سلام به همه پی وی لرنی های عزیز!
به دوره آموزش تست امنیت Security Testing خوش آمدید.
امروزه به صورت گسترده ای از اینترنت و دنیای وب استفاده می شود و جهان ما اکنون یک جهان آنلاین است که در آن بسیاری از مشاغل به سمت اینترنتی شدن پیش می روند. امروزه ما با پدیده های گسترده خرید و فروش در بستر اینترنت رو به رو هستیم؛ نمونه جهانی آن سایت آمازون است و نمونه ایرانی آن هم سایت دیجیکالا است.
خطرات و تهدید های زیادی در اینترنت وجود دارد؛ از هکر هایی که سعی می کنند از طریق روش های گوناگون از جمله فیشینگ اطلاعات کارت بانکی شما را سرقت کنند تا بد افزار هایی که قصد اختلال در سیستم کامپیوتری شما را دارند و البته ویروس های کامپیوتری و تروجان ها و غیره و غیره.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده قرار بگیرند و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند.
در جلسه گذشته آموختیم که تنظیمات نادرست امنیتی در امنیت وب چه تاثیری دارد؛ تنظیمات امنیتی به عنوان پیش فرض تعریف، اجرا و نگهداری شوند. امنیت خوب نیاز به پیکربندی ایمن دارد که برای برنامه، سرور وب، سرور پایگاه داده و سیستم عامل تعریف و مستقر شود. به روز بودن نرم افزار نیز بسیار مهم است.
در این جلسه می خواهیم تاثیر داده های حساس در تست امنیت را بررسی کنیم.
تاثیر داده های حساس در تست امنیت
از آنجا که برنامه های آنلاین روز به روز ایجاد شده و وارد زندگی ما می شوند؛ باید همواره مواظب اطلاعات مان باشیم زیرا همه برنامه ها ایمن نیستند. بسیاری از برنامه های وب از داده های حساس کاربر مانند اطلاعات کارت های اعتباری / اطلاعات شخصی و هویتی/ اعتبار سنجی حساب بانکی و غیره به درستی محافظت نمی کنند و این موقعیت خوبی را برای هکر ها ایجاد می کند که از داده هایی که به صورت ضعیف محافظت شده اند بهره برده و از کارت های اعتباری کاربران و یا حتی هویت آن ها سوء استفاده نمایند.
اجازه دهید با کمک نمودار ساده، عوامل تهدید، وکتورهای حمله، ضعف امنیتی، تأثیر فنی و تأثیرات تجاری این نقص را بهتر درک کنیم.
بررسی عوامل تهدید کننده – تاثیر داده های حساس در تست امنیت
مثال
بیایید با چند نمونه از شایع ترین موارد تاثیر داده های حساس و ضعیف و تاثیرات آن آشنا شویم.
- سایتی با خوش خیالی از SSL برای تمام صفحات معتبرش استفاده نمی کند و این امر به مهاجم امکان می دهد تا با نظارت بر ترافیک شبکه و سرقت کوکی جلسه کاربر بتواند برای ربودن جلسه کاربران یا دسترسی به داده های خصوصی آنها استفاده کند.
- یک برنامه شماره کارتهای اعتباری را با فرمت رمزگذاری شده در یک پایگاه داده ذخیره می کند. پس از بازیابی ، آنها رمزگشایی می شوند و به هکر اجازه می دهند تا یک حمله تزریق SQL را انجام دهد تا تمام اطلاعات حساس را با یک متن روشن بازیابی کند. با رمزگذاری شماره کارتهای اعتباری با استفاده از یک کلید عمومی می توان از این کار جلوگیری کرد و به برنامه های back-end اجازه رمزگشایی آنها با کلید خصوصی داد.
Hands ON
مرحله ۱ – راه اندازی Webgoat و رفتن به بخش پیکربندی نا امن. در ادامه تصویر این سناریو را می بینید
رفتن به Webgoat – تاثیر داده های حساس در تست امنیت
مرحله ۲ – نام کاربری و رمز عبور را وارد کنید. زمان آن فرا رسیده است که انواع مختلف روش شناسی رمزگذاری و رمزگشایی را که قبلاً در مورد آنها صحبت کردیم یاد بگیریم.
مکانیسم های پیشگیرانه
- توصیه می شود داده های حساس را به طور غیر ضروری ذخیره نکنید و در صورت عدم نیاز بیشتر باید هر چه سریع تر آن ها را پاک نمایید.
- مهم است که مطمئن شویم از الگوریتم های رمزگذاری قوی و استاندارد استفاده می کنیم.
- با غیرفعال کردن تکمیل خودکار در فرم هایی که می توانند داده های حساس مانند رمز عبور را جمع آوری کرده و نیز غیر فعال سازی کش کردن صفحاتی که اطلاعات حساس را ذخیره یا کش می کنند؛ می توان از لو رفتن اطلاعات حساس جلوگیری کرد.
سخن پایانی
در این جلسه آموختیم که داده های حساس چه تاثیری بر تست امنیت دارد؛ بسیاری از برنامه های وب از داده های حساس کاربر مانند اطلاعات کارت های اعتباری / اطلاعات شخصی و هویتی/ اعتبار سنجی حساب بانکی و غیره به درستی محافظت نمی کنند و این دسترسی هکر ها را به اطلاعات شخصی و مالی ما را ساده می کند. در این جلسه با روش های ایمن سازی اطلاعات و داده های حساس آشنا شدیم.
در جلسه بعدی سطوح دسترسی کاربران و تاثیر آن را تست امنیت را بررسی خواهیم کرد.
با پی وی لرن همراه باشید.
فروشگاه
فیلم های آموزشی
کتاب های آموزشی
مقالات آموزشی
وردپرس
