های آموزشی هک و امنیت