سلام به همه پی وی لرنی های عزیز!
به دوره آموزش تست امنیت Security Testing خوش آمدید.
امروزه به صورت گسترده ای از اینترنت و دنیای وب استفاده می شود و جهان ما اکنون یک جهان آنلاین است که در آن بسیاری از مشاغل به سمت اینترنتی شدن پیش می روند. امروزه ما با پدیده های گسترده خرید و فروش در بستر اینترنت رو به رو هستیم؛ نمونه جهانی آن سایت آمازون است و نمونه ایرانی آن هم سایت دیجیکالا است.
خطرات و تهدید های زیادی در اینترنت وجود دارد؛ از هکر هایی که سعی می کنند از طریق روش های گوناگون از جمله فیشینگ اطلاعات کارت بانکی شما را سرقت کنند تا بد افزار هایی که قصد اختلال در سیستم کامپیوتری شما را دارند و البته ویروس های کامپیوتری و تروجان ها و غیره و غیره.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده قرار بگیرند و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند.
در جلسه گذشته به آشنایی با مفهوم SOP در تست امنیت پرداختیم؛ (Same Origin Policy (SOP یک مفهوم مهم در مدل امنیتی برنامه وب است.
در این جلسه می خواهیم به بررسی تاثیر کوکی ها در تست امنیت بپردازیم.
بیایید پیش از این که بررسی تاثیر کوکی ها در تست امنیت بپردازیم ببینیم که کوکی Cookie چیست.
کوکی یا Cookie در حقیقت یک واحد کوچک از اطلاعات است که توسط یک وب سرور برای ذخیره در یک مرورگر وب ارسال می شود تا بعداً توسط مرورگر خوانده شود. به این ترتیب، مرورگر برخی از اطلاعات شخصی یک فرد را به حفظ کرده تا بعداً کاربر از آن استفاده کند. اما اگر یک هکر اطلاعات کوکی را بدست آورد، می تواند منجر به مشکلات امنیتی شود.
این کوکی ها موقتی هستند که با بسته شدن مرورگر کاربر پاک می شوند. بنابرین اگر کاربر دوباره وارد سیستم شود، یک کوکی جدید برای آن جلسه ایجاد می شود.
این کوکی ها بر روی هارد دیسک باقی می ماند مگر اینکه کاربر آنها را از بین ببرد و یا زمان این کوکی ها منقضی شود. منقضی شدن کوکی بستگی به مدت زمان ماندگاری که برای آنها تعریف می شود دارد.
در ادامه به معرفی روش های تست کوکی ها پرداخته ایم.
به عنوان یک آزمایش کننده، باید دسترسی به وب سایت را بعد از غیرفعال کردن کوکی ها بررسی کنیم و ببینیم که آیا صفحات به درستی کار می کنند یا خیر (حرکت در تمام صفحات وب سایت و تماشای خرابی برنامه ها). همچنین لازم است به کاربر اطلاع دهید که کوکی ها برای استفاده از سایت مورد نیاز هستند.
آزمایش دیگری که باید انجام شود، خراب کردن کوکی ها است. برای انجام این کار ، باید مکان کوکی سایت را پیدا کرده و آن را به صورت دستی با داده های جعلی/نامعتبر ویرایش کنید که می توان از آن ها به اطلاعات داخلی دامنه دسترسی داشت و این کار به نوبه خود می تواند برای هک کردن سایت یکی از راه های هکر ها به شمار آید.
حالا تمام کوکی های وب سایت را حذف کنید و نحوه واکنش وب سایت به آن را بررسی کنید.
در این مرحله باید ببینید که کوکی ها به طور صحیح در تمام مرورگرهای پشتیبانی شده کار می کنند و هر صفحه ای که کوکی ها را در آن ها کار گذاشته اید، مشکلی ندارند.
اگر برنامه ای از کوکی ها برای ذخیره اطلاعات ورود به سیستم استفاده می کند باید به عنوان یک آزمایش کننده سعی کنیم کاربر را در کوکی یا نوار آدرس به یک کاربر معتبر دیگر تغییر دهیم. ویرایش کوکی نباید به شما اجازه دهد که به یک حساب کاربری متفاوت وارد شوید.
مرورگرهای مدرن از مشاهده/ویرایش کوکی های اطلاعاتی، در داخل مرورگر پشتیبانی می کنند. افزونه هایی برای موزیلا/کروم وجود دارد که با استفاده از آنها می توان ویرایش کوکی ها را با موفقیت انجام داد که عبارتند از :
برای ویرایش کوکی ها دو مرحله ساده زیر را انجام دهید.
در این جلسه به بررسی تاثیر کوکی ها در تست امنیت پرداختیم؛ کوکی یا Cookie در حقیقت یک واحد کوچک از اطلاعات است که توسط یک وب سرور برای ذخیره در یک مرورگر وب ارسال می شود تا بعداً توسط مرورگر خوانده شود. اگر یک هکر اطلاعات کوکی را بدست آورد، می تواند منجر به مشکلات امنیتی شود.
در جلسه آینده در خصوص هک شدن برنامه های وب صحبت خواهیم کرد.
با پی وی لرن همراه باشید.