با توجه به اینکه هویت پذیرندگان درگاه پرداخت توسط دفترخانه رسمی کشور تایید می شوند و درگاه پرداخت ePayBank.ir با پذیرندگان درگاه پرداخت قرارداد بانکی درگاه پرداخت منعقد می نماید ، فلذا ضریب امنیتی تراکنش های درگاه پرداخت در سطح عالی می باشد و تضمین می گردند.
سیستم درگاه پرداخت تراکنش های اینترنتی ارسالی وب سایتهای پذیرندگان خویش را اعتبار سنجی و هویت سنجی می نماید تا نهایت امنیت درگاه پرداخت برای پذیرندگان فراهم و موجب افزایش اعتماد پذیرندگان به سیستم درگاه پرداخت ePayBank.ir می شود.
برای شناخت در مورد تهدیدات امنیتی برنامه های تحت وب آماده و بعضا اختصاصی یا سفارشی شما را به خواندن ادامه مطلب دعوت می نماییم.چگونه ورودی کاربر را در برنامه تحت وب خویش هویت سنجی می کنید؟
از چه روشی برای فیلتر کردن ورودی کاربر استفاده می کنید؟ برنامه تحت وب شما باید تمام ورودی هایی را که می پذیرد، محدود کند، یا رد کند و یا فیلتر کند. محدود کردن ورودی بهترین راه است زیرا فیلتر کردن داده ها برای انواع شناخته شده، راحت تر از فیلتر کردن کاراکترهای شناخته شده بد می باشند. در اینجا لازم است با مفهوم لیست سیاه و لیست سفید آشنا شوید. فیلتر گذاری براساس لیست سیاه به اینص ورت است که شما لیستی از کاراکترها و ورودی هایی که نباید به برنامه وارد شوند تهیه و چنان برنامه را فیلترگذاری می کنید که از این لیستس یاه، هیچ کاراکتری وارد برنامه نشود. لیست سفید به اینص ورت است که شما لیستی از ورودی هایی که میتوانند وارد سیستم شوند تهیه می کنید و فقط به آنها اجازه ورود می دهید. به کارگیری لیست سفید امنیت بیشتری دارد ولی محدودیت زیادی ایجاد می کند. با یک استراتژی دفاع عمیق باید همچنان اطلاعات ورودی شناخته شده بد را رد کنید و ورودی را پاک سازی کنید.
سوالات زیر میتواند برای شناختن تهدیدات امنیتی شما را یاری دهند.
- آیا نقاط ورودی نرم افزار خود را می دانید؟ اطمینان حاصل کنید که طراحی و برنامه نویسی شما تمام نقاط ورودی را معرفی می کند. بنابراین میتوانید از آنچه به فیلدهای ورودی می گذرد آگاه شوید. ورودی صفحه وب، ورودی کامپوننت ها و وب سرویس ها و ورودی پایگاه داده را در نظر بگیرید.
- آیا محدوده های امن نرم افزار خود را می دانید؟ اگر ورودی از یک محدوده امن می آید، فیلتر ورودی نیاز نیست. اما اگر ورودی از جای ناامنی می آید لازم است.
- آیا ورودی صفحه وب را فیلتر می کنید؟ کاربران را یک منبع داده امن در نظر نگیرید. همواره فیلدهای معمولی و مخفی فرم ها، رشته های درخواست و کوکی ها را نیز فیلتر نمایید.
- آیا آرگومانهای فرستاده شده به کامپوننتها یا وب سرویس ها را فیلتر می کنید؟ تنها موقعی که میتوان این کار را انجام نداد، زمانی است که اطلاعات از محدوده امن فعلی فرستاده می شوند. اما با استراتژی دفاع عمیق، فیلتر چند لایه ای توصیه می شود.
- آیا داده های پایگاه داده را فیلتر می کنید؟ همواره باید این ورودی ها را نیز فیلتر کنید، مخصوصا اگر برنامه دیگیری اطلاعاتی بر روی پایگاه داده می نیوسد. هیچ چشم پوشی درباره اعمال فیلتر ورودی آن برنامه نکنید.
- آیا تکنیک فیلتر خود را متمرکز می کنید؟ برای انواع رایج فیلدهای ورودی، بررسی کنید که آیا زا کتابخانه های رایج فیلترینگ و هویت سنجی برای اطمینان حاصل کردن از این که قوانین فیلتر به صورت قاطع و کامل اعمال می شوند استفاده می نمایید.
- آیا به هویت سنجی و فیلتر کردن در سمت کلاینت اعتماد می کنید؟ این کار را انجام ندهید. فیلتر کردن سمت کلاینت میتواند برای کمتر کردن بار سرور انجام شود. اما برای موارد امنیتی به آن اعتماد نکنید. زیرا به راحتی از میان برداشته می شود. تمامی ورودی ها را در سرور فیلتر کنید.
در برنامه نویسی درگاه پرداخت موارد فیلترینگ ورودی بصورت کاملا حرفه ای و اختصاصی انجام می پذیرد و ورودی های مهاجم نیز در لیست سیاه درگاه پرداخت ذخیره و مورد تجزیه و تحلیل قرار می گیرند و مسیر هدف مشخص و در جهت امن سازی بیشتر آن ناحیه اهتمام ورزیده می شود.