تجزیه و تحلیل امنیتی در برنامه های تحت وب
وقتی که شما روی یک برنامه سازمانی بزرگ، مثلا یک بانک کار می کنید و میخواهید آن را امن سازید، باید با اصول تجزیه و تحلیل امنیتی یک برنامه آشنا باشید. همانطور که برای طراحی یک نرم افزار به نمودارهای مثل UML احتیاج هست، برای تحلیل امنیتی یک برنامه بزرگ سازمانی نیز به یک نمودارهای خاصی برای ارزیابی تهدیدات نیاز خواهد بود
درگاه پرداخت ePayBank.ir بعنوان درگاه امن بانکی کشور ارایه کننده درگاه پرداخت می باشد.در این مطلب مقدماتی از چگونگی تجزیه و تحلیل امنیتی برنامه های کاربردی وب بررسی خواهیم کرد. البته واضح است به دلیل گستردگی مطلب تجزیه و تحلیل، بیان همه مطالب امکان پذیر نیست، ولی سعی میکنیم که مطالب مهم بیان گردند.
مدلسازی تهدیدات
مدلسازی تهدیدات، یک فرآیند اصولی و اساسی برای یک برنامه کاربردی تحت وب است. این فرایند به طور کلی در پنج مرحله انجام می شود:
- شناسایی اهداف امنیتی یا Identify Security Objectives
- بررسی برنامه Application Overview
- تجزیه کردن برنامه Decompose Application
- شناسایی تهدیدات Identify Threats
- شناسایی آسیب پذیری Identify Vulnerabilities
ایمن ساختن برنامه تحت وب شما
در این بخش مجموعه ای از مشکلات امنیتی نرم افزارها تعریف می شوند تا به شما کمک نمایند تا برنامه های تحت وب امنی بسازید و برنامه های قدیمی خود را ایمن کنید. این مشکلات رایج امینیتی، در تکنولوژی ها و کامپوننتهای مختلف وجود دارند.
گروه بندی آسیب پذیری های امنیتی برنامه های تحت وب
- معتبرسازی ورودی : چگونه میتوانید مطمئن شوید که ورودی نرم افزار شما صحیح و امن است؟ معتبرسازی ورودی بوسیله فیلتر کردن، امتناع کردن از پردازش ورودی قبل از انجام کار بر روی ورودی انجام می شود.
- هویت سنجی : شما که هستید؟ هویت سنجی پروسه ای است که از یک موجودیت استفاده می کند تا موجودیت دیگری را شناسایی کند، معمولا از طریق محدودیت هایی همانند نام کاربری و رمز عبور.
- حق دسترسی: یک کاربر چه کارهایی را حق دارد انجام بدهد؟ به چه فایلهایی اجازه دسترسی دارد؟ به کدام قسمت پایگاه داده میتواند دسترسی داشته باشد؟ حق دسترسی، پروسه ای است که یک برنامه برای کنترل دسترسی به اعمال و منابع از آن استفاده می کند.
- مدیریت تنظیمات: برنامه شما توسط چه کسی اجرا می شود؟ از چه پایگاه داده ای استفاده می کند؟ برنامه شما چگونه مدیریت می شود؟ این تنظیمات چگونه امن می شوند؟ مدیریت تنظیمات به چگونگی پردازش این تنظیمات توسط برنامه گفته می شود
- رمز نگاری: چگونه به صورت مطمئن از اطلاعات سری محافظت می کنید؟ از چه الگوریتم رمز نگاری استفاده می کنید؟ چگونه با استفاده از tamperproofing داده ها و کتابخانه های خود استفاده می کنید؟
- داده های حساس: داده های حساسف اطلاعاتی هستند که باید از آنها محافظت شود. خواه در حافظه، و یا داده هایی که از طریق شبکه بیسیم منتقل می شوند، یا در ذخیره سازی ماندگار. برنامه شما باید یک پروسه برای پردازش داده های حساس داشته باشد.
- مدیریت استثنا: وقتی فراخوانی یک متد در برنامه شما نمیتواند به درستی انجام شود، برنامه شما چه می کند؟ نرم افزار شما تا چه حد این وضعیت را فاش می کند؟ آیا تنها پیغام های خطای محترمانه را به کاربر نشان می دهید یا اطلاعات مفید استثناء را؟ آیا برنامه شما در هنگام وقوع استثناها با آن بدرستی برخورد می کند؟
- تغییر پارامترها: فیلدهای فرم، رشته های درخواست و مقادیر کوکی غالبا بهص ورت پارامترهای برنامه شما بکار می روند. دستکاری پارامترها به گونه ای هکر را گمراه می کند، در امنیت سایت شما موثر خواهد بود.
- وقایع نگاری: هرکسی چه زمانی چه کاری را انجام میدهد؟ تهاجمات چگونه ثبت می شوند؟
درگاه پرداخت ePayBank.ir ارایه کننده درگاه پرداخت امن برای وب مستران ایرانی