سلام به همه پی وی لرنی های عزیز!
به دوره آموزش تست امنیت Security Testing خوش آمدید.
امروزه به صورت گسترده ای از اینترنت و دنیای وب استفاده می شود و جهان ما اکنون یک جهان آنلاین است که در آن بسیاری از مشاغل به سمت اینترنتی شدن پیش می روند. امروزه ما با پدیده های گسترده خرید و فروش در بستر اینترنت رو به رو هستیم؛ نمونه جهانی آن سایت آمازون است و نمونه ایرانی آن هم سایت دیجیکالا است.
خطرات و تهدید های زیادی در اینترنت وجود دارد؛ از هکر هایی که سعی می کنند از طریق روش های گوناگون از جمله فیشینگ اطلاعات کارت بانکی شما را سرقت کنند تا بد افزار هایی که قصد اختلال در سیستم کامپیوتری شما را دارند و البته ویروس های کامپیوتری و تروجان ها و غیره و غیره.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده قرار بگیرند و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند.
در جلسه قبل به آشنایی با مولفه های آسیب پذیر در تست امنیت پرداختیم؛ هدید شدن به خاطر وجود مولفه های آسیب پذیر زمانی اتفاق می افتد که مؤلفه هایی مانند کتابخانه ها و چارچوب های مورد استفاده در برنامه تقریباً همیشه با امتیازات کامل اجرا شوند.
در این جلسه می خواهیم تاثیر ریدایرکت ها و فوروارد های نامعتبر در تست امنیت را بررسی نماییم.
بیشتر برنامه های وب در اینترنت اغلب کاربران را به صفحات یا وب سایت های خارجی دیگر فوروارد/Forward (فرستادن) و ریدایرکت/Redirect (به مکانی جدید فرستادن) می کنند؛ با این حال در صورت عدم وجود اعتبار یک صفحه هکرها می توانند قربانیان را به سمت سایت های فیشینگ یا بدافزار هدایت کنند یا برای دسترسی به صفحات غیرمجاز از Forward استفاده کنند.
اجازه دهید با کمک نمودار ساده، عوامل تهدید، وکتورهای حمله، ضعف امنیتی، تأثیر فنی و تأثیرات تجاری این نقص را بهتر درک کنیم.
در ادامه می خواهیم تهدید ریدایرکت ها و فوروارد ها را با کمک یک مثال درک کنیم.
1 | http://www.mywebapp.com/redirect.jsp?redirectrul=hacker.com |
1 | http://www.mywebapp.com/checkstatus.jsp?fwd=appadmin.jsp |
در این جلسه تاثیر ریدایرکت ها و فوروارد های نامعتبر در تست امنیت را بررسی کردیم؛ بیشتر برنامه های وب در اینترنت اغلب کاربران را به صفحات یا وب سایت های خارجی دیگر فوروارد و می کنند؛ در صورت عدم وجود اعتبار یک صفحه هکرها می توانند قربانیان را به سمت سایت های فیشینگ یا بدافزار هدایت کنند.
در جلسه بعدی می خواهیم به سراغ امنیت AJAX در تست امنیت می رویم.
با پی وی لرن همراه باشید