۱۶
اردیبهشت

جلسه ۱۷ : سطوح دسترسی کاربران و تاثیر آن در تست امنیت

دسته‌بندی‌ها :

جزئیات
نوع محتواآموزشی

سلام به همه پی وی لرنی های عزیز!
به دوره آموزش تست امنیت Security Testing خوش آمدید.
امروزه به صورت گسترده ای از اینترنت و دنیای وب استفاده می شود و جهان ما اکنون یک جهان آنلاین است که در آن بسیاری از مشاغل به سمت اینترنتی شدن پیش می روند. امروزه ما با پدیده های گسترده خرید و فروش در بستر اینترنت رو به رو هستیم؛ نمونه جهانی آن سایت آمازون است و نمونه ایرانی آن هم سایت دیجیکالا است.
خطرات و تهدید های زیادی در اینترنت وجود دارد؛ از هکر هایی که سعی می کنند از طریق روش های گوناگون از جمله فیشینگ اطلاعات کارت بانکی شما را سرقت کنند تا بد افزار هایی که قصد اختلال در سیستم کامپیوتری شما را دارند و البته ویروس های کامپیوتری و تروجان ها و غیره و غیره.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده قرار بگیرند و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند.
در جلسه قبل آموختیم که داده های حساس و ضعف در پشتیبانی و حفاظت از آن ها چقدر می تواند آسیب زننده باشد؛ بسیاری از برنامه های وب از داده های حساس کاربر مانند اطلاعات کارت های اعتباری / اطلاعات شخصی و هویتی/ اعتبار سنجی حساب بانکی و غیره به درستی محافظت نمی کنند و این دسترسی هکر ها را به اطلاعات شخصی و مالی ما را ساده می کند.
در این جلسه قرار است سطوح دسترسی کاربران و تاثیر آن در تست امنیت را مورد بررسی قرار دهیم.

فهرست

سطوح دسترسی کاربران و تاثیر آن در تست امنیت

بیشتر برنامه های اینترنتی، برنامه های تحت وب و وبسایت ها قبل از اعطای هر گونه دسترسی به کاربران، یک سری حقوق و شرایط و ضوابط را به او ارائه می کنند که به آن، حقوق دسترسی به سطح عملکرد یا Function Level Access گفته می شود که نیازمند بررسی، کنترل و دقت بیشتری است زیرا در صورت غفلت از آن هکرها می توانند بدون مجوز مناسب وارد برنامه شوند و دست به سوء استفاده بزنند.

اجازه دهید با کمک نمودار ساده، عوامل تهدید، وکتورهای حمله، ضعف امنیتی، تأثیر فنی و تأثیرات تجاری این نقص را بهتر درک کنیم.

بررسی عوامل تهدید کننده - سطوح دسترسی کاربران و تاثیر آن تست امنیت

بررسی عوامل تهدید کننده – سطوح دسترسی کاربران و تاثیر آن در تست امنیت

مثال

بیاید یک نمونه نمونه شایع از این نوع خطر امنیتی در دنیای وب را ارائه می کنیم. در این نمونه رایج یک هکر به URL های هدف نفوذ می کند. معمولاً دسترسی به سطح ادمین admin نیاز به تایید اعتبار دارد اما اگر دسترسی به برنامه تأیید نشود، کاربر غیرمجاز می تواند به صفحه ادمین دسترسی پیدا کند.

مثال :

' Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage

' A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page

' Below URL might be accessible to an authenticated user

http://website.com/app/standarduserpage

' A NON Admin user is able to access admin page without authorization.

http://website.com/app/admin_page

Hands ON

مرحله ۱ – بیایید با وارد کردن لیست کاربران و امتیازات دسترسی آنها، به عنوان مدیر یا ادمین، به حساب وارد شویم.

وارد شدن به حساب به عنوان ادمین – سطوح دسترسی کاربران و تاثیر آن در تست امنیت

مرحله ۲ – پس از تلاش در ترکیبات مختلف می توان فهمید که Larry به مدیر حساب منابع دسترسی دارد.

پیدا کردن کاربری که سطح دسترسی به حساب مدیر را دارد – سطوح دسترسی کاربران و تاثیر آن در تست امنیت

مکانیسم های پیشگیرانه

مکانیزم تأیید اعتبار باید تمام دسترسی را بطور پیش فرض را رد کند و دسترسی به نقش های خاص را برای هر عملکرد فراهم نماید.
در یک برنامه مبتنی بر گردش کار، وضعیت کاربران قبل از اجازه دسترسی به آنها به هر منبعی باید تأیید شود.

سخن پایانی

در این جلسه به بررسی سطوح دسترسی کاربران و تاثیر آن در تست امنیت پرداختیم؛ بیشتر برنامه های اینترنتی، برنامه های تحت وب و وبسایت ها قبل از اعطای هر گونه دسترسی به کاربران، یک سری حقوق و شرایط و ضوابط را به او ارائه می کنند که به آن، حقوق دسترسی به سطح عملکرد یا Function Level Access گفته می شود که نیازمند بررسی، کنترل و دقت بیشتری است زیرا در صورت غفلت از آن هکرها می توانند بدون مجوز مناسب وارد برنامه شوند و دست به سوء استفاده بزنند.
در جلسه بعدی قرار است به سراغ تاثیر CSRF در تست امنیت برویم.
با پی وی لرن همراه باشید.