سایت آموزشی فرهنگ،آموزش وب،کامپیوتر،خانه داری و آشپزی،طراحی،فتوشاپ،تلگرام،آهنگ،فیلم،برنامه نویسی،فرهنگ 21،گروه آموزشی،کرمانشاه

بررسی گلوگاه های امنیتی در توسعه نرم افزارهای تحت وب

A survey on notable security hints in web application development

امنیت وب web security

چکیده :

با توجه به گردش مالی عظیم در حوزه نرم افزارهای مبتنی بر وب و جایگاه قابل توجه شرکتهای این حوزه در بین ۱۰۰ برند اول دنیا، اهمیت امنیت و حفاظت از اطلاعات و حریم خصوصی در این بخش بسیار بالاست . البته لازم به ذکر است امروزه تقریباً تمامی شرکت های دولتی ، خصوصی و اصناف مختلف نیازمند داشتن وب سایت و نرم افزار تحت وب مقتضی می باشند که همین امر بر اهمیت موضوع می افزاید .

با تحلیل آماری و تجربی می توان گلو گاههای امنیتی تقریباً یکسانی بین انواع نرم افزار های تحت وب یافت و با دقت در رعایت اصول ایمنی و امنیت در تمامی مراحل نیاز سنجی ، طراحی ، پیاده سازی ، اجرا ، نگهداری و پشتیبانی ، می توانیم نسبت به ایمن سازی نرم افزار و کسب وکار خود اقدام نمود .

فهرست مطالب

مقدمه
چهار منطقه اصلی امنیت
زیرساخت شبکه میزبانی وب
سیستم عامل سرور میزبان وب
وب سرور
نرم افزار تحت وب و بانک اطلاعاتی مربوطه
تزریق injection
احراز هویت نا صحیح و مدیریت جلسه
تزریق اسکریپت Cross-Site Scripting XSS
ارجاع مسنقیم نا امن به منابع Insecure Direct Object References
پیکره بندی اشتباه امنیتی Security Misconfiguration
افشاء اطلاعات حساس
عملکرد ناصحیح در کنترل سطح دسترسی
حمله جعل در خواست CSRF Cross-Site Request Forgery
استفاده از کامپوننت ها با آسیب پذیری های شناخته شده
فورورد ها و ری دایرکت های ارزیابی نشده Unvalidated Redirects and forwards
نتیجه
منابع

مقدمه :

امنیت در نرم افزارهای تحت وب یعنی هر موجودیت به میزان حق دسترسی ، در زمان مقرر و طبق مقررات بتواند به نرم افزار تحت وب و اطلاعات آن دسترسی داشته باشد.

بدین معنا که افراد فاقد اجازه برای قسمتی خاص ، امکان دسترسی به آن قسمت را نداشته باشند ؛ حال این دسترسی با توجه به سطوح آن ، می تواند شامل مشاهده اطلاعات ، کپی اطلاعات ، ویرایش و یا حذف اطلاعات باشد.

برای امن بودن نرم افزار تحت وب ، چهار منطقه اصلی داریم :

۱ زیرساخت شبکه میزبان وب

۲ سیستم عامل سرور میزبان وب

۳ وب سرور

۴ نرم افزار تحت وب و بانک اطلاعاتی مربوطه

۱– زیرساخت شبکه میزبانی وب :

اولین لایه در موارد مورد بررسی بوده ، بحث تجهیزات شبکه و سخت افزار دیتا سنتر ، فایروال سخت افزاری ، لینک اتصال به اینترنت .در این مرحله استفاده از برندهای معتبر ، به روز بودن سخت افزار و نرم افزارهای مربوطه اکیداً توصیه می شود.

۲ – سیستم عامل سرور میزبان وب

در ادامه می توان از میزبانهای ابری (cloud hosting) ، نرم افزار مجازی سازی (virtualization software) برای سرورهای مجازی و یا سیستم عامل سرور برای سرورهای Dedicated نام برد، ابتدا نگاهی داریم به سهم بازار نرم افزارهای مجازی سازهای سروربه نقل از SpiceWorks :

bar-chart

با توجه به نمودار بالا ، برتری VMware vSphere مشهود است ؛ ضمناً در حوزه امنیت نیز این نرم افزار (در صورت به روز بودن) الزامات استاندارد را برآورده خواهد نمود .

در بحث سرورهای مستقل (dedicated servers) سهم عمده سیستم های عامل سرور مربوط به توزیع های قدرتمند سیستم عامل یونیکس و فرزندان لینوکسی آن (Linux OS distributions) می باشد

Most popular operating systems

© W3Techs.comusagechange since
1 February 2017
۱٫Unix۶۶٫۵%
۲٫Windows۳۳٫۵%-۰٫۱%
percentages of sites

با توجه به جدول فوق برتری سیتم عامل یونیکس مشخص است .

اکنون سهم توزیع های مختلف لینوکس را مشاهده می کنیم :

Ubuntu
۳۵٫۵%
Debian
۳۱٫۸%
CentOS
۲۰٫۵%
Red Hat
۳٫۴%
Gentoo
۲٫۷%
Fedora
۰٫۹%
SuSE
۰٫۷%
Scientific Linux
۰٫۱%
Turbolinux
۰٫۱%
Mandriva
less than 0.1%
CloudLinux
less than 0.1%
Mageia
less than 0.1%
Asianux
less than 0.1%
PCLinuxOS
less than 0.1%
PLD Linux
less than 0.1%
StartCom Linux
less than 0.1%
Unknown
۴٫۲%
W3Techs.com, 2 March 2017
Percentages of websites using various subcategories of Linux

البته اگر زبان برنامه نویسی سمت سرور asp.net باشد ، مسلماً سیستم عامل Microsoft Windows server پیشنهاد می گردد.

گارتنر می گوید:

مهاجرت ادامه دار از یونیکس به لینوکس و سیستم عامل ویندوز سرور ۲۰۱۶ ، منجر به کاهش ملایم ۲ درصدی سیستم عامل سرور در بازار شده است . گسترش دیتا سنترها و رایانش و میزبانی ابری ، به رشد ۱۰٫۴ درصدی سیتم عامل مقرون به صرفه لینوکس ، کمک کرده است ؛ مقاله در مورد لینوکس .

همانطور که قبلاً هم اشاره شد ، بحث میزبانی و سرویس های ابری (cloud computing / cloud hosting) نیز با توجه به تو جیه آن در سیستم های توزیع شده(distributed systems) حائز اهمیت است.

باید در نظر داشت یکی از دلایل محبوب بودن یک توزیع خاص از لینوکس ، بحث ثبات و امنیت بوده که منجر به افزایش سهم بازار آن سیستم عامل خواهد شد .

در موضوع سیتم عامل سرور می بایست به روز بودن همچنین نصب بسته های نرم افرازی و وصله های امنیتی از ارکان خط مشی امنیتی سازمان باشد .

۳ –وب سرور (web server)

وب سرور یک سیستم و نرم افزار کامپیوتری ست که درخواستها را از طریق پروتکل (HTTP: Hyper Text Transfer Protocol) مدیریت می نماید ، که پروتکل پایه در توزیع اطلاعات بر بستر وب جهانی (اینترنت) می باشد.

تعدادی از وب سرورها با سهم عمده از بازار:

Most popular web servers

© W3Techs.comusagechange since
1 February 2017
۱٫Apache۵۰٫۴%-۰٫۳%
۲٫Nginx۳۲٫۷%+۰٫۳%
۳٫Microsoft-IIS۱۱٫۵%-۰٫۱%
۴٫LiteSpeed۲٫۵%+۰٫۱%
۵٫Google Servers۱٫۳%
percentages of sites
Apache
۵۰٫۴%
Nginx
۳۲٫۷%
Microsoft-IIS
۱۱٫۵%
LiteSpeed
۲٫۵%
Google Servers
۱٫۳%
Tomcat
۰٫۶%
IdeaWebServer
۰٫۳%
Node.js
۰٫۳%
Apache Traffic Server
۰٫۳%
Tengine
۰٫۲%
Cowboy
۰٫۱%
Lighttpd
۰٫۱%
IBM Servers
۰٫۱%
Oracle Servers
۰٫۱%
W3Techs.com, 2 March 2017
Percentages of websites using various web servers
Note: a website may use more than one web server

برتری Apache و پس از آن Nginx مشخص است همچنین رشد سهم بازار وب سرور Nginx قابل توجه می باشد .

۴ – نرم افزار تحت وب و بانک اطلاعاتی مربوطه

web-development-architecture-and-deployment-diagram

بحث تخصصی ما در مورد گلوگاههای امنیتی در توسعه نرم افزارهای تحت وب در این دسته قرار می گیرد.

نرم افزار تحت وب (web application / web app) ، نرم افزاری سمت کاربر- سرور بوده که کاربر از طریق مرورگر وب (web browser) می تواند به آن دسترسی داشته باشد، مانند : سیستم های مدیریت محتوا (CMS : Content Management System) ، سیستم های برنامه ریزی سازمانی تحت وب (ERP: Enterprise Resource Planning) ، فروشگاههای اینترنتی تحت وب (Online shopping cards)، سیتم های ارتباط با مشتری (CRM: Customer relationship Management) ، سرویس های پیام رسان تحت وب و … .

با توجه به گردش مالی عظیم در این حوزه و جایگاه قابل توجه شرکتهای این حوزه در بین ۱۰۰ برند اول دنیا(مانند Google )، اهمیت امنیت و حفاظت از اطلاعات و حریم خصوصی در این بخش بسیار بالاست .

پروژه امنیت نرم افزارهای تحت وب (OWASP: Open Web Application Security Project) ، از جمله آنهایی ست که از طریق اطلاع رسانی و ارائه مستندات امنیتی در جهت کمک به افزایش امنیت نرم افزارهای تحت وب گام برداشته است .

webapp-attacks

یکی از شرکتهای حوزه امنیت و تست نفوذ (Pure Hacking) نمودار جالبی در مورد مشکلات مهم امنیتی در نرم افزارهای تحت وب طی سال ۲۰۱۶ منتشر کرده است :

vulnerabilitiy1

مراکز تحقیقاتی و شرکتهای دیگر آمار گاها تا حدودی مشابه را ارائه نموده اند (OWASP, IBM , Gartner and Cigital) که به دلیل دقت بیشتر به بررسی این گلوگاههای امنیتی در حوزه برنامه های تحت وب از پایگاه OWASP می پردازیم :

۱ –تزریق (injection)

sql-injection

تزریق از طریق رخنه امنیتی در (SQL: Structured Query Language) ، سیستم عامل (OS: Operating System) و تزریق (LDAP: Lightweight Directory Access Protocol) پروتکل دسترسی فهرست، زمانی که اطلاعات غیر مطمئن به یک مفسر (Interpreter) به عنوان قسمتی از دستور(Command) یا پرس و جو (Query) فرستاده می شوند .

اطلاعات خصمانه مهاجم می تواند مفسر را به منظور اجرای دستورات ناخواسته یا دسترسی به اطلاعات بدون داشتن اجازه دسترسی ، فریب دهد.

نمونه ای از حمله از طریق نوار آدرس مرورگر:

http://example.com/app/accountView?id=’ or ‘۱’=’۱

شیوه مقابله :

می توان قبل از ارسال اطلاعات کاراکترهای ویژه آنهار را رفع خطر نموده (escape special characters) به عنوان مثال این کار در زبان برنامه نویسی تحت وب سمت سرور (PHP: PHP Hypertext Preprocessor)از طریق استفاده از ارتباط امن شده (PDO: PHP Data Objects)با بانک اطلاعاتی و یا فرضاً تابع (htmlspecialchars($str به منظور جلوگیری از حملات اسکریپتی صورت می پذیرد .

۲ احراز هویت نا صحیح و مدیریت جلسه (session)

کارکرد برنامه در رابطه با احراز هویت و مدیریت جلسات کاربر غالباً به درستی پیاده سازی نمی شود که همین موضوع به مهاجم اجازه دسترسی غیر مجاز به رمزها، کلیدها و کد جلسه (session id) همچنین بهره برداری از سایر نقایص پیاده سازی جهت جا زدن مهاجم به عنوان کاربر مجاز را می دهد .

شیوه مقابله :

طراحی سیستم ورود امن با ارزیابی همزمان سمت کاربر و سمت سرور (ساخت لیست کلمات مجاز whitelist و لیست کلمات غیر مجاز blacklist برای ورودی های کاربر) همچنین استفاده از ارتباط امن (HTTPS: Hyper Text Transfer Protocol Secure) در صورت نیاز به ورود اطلاعات حساس از سمت کاربر.

جلوگیری از حملات اسکریپتی ( XSS: cross-site scripting) از طریق امن کردن اسکریپتهای سمت کاربر و بی خطر کردن کاراکترهای ویژه و تگ <script>در کد برنامه به عنوان نمونه استفاده از تابع htmlspecialchars($str)

۳ تزریق اسکریپت ( Cross-Site Scripting XSS) :

رخنه های امنیتی XSS زمانی اتفاق می افتند که برنامه اطلاعات نا مطمئن را بدون ارزیابی و بی خطر سازی امنیتی به مرورگر کاربر می فرستد.XSS به مهاجم اجازه اجرای اسکریپ ها (معمولا JavaScript)را در مرورگر قربانی می دهد که می تواند باعث سرقت جلسه کاربر، تغییر شکل سایت و redirect به سایتهای مخرب شود .[۴][۵]

SXSS

شیوه مقابله:

روش توصیه شده ، ارزیابی و بی خطر نمودن تمامی اطلاعات نامطمئن مانند اچ تی ام ال (body, attribute JavaScript, CSS, URL) می باشد . به عنوان نمونه استفاده از جایگزین های زیر:

;amp; | < &lt; | > &gt; | ” &quot; | ‘ &#x27; | / &#x2F &

استفاده از لیست ورودی های مجاز (whitelist) که البته راهکار کاملا عملیاتی نیست زیرا گاهاً برخی برنامه ها نیاز به ورودی های کاراکترهای ویژه دارند اما می توان فزضاً با کنترل تعداد کاراکترها و فرمت کاراکترها این امر را ممکن ساخت.

ضمناً استفاده از مرورگرها مطرح و البته به روز مانند Mozilla Firefox و Google Chrome ، همچنین نصب افزونه های بی اثر کننده حملات مانند NoScript نیز تا حدی کمک کننده است .

۴ ارجاع مسنقیم نا امن به منابع (Insecure Direct Object References) :

ارجاع مسنقیم به منابع زمانی رخ می دهد که یک توسعه دهنده وب یک مبنع را به صورت توکار در معرض ارجاع قرار می دهد، مانند یک فایل ، پوشه یا کلید بانک اطلاعاتی بدون محافظت از کنترل دسترسی ، مهاجم می تواند این ارجاع ها را جهت دسترسی غیر مجاز به اطلاعات دستکاری نماید.

شیوه مقابله:

جلوگیری از ارجاع نا امن به منابع نیازمند پیاده سازی دسترسی محافظت شده کاربران به منابع (نام فایل یا شماره منبع)می باشد .

استفاده از جلسات کاری غیر مستقیم مجزا برای هر کاربر جهت ارجاع به منبع، بدین طریق جلوی مهاجمان را از دسترسی مستقیم و هدف قرار دادن منابع غیر مجاز برای ایشان ، می گیریم.

به عنوان نمونه بجای استفاده از منبع کلید پایگاه داده یه لیست باز شو از شش منبع مجاز برای کاربر با اعداد ۱ تا ۶ مشخص می کند کاربر کدام مقدار را انتخاب نموده است .

ضمناً می بایست یک بررسی کنترل دسترسی برای منابع نامطمئن صورت پذیرد.

۵ – پیکره بندی اشتباه امنیتی (Security Misconfiguration) :

امنیت مطلوب نیازمند تعریف تنظیمات امن به کار گرفته شده در پروسه توسعه نرم افزار است همچنین تنظیمات مطلوب برای frameworks, application server, web server, database server, and platform

پیکربندی امن باید طراحی ، پیاده سازی و نگهداری شود و اینکه نرم افزار را به روزرسانی کنیم .

شیوه مقابله :

محفوظ نگه داشتم اطلاعات حساس از طریق دسترسی چند سطحی و وجود رمز برای هر سطح دسترسی جدید به اطلاعان و منابع سیستم .

به روز رسانی به موقع و نصب بسته های نصبی امنیتی جدید به صورت مدون و مرتب .

پیاده سازی معماری نرم افزار قدرتمند با هدف تفکیک اجزای مختلف نرم افزار.

بررسی های ادواری نرم افزار و ارزیابی آن به منظور کمک به یافتن تنظیمات ناصحیح و رخنه های امنیتی احتمالی.
بسیاری ار نرم افزارهای تحت وب به درستی از اطلاعات حساس مانند کارت اعتباری ، کد مالیاتی و اعتبار نامه های احراز هویت ، محافظت نمی کنند.

۶ – افشاء اطلاعات حساس :

مهاجمین ممکن است اطلاعات محافظت شده ضعیف را سرقت یا ویرایش کنند ، کارت اعتباری را جعل کنند و یا سرقت هویت کنند .

اطلاعات حساس مستحق محافظت مضاعف مانند رمزنگاری در نگهداری و انتقال همچنین در زمان دسترسی توسط مرورگر می باشند .

شیوه مقابله :

توجه به مخاطراتی که اطلااعات می بایست در مقابل آنها محافظت شوند(به عنوان مثال حملات از جانب کاربر داخلی یا خارجی)، مطمئن شویم که تمام اطلاعات حساس در مرحله ذخیره سازی یا انتقال رمزنگاری شوند تا در مقابل حملات مصون باشند.

اطلاعات حساس غیر ضروری را ذخیره نکنیم و یا پس از اتمام زمان نیاز به آنها پاک کنیم تا قابل سرقت نباشند .

مطمئن شویم الگوریتم های استاندارد و قدرتمند و کلیدهای قدرتمند استفده شوند و مدیریت کلید صحیحی داشته باشیم .

اطمینان از اینکه رمزهابا الگوریتمی که ویژه محافظت از رمزها طراحی شده است محافظت می شوند مانند bcrypt PBKDF2 یاscrypt .

غیرفعال نمودن پرکردن اتوماتیک(autocomplete) فرم ها یی که اطلاعات حساس را ذخیره سازی می کنند همچنین غیر فعال کردن کش کردن صفحات که دربرگیرنده اطلاعات حساس می باشند .

ضمنا می بایست مکانیزم رهگیری و بلاک کردن آی پی مهاجم برای جلوگیری از حملات احتمالی بعدی صورت گیرد .

۷ عملکرد ناصحیح در کنترل سطح دسترسی

بیشتر نرم افزارهای تحت وب ، عملکرد قوانین سطح دسترسی را قبل از قابل مشاهده بودن آن عملکرد در رابط گرافیکی سایت(UI) ، ارزیابی می کنند؛ هرچند نرم افزار نیازمند بررسی همان کننترل دسترسی ست زمانیکه هر عملکرد در سرور مورد دسترسی قرار می گیرد.

اگر درخواست ها ارزیابی نشوند ، مهاجمین قادر خواهند بود در جهت دسترسی به عملکرد بدون اجازه صحیح ، درخواست ها را جعل نمایند .

شیوه مقابله :

برنامه شما باید یک استواری و سهولت برای تحلیل ماژول اجازه دسترسی( که شامل تمام عملکرهای تجاری شما باشد )داشته باشد .عموماً این نوع از محافظت توسط یک یا چند کامپوننت خارج از کد نرم افزار تامین می شود .

در مورد پروسه مدیریت حقوق فکر کنیم و مطمئن شویم که می توانیم به راحتی به روز رسانی و حسابرسی داشته باشیم و در این خصوص پیچیدگی نداشته باشیم.

مکانیزم های اجرایی به صورت پیش فرض اجازه هیچ دسترسی را ندهند ، نیازمند اجازه شفاف برای دسترسی به نقشی(role) خاص برای دسترسی به هر عملکردی باشیم.

اگر عملکردی در جریان کار نقش داشته باشد مطمئن شویم شرایط جهت اجازه دسترسی در وضعیت درستی باشند .

۸ حمله جعل در خواست : Cross-Site Request Forgery – CSRF

csrf-cross-site-request-forgery

حمله CSRF مرورگر قربانی که به سیستم وارد شده است را مجبور به ارسال درخواست HTTP جعلی می نماید شامل کوکی جلسه و هر اطلاعات احراز هویت همراه آن در یک نرم افزار تحت وب آسیب پذیر می کند.

این امر به مهاجم اجازه می دهد که مرورگر قربانی را مجبور به ارسال درخواست کند در حالیکه نرم افزار آسیب پذیر فکر می کند این درخواست ها را از یک کاربر مجاز دریافت می کند.

شیوه مقابله :

جلوگیری از حملات جعل درخواست ، معمولاٌ نیازمند استفاده از کدی غیر قابل حدس در هر درخواست HTTP می باشد .این کد می بایست حداقل برای هر کاربر منحصر به فرد باشد .

بهترین انتخاب آن است که کد منحصر به فرد را از طریق فلید مخفی ارسال کنیم که این امر باعث می شود که کد مربوطه در نوار آدرس مرورگر قابل مشاهد نباشد تا ریسک افشا شدن آن از بین برود .

کد رمز یکتا همچنین می تواند در آدرس به عنوان پرامتر ارسال شود هرچند این روش ریسک بیشتری از جهت استفاده توسط مهاجم خواهد داشت .

احراز هویت مجدد کاربران یا ثابت کردن اینکه با کاربر حقیقی مواجه هستیم مثلاً از طریق تصویر امنیتی (CAPCHA: Completely Automated Public Turing test to tell Computers and Humans Apart)

روش مقابله خوبی ست .

۹ – استفاده از کامپوننت ها با آسیب پذیری های شناخته شده

کامپوننت ها مثل کتابخانه ها فریم ورک ها و سایر ماژول های نرم افزاری تقریباً بیشتر مواقع با دسترسی کامل اجرا می شوند. حال اگر کامپوننت آسیب پذیری ، مورد حمله قرار گیرد می تواند منجر به تسهیل از دست دادن اطلاعات و یا تصاحب سرور توسط مهاجم شود.

در نرم افرارهایی که از کامپوننت ها با آسیب پذیری های شناخته شده استفاده می کنند ، می توان ارزیابی از توع حملات احتمالی داشته و برای پیشگیری و مقابله آماده باشیم .

شیوه مقابله :

یک انتخاب آن است که فقط از کامپوننت هایی استفاده کنیم که خودمان نوشته باشیم.

مشخص کردن تمام کامپونت هایی و ورژن آنها و تمام افزونه های مرتبط همچنین مانیتور کردن امنیت کامپونت ها .

ایجاد خط مشی امنیتی ناظر بر کامپوننت ها مانند تست های امنیتی و لایسنس های قابل قبول .

در صورت امکان و نیاز افزودن لایه امنیتی به کامپوننت ها

به منظور غیر فعال نمودن عملکردهای بلا استفاده همچنین ایمن سازی نقاط ضعیف و آسیب پذیر کاموننت .

۱۰ فورورد ها و ری دایرکت های ارزیابی نشده Unvalidated Redirects and Forwards

ابتدا مختصری در مورد تفاوت ریدایرکت (redirect) و فوروارد(forward) ، ریدایرکت وضعیت پاسخ را روی کد ۳۰۲ قرار می دهد و آدرس و آدرس موقعیت جدید پاسخ را به مرورگر ارسال می کند ، اما فوروارد کاملاً در سرور صورت می پذیرد بنابراین مرورگر متوجه آن نخواهد شد.

نرم افزارهای مبتنی بر وب گاهاً کابران را به صفحات دیگر وب و سایر وب سایت ها فوروارد و ریدایرکت می کنند و از اطلاعات نا مطمئن به منظور عیین صفحات مقصد استفاده می کنند.

بدون اعتبارسنجی صحیح مهاجمان می توانند قربا نی ها را به سایتهای فیشینگ و با نرم افزارهای مخرب هدایت کنند و یا از فورواردها به منظور دسترسی به صفحات غیر مجاز استفاده نمایند.

شیوه مقابله :

به سادگی از فوروارد و ریدایرکت اجتناب کنیم و اگر استفاده کردیم پارامترهای کاربر را در آدرس مقصد دخیل نکنیم.

اگر نیازمند استفاده از پارامتر در آدرس مقصد هستیم ، مطمئن شویم که مقادیر صحیح می باشند بدین منظور می توان آدرسهای همراه با پارامتر را بررسی و در صوت لزوم بی خطر سازی نمود .

نتیجه :

جایگاه نرم افزارهای تحت وب و سهم آن از گردش مالی تجارت این روزها غیر قابل انکار و قابل توجه است ، لذا توجه به امنیت در این حوزه از ضروریات می باشد .

برای داشتن یک نرم افزار تحت وب امن ، باید ملاحظات امنیتی در تمام مراحل شامل نیاز سنجی ، طراحی ، پیاده سازی ، اجرا ، نگهداری و پشتیبانی مد نظر و جاری باشد .

بدین معنا که خظی مشی امنیتی معین و شفاف ، همچنین مکانیزمهای امنیتی مقتضی و استاندارد مورد استفاده قرار گیرند.

ضمناً به روز رسانی و اطلاع از آخرین آسیب پذیریهای احتمالی جهت اعمال وصله های امنیتی راهگشا خواهد بود.

منابع :

۱٫Igw+ certificate research center, www.igwcertificate.com , by Elias Naserkhaki

۲٫Web Application Security Assessment Tools, MARK CURPHEY AND RUDOLPH ARAUJO Foundstone

http://ieeexplore.ieee.org/document/1668000/

۳٫IP Trace back: A New Denial-of-Service Deterrent, HASSAN ALJIFRI University of Miami http://ieeexplore.ieee.org/document/1203219/

۴٫Web Application Security Assessment by Fault Injection and Behavior Monitoring, Yao-Wen Huang, Shih-Kun Huang,

and Tsung-Po Lin Institute of Information Science, Chung-Hung Tsai Department of Computer Science and Information

Engineering, National Chiao Tung University.

http://dl.acm.org/citation.cfm?id=775174

۵٫Abstracting Application-Level Web Security Authors: David Scott Laboratory for Communications Engineering University of Cambridge, Engineering Department.

http://dl.acm.org/citation.cfm?id=511498

۶٫A Survey on Web Application Security, Xiaowei Li and Yuan Xue, Department of Electrical Engineering and Computer Science Vanderbilt University.

http://ieeexplore.ieee.org/document/1667998/

۷٫A Survey On Web Application Vulnerabilities(SQLIA,XSS)Exploitation and Security Engine for SQL Injection Rahul Johari USIT, GGSIP University Pankaj Sharma CERT-In Ministry of Communications and IT Govt. of India

http://ieeexplore.ieee.org/document/6200667/

https://w3techs.com/

https://www.gartner.com/doc/3326217/market-share-analysis-server-operating

https://www.purehacking.com/blog/matthew-fulton/top-ten-web-app-security-issues-of-2016

https://community.spiceworks.com/networking/articles/2462-server-virtualization-and-os-trends

http://www.forbes.com/powerful-brands/list/3/#tab:rank

http://www.businessinsider.com/the-worlds-10-most-powerful-brands-2016-2/#2-lego-9

https://www.purehacking.com/blog/matthew-fulton/top-ten-web-app-security-issues-of-2016

https://www.ibm.com/developerworks/library/se-owasptop10/

http://www.learnwebskill.com/

http://www.learnwebskill.ir/

http://www.igwcertificate.com/

https://www.cigital.com/blog/top-web-application-security-vulnerabilities/

http://www.gartner.com/smarterwithgartner/top-10-security-predictions-2016/

By Elias Naserkhaki eliasmail@gmail.com @eliasnaserkhaki

کاری از الیاس ناصرخاکی

نوشته بررسی گلوگاه های امنیتی در توسعه نرم افزارهای تحت وب اولین بار در آموزش مهارت وب، آموزش حرفه ای طراحی و برنامه نویسی وب پدیدار شد.

دیدگاه کاربران انتشار یافته : 0 - در انتظار بررسی : 2
    • دیدگاه ارسال شده توسط شما ، پس از تایید توسط مدیران سایت منتشر خواهد شد.
    • دیدگاهی که به غیر از زبان فارسی یا غیر مرتبط با مطلب باشد منتشر نخواهد شد.