setakit.com
setakit.com

امنیت برنامه های تحت وب (web application security)

منظور از امنیت برنامه های تحت وب چیست؟

امنیت برنامه های تحت وب برای تمامی مشاغل حائز اهمیت می باشد. در این مقاله قصد داریم در مورد آسیب پذیری های رایج برنامه های تحت وب و همچنین نحوه مقابله با آن ها صحبت کنیم.

لازم به ذکر است امنیت برنامه های تحت وب یکی از عناصر اصلی تمامی مشاغلی است که بر بستر وب بنا نهاده شده اند. به طور کلی ماهیت جهانی اینترنت به گونه ای است که برنامه های تحت وب را از نقاط مختلف و در سطوح متفاوت مورد حمله و آسیب قرار می دهد. امنیت برنامه های تحت وب به طور خاص با وب سایت ها، برنامه های تحت وب و خدمات وب مانند APIها سر و کار دارد.

آسیب پذیری های متداول برنامه های مبتنی بر وب

حملاتی که علیه برنامه های مبتنی بر وب رخ می دهد، طیف گسترده ای را شامل می شود، به عنوان مثال از دستکاری هدفمند پایگاه داده ها گرفته تا اختلال در شبکه هایی با مقیاس بزرگ. حال به بررسی برخی از روش های رایج حمله می پردازیم.

  • Cross site scripting (XSS): این آسیب پذیری به مهاجم این امکان را می دهد که اسکریپت های client side را به یک صفحه ی وب تزریق نموده تا بتواند مستقیما به اطلاعات مهم آن دسترسی پیدا کند، خود را به جای کاربر معرفی کند یا اصطلاحا جعل کند و همچنین کاربر را فریب دهد تا اطلاعات مهم را فاش کند.
  • SQL injectionکه به آن تزریق به پایگاه داده نیز گفته می شود، یک حمله متداول است که از کدهای مخرب SQL برای دستکاری پایگاه داده جهت دسترسی به اطلاعاتی که هرگز به نمایش در نمی آیند، استفاده می کند. این داده ها ممکن است شامل اطلاعات مهم شرکت و یا اطلاعات دقیق در مورد مشتری ها باشد. مهاجمان از SQL برای دستیابی به اطلاعات غیرمجاز، تغییر یا ایجاد مجوزهای جدید برای کاربران و یا دستکاری و تخریب داده های بسیار مهم استفاده می کنند.
  • Denial of serviceمهاجمان از طریق بردارهای مختلف می توانند سرور هدف یا زیرساخت های آن را با انواع مختلف ترافیک به میزان انبوده روبرو نماید به طوری که سرور نتواند بار ترافیک را تحمل کند. در این صورت سرور دیگر قادر به پردازش موثر درخواست ورودی ها نمی باشد، سرعت آن به به شدت پایین می آید و در نهایت سرویس دهی به درخواست های قانونی میسر نمی باشد.
  • Memory corruption: بروز مشکل در حافظه، زمانی رخ می دهد که قسمتی از حافظه به صورت ناخواسته تغییر کند و در نتیجه عواقب غیر منتظره ای متوجه نرم افزار گردد. مهاجمان سایبری در تلاش هستند از طریق سوء استفاده هایی نظیر حملات code injection یا buffer overflow به حافظه آسیب بزنند.
  • Buffer overflow: نوعی ناهنجاری است که هنگام نوشتن اطلاعات نرم افزاری در یک فضای تعریف شده بر روی حافظه ای که تحت عنوان buffer معروف است رخ می دهد. سرریز شدن ظرفیت buffer باعث می شود مکان های مجاور بر روی حافظه  نیز از اطلاعات سرریز شوند. این اتفاق می تواند به سوء استفاده در اثر تزریق کدهای مخرب منتهی شود و همچنین به طور بالقوه باعث آسیب به دستگاه های هدف می گردد.
  • Cross-site request forgery (CSRF): شامل فریب قربانی جهت ارسال درخواستی است که وی از احراز هویت یا محوز خود استفاده کند. در این صورت مهاجم می تواند با استفاده از امتیازات اکانت کاربر، خود را به جای وی معرفی کرده و اقدام به ارسال درخواست نماید. در این مرحله، پس از به خطر افتادن اکانت کاربر، مهاجم اطلاعات مهم را از بین می برد و یا آن ها را تغییر می دهد. معمولا اکانت هایی که امتیاز ویژه ای دارند، مورد هدف این حملات قرار می گیرند، مانند اکانت مدیران.
  • Data breach: نقض داده ها یک واژه کلی است که به انتشار اطلاعات حساس و محرمانه اشاره دارد و از طریق اقدامات مخرب یا اشتباهات رخ می دهد. دامنه ی نقض داده ها نسبتا گسترده است؛ از چندین مورد با ارزش گرفته تا میلیون ها حساب کاربری.

راه های جلوگیری و کاهش آسیب پذیری های برنامه های تحت وب

مهم ترین گام هایی که می توان در راستای محافظت از برنامه های تحت وب برداشت شامل رمزگذاری به روز شده (encryption)، احراز هویت (authentication) و همچنین داشتن نرم افزارهای مناسب می باشد. در حقیقت مهاجمان باهوش حتی در محیط های امنیتی قوی نیز می توانند آسیب پذیری هایی را پیدا کنند، بنابراین جهت مقابله با این امر، یک استراتژی بسیار ایمن و جامع توصیه می گردد.

 

فایروال برنامه های تحت وب که به اختصار به آن WAF گفته می شود به محافظت از برنامه های تحت وب در برابر ترافیک های مخرب HTTP کمک شایانی می نماید. با قرار دادن یک مانع به عنوان فیلتراسیون بین سرور مورد نظر و مهاجم، می توان مانع از حملات ross site forgery، cross site scripting  و SQL injection شد.

فایروال برنامه های تحت وب ستاک فناوری ویرا

کاهش حملات DDoS

یک روش متداول برای ایجاد اختلال در برنامه های مبتنی بر وب، استفاده از حملات DDoS می باشد. استراتژی های مختلفی را می توان به منظور کاهش این حملات به کار برد مانند کاهش حملات حجمی در لبه و یا استفاده از شبکه anycast به منظور مسیریابی صحیح درخواست های قانونی بدون این که خدمات و سرویس دهی سرور از بین برود.

فایروال های WAF برای جلوگیری از DDoS ستاک فناوری ویرا

امنیت از طریق DNS

Domain Name System یا DNS همانند دفترچه تلفن اینترنت می باشد و نشان می دهد که چطور ابزارهای اینترنت مانند مرورگر وب، سرور صحیح را جستجو می کنند. به طور معمول مهاجمین در تلاش هستند درخواست های DNS را از طریق حملات مربوطه با مشکل روبرو کنند. چنانچه DNS را مانند دفترتلفن در نظر بگیریم، DNSSEC نیز مانند ID غیر قابل جعل تماس گیرنده می باشد.

راهکارهای ستاک فناوری ویرا برای امنیت برنامه های تحت وب

FortiWeb با به کاربردن یک امنیت چندلایه و یکپارچه، امنیت کامل را به جهت نرم افزارهای کاربردی تحت وب داخلی و خارجی شبکه در برابر OWASP TOP 10 و بسیاری از حملات برقرار می‌نماید. FortiWeb با استفاده از سرویس هایی نظیر IP Reputation  می‌تواند botnet ها و سایر بدافزارها را به سرعت پیش از آن که آسیبی رخ دهد شناسایی نماید. FortiWeb با تشخیص و پیشگیری از حملات DOS (Denial of Service) ، کمک می کند تا برنامه‌های کاربردی شما از اشباع شدن با حملات DOS در امان بمانند.

FortiWeb با به کار بردن تایید اعتبار (HTTP RFC) از درخواست های نامعتبر جلوگیری می نماید و درخواست‌هایی که به سمت وب سرور ارسال می گردد از طریق فورتی وب بررسی شده و با توجه به انواع حملات رایج مقایسه می‌شوند تا از صحت درخواست ها اطمینان حاصل گردد.

فورتی وب قادر به بررسی هریک از فایل‌ها، فایل‌های پیوست‌ و یا کدها، توسط سرویس آنتی ویروس و یا سرویس ضد بدافزار می باشد.

 

 

 

سایر مطالب مرتبط

فورتی ستاک فناوری ویرا 021-41708خرید فورتی وب ستاک فناوری ویرا 021-41708    خرید فورتی آنالایزر ستاک فناوری ویرا 021-41708

 

فایروال فورتی گیت                 فایروال فورتی وب               فایروال فورتی آنالایزر