دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)



  • ۱۶
  • اردیبهشت

جلسه ۲۰ : تاثیر ریدایرکت ها و فوروارد های نامعتبر در تست امنیت

  • دسته‌بندی‌ها :
جلسه ۲۰ : تاثیر ریدایرکت ها و فوروارد های نامعتبر در تست امنیت
    • جزئیات
    • نوع محتواآموزشی

      سلام به همه پی وی لرنی های عزیز!
      به دوره آموزش تست امنیت Security Testing خوش آمدید.
      امروزه به صورت گسترده ای از اینترنت و دنیای وب استفاده می شود و جهان ما اکنون یک جهان آنلاین است که در آن بسیاری از مشاغل به سمت اینترنتی شدن پیش می روند. امروزه ما با پدیده های گسترده خرید و فروش در بستر اینترنت رو به رو هستیم؛ نمونه جهانی آن سایت آمازون است و نمونه ایرانی آن هم سایت دیجیکالا است.
      خطرات و تهدید های زیادی در اینترنت وجود دارد؛ از هکر هایی که سعی می کنند از طریق روش های گوناگون از جمله فیشینگ اطلاعات کارت بانکی شما را سرقت کنند تا بد افزار هایی که قصد اختلال در سیستم کامپیوتری شما را دارند و البته ویروس های کامپیوتری و تروجان ها و غیره و غیره.
      داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده قرار بگیرند و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند.
      در جلسه قبل به آشنایی با مولفه های آسیب پذیر در تست امنیت پرداختیم؛ هدید شدن به خاطر وجود مولفه های آسیب پذیر زمانی اتفاق می افتد که مؤلفه هایی مانند کتابخانه ها و چارچوب های مورد استفاده در برنامه تقریباً همیشه با امتیازات کامل اجرا شوند.
      در این جلسه می خواهیم تاثیر ریدایرکت ها و فوروارد های نامعتبر در تست امنیت را بررسی نماییم.

      تاثیر ریدایرکت ها و فوروارد های نامعتبر در تست امنیت

      بیشتر برنامه های وب در اینترنت اغلب کاربران را به صفحات یا وب سایت های خارجی دیگر فوروارد/Forward (فرستادن) و ریدایرکت/Redirect (به مکانی جدید فرستادن) می کنند؛ با این حال در صورت عدم وجود اعتبار یک صفحه هکرها می توانند قربانیان را به سمت سایت های فیشینگ یا بدافزار هدایت کنند یا برای دسترسی به صفحات غیرمجاز از Forward استفاده کنند.

      اجازه دهید با کمک نمودار ساده، عوامل تهدید، وکتورهای حمله، ضعف امنیتی، تأثیر فنی و تأثیرات تجاری این نقص را بهتر درک کنیم.

      بررسی عوامل تهدید کننده - تاثیر ریدایرکت ها و فوروارد ها در تست امنیت

      بررسی عوامل تهدید کننده – تاثیر ریدایرکت ها و فوروارد های نامعتبر در تست امنیت

      مثال

      در ادامه می خواهیم تهدید ریدایرکت ها و فوروارد ها را با کمک یک مثال درک کنیم.

      • فرض کنید که یک برنامه صفحه – redirect.jsp است که یک تغییر مسیر پارامتر را به خود اختصاص می دهد. هکر یک URL مخرب را که کاربر را به سمت یک بد افزار فیشینگ یا بد افزار نصب برنامه ریدایرکت می کند ایجاد می نماید.

      مثال : 

      • تمام برنامه های وب برای ارسال کاربران به بخش های مختلف سایت استفاده می شود. به همین منظور بضعشی از سایت ها برای دستیابی به برخی از صفحات از یک پارامتر استفاده می کنند تا نشان دهند که در صورت موفقیت آمیز بودن یک عملیات، کاربر به کجا هدایت یا ریدایرکت می شود. مهاجم URL را ریدایرکت می کند که بررسی کنترل دسترسی یا access control برنامه را رد کرده و مهاجم را به عملکردهای اداری که دردست ادمین است منتقل می کند.

      مثال : 

      مکانیسم های پیشگیرانه

      • تا جای ممکن بهتر است از فوروارد ها و ریدایرکت ها خودداری نمایید.
      • اگر امکان اجتناب از فوروارد ها و ریدایرکت ها برایتان فراهم نیست؛  باید بدون در نظر گرفتن پارامترهای کاربر ریدایرکت را انجام دهید.

      سخن پایانی

      در این جلسه تاثیر ریدایرکت ها و فوروارد های نامعتبر در تست امنیت را بررسی کردیم؛ بیشتر برنامه های وب در اینترنت اغلب کاربران را به صفحات یا وب سایت های خارجی دیگر فوروارد و می کنند؛ در صورت عدم وجود اعتبار یک صفحه هکرها می توانند قربانیان را به سمت سایت های فیشینگ یا بدافزار هدایت کنند.
      در جلسه بعدی می خواهیم به سراغ امنیت AJAX در تست امنیت می رویم.
      با پی وی لرن همراه باشید

      QR: جلسه ۲۰ : تاثیر ریدایرکت ها و فوروارد های نامعتبر در تست امنیت
      به اشتراک بگذارید
      , ,


      دیدگاه کاربران

      لیست مطالب دوره

      مطالب ویژه