امنیت وب اپلیکیشن
در این مجموعه آموزشی به بررسی ۱۰ تا از معروفترین آسیبپذیریهایی که ممکنه توی هر برنامه تحت وب رخ بده میپردازیم.
امنیت وب اپلیکیشن ها تحت عنوان OWASP TOP 10 Security Flaws یا ۱۰ نقص امنیتی OWASP هم شناخته میشه.
OWASP چیست ؟
کلمه OWASP مخفف شده Open Web Application Security Protocol Project است.
یک متدولوژی یا بهتر بگوییم یک پروژه غیر دولتی است .
در آن به شما به عنوان یک کارشناس برنامه نویس تحت وب ، معیارهایی که بایستی برای امن تر شدن نرم افزار خود بکار ببرید تشریح شده است.
OWASP یک متدولوژی است ، یعنی راهکار را به ما نشان می دهد.
این متدولوژی منحصر به شرکت یا فرد یا سازمان خاصی نبوده و نیست.
این روش یک پروژه کاملا متن باز (Open Source ) است.
هر کسی در هر جای دنیا می تواند به آن بپیوندد و در آن شرکت کند.
جامعه آماری که برای پروژه OWASP فعالیت می کنند در زمینه های مختلفی از جمله تولید مقالات ، شرکت در تالارهای گفتمان ، معرفی و تولید نرم افزارهای امنیتی وب ، تولید مستندات و متدولوژی های امنیتی بصورت کاملا رایگان فعالیت می کنند.
آنها نتیجه فعالیت خود را در مستند نهایی این پروژه مشاهده می کنند.
پروژه OWASP در ابتدا به عنوان یک استاندارد مطرح نشد،اما امروزه به عنوان معیار یا بهتر بگوییم Baseline امنیتی طراحی و تولید امنیت در نرم افزارهای تحت وب استفاده می شود.
لیست پروژه های OWASP
پروژه OWASP با توجه به گستردگی تکنولوژی های وب و همچنین پیچیده تر شدن ساختارهای برنامه نویسی و مبحث امنیت آنها به خودی خود به چندین پروژه کوچکتر تبدیل شد.
امروزه اکثر افرادی که تصور می کنند با OWASP آشنایی دارند صرفا با یک یا چند عدد از این زیر پروژه ها آشنایی دارند.
OWASP امروزه متشکل از ۹ زیر پروژه یا پروژه های کوچک است.
هر کدام بصورت جداگانه در خصوص یکی از موارد مرتبط با امنیت حوزه نرم افزارهای تحت وب فعالیت می کنند.
در زیر لیست این ۹ پروژه را می توانید مشاهده کنید :
-
OWASP Application Security Verification Standard یا ASVS
استاندارد تایید امنیت نرم افزارهای کاربردی یا ASVS همانطور که از نام این پروژه پیداست،برای دریافت تاییده برای نرم افزارهای وب در خصوص رعایت استاندارد های امنیت بکار گرفته می شود.
بر طبق این استاندارد یک سری تست های امنیتی بر روی نرم افزار از قبلی Cross Site Scripting و SQL Injection و حملاتی از این قبلی انجام می شود.
در صورت رعایت شدن این موارد در نرم افزار ، موفق به دریافت استاندارد می شوند.
-
OWASP XML Security Gateway یا XSG
این استاندارد بصورت پایلوت فعلا ایجاد شده است و بصورت ویژه برای برقراری امنیت برای ساختار XML مورد استفاده قرار می گیرد.
-
OWASP Development Guide
راهنمای توسعه نرم افزار برای برنامه نویسان وب ایجاد شده است.
شامل یک سری نمونه کدهای کاربردی و تمثیلی از زبانهای برنامه نویسی مانند J2EE و ASP.NET و PHP می باشد.
در این راهنمای برنامه نویسی و توسعه نرم افزارهای وب برنامه نویس با انواع و اقسام حملات تحت وب از قبیل:
SQL Injection ،همچنین حملات جدیدتر شامل Phishing و حتی مباحث کارت های اعتباری و امنیت تبادلات الکترونیک ، Session Fixation و بسیاری دیگر از مسائل مهم اعم از مشکلات حریم خصوصی در وب سایت ها آشنا می شوند.
به آنها در جهت رفع مشکلات احتمالی در خصوص این نرم افزار ها راهنمایی های لازم ارائه می شود.
-
OWASP Testing Guide
همانطور که از نام این پروژه مشخص است راهنمایی برای تست و آزمون گرفتن از نرم افزارهای کاربری تحت وب است.
این پروژه در واقع یک راهنمای مقدماتی برای برنامه نویسان وب می باشد.آنها میتوانند در پروژه های تست نفوذ سنجی به نرم افزارهای تحت وب از آن استفاده کرده و آن را معیار امنیتی خود قرار بدهند.
- در این راهنما تکنیک های مقدماتی نفوذ و حمله به نرم افزارهای تحت وب و سرویس های تحت وب تشریح شده است.
-
OWASP Code Review Guide
راهنمایی برای مرور کدهای نوشته شده و مستند سازی کدهای نوشته شده می باشد.
که برنامه نویس بتواند پس از نوشتن یا توسعه نرم افزار کاربردی وب خود آن را آزمایش کرده و نقاط ضعف در کدهای نوشته شده را برطرف کند.
-
OWASP ZAP Project
این پروژه یک نرم افزار تست نفوذ سنجی تقریبا ساده می باشد که برای انجام تست های نفوذ سنجی به نرم افزار های کاربردی تحت وب مورد استفاده قرار می گیرد.
این ابزار برای استفاده برنامه نویسان و هکرهای قانومند بسیار مناسب و کاربردی می باشد.
-
OWASP Top Ten
هدف از این پروژه اطلاع رسانی در خصوص مشکلات امنیتی نرم افزارهای تحت وب و هشدار دهی به سازمان ها در خصوص امنیت برنامه های تحت وب می باشد.
در این پروژه انواع و اقسام مختلفی از ابزارها ، کد ها ، راهنماها و … معرفی و استفاده می شود.
-
OWASP Software Assurance Maturity Model یا SAM
این پروژه یک راهنما برای سازمان ها است.
آنها میتوانند یک چارچوب درست امنیتی و تحلیل امنیتی برای نرم افزارهای تحت وب خود ایجاد کنند.
تا بتوانند با مشکلات امنیتی نرم افزارهای کاربردی تحت وب و ریسک های آن بصورت هدفمند و روشمند مقابله و برخورد کنند.
-
Webgoat
این پروژه یک نرم افزار کاربردی تحت وب می باشد که تمامی نقاط ضعفی که تا به حال توسط OWASP شناخته شده اند را بصورت مجازی در قالب یک محیط برنامه نویسی شده شبیه سازی و در اختیار برنامه نویسان قرار می دهند.
افرادی که با انواع حملات آشنایی پیدا کرده اند ولی می خواهند آن را بصورت عملی درک کنند،کافیست این نرم افزار را دانلود کرده و آن را نصب و از طریق راهنمای آن تمامی حملات را بصورت شبیه سازی شده انجام دهند.
آخرین مقالات
برچسب ها
درباره طرفه نگاران کهن
طرفه نگاران کهن در آغاز فعالیت به ارائه خدمات مورد تقاضای جامعه مخاطبان این حوزه می پرداخت. در ادامه با گسترش مجموعه خدمات خود در بازه زمانی پنج ساله به یک آژانس جامع گرا تبدیل شد. از این تاریخ، طرفه نگاران کهن، هر سال با تکمیل توانایی های خود، ارتقای کیفیت خدمات و افزایش تعداد مشتریان در مسیر رشد مستمر گام برداشته است و با خلق ارزش مستمر برای ذی نفعان، با کسب جایگاه برتر در زمینه بازاریابی و تبلیغات، همکاری های موفقیت آمیزی را با برند های معتبر رقم زده است
ارتباط با طرفه نگاران کهن
آدرس : تهران خیابان سهروردی شمالی ، جنب پمپ بنزین، کوچه تهمتن ساختمان مهرگان (پلاک6) طبقه پنجم واحد 18
تلفن : 02188519057
کد پستی : 1234567890
