زمان تقریبی مطالعه: 5 دقیقه

تاریخ: ۱۴۰۰-۰۴-۰۳
نویسنده: سهیل
10 خطر امنیتی رایج در برنامه های وب

در دنیای امروز، به دلیل پیشرفت های عظیم در اینترنت، می توانیم همه چیز را در اینترنت پیدا کنیم. به چیزی برای خوردن نیاز دارید؟ غذا را به صورت آنلاین سفارش دهید و در عرض چند دقیقه تحویل داده می شود. می خواهید چند لباس بخرید؟ سفارش آنلاین! نه تنها محصولات، بلکه می توانیم خدمات را بصورت آنلاین رزرو و حتی پرداخت کنیم. اما همه اینها بر اساس برنامه های مدرن اعم از وب یا موبایل ساخته شده است. از آنجا که وابستگی زیادی به این وب سایت ها داریم، بد نیست اطلاعات شخصی یا حتی جزئیات مالی خود مانند شماره کارت اعتباری و غیره را در برنامه وب ذخیره کنیم. اما گاهی اوقات این داده ها و اعتبار ها ضرر و خطر بزرگی به همراه داردند.

در طی همه گیری Covid-19، ما دیده ایم که اینترنت پایه اصلی همه چیز است، رزرو وقت دکتر و معاینه آنلاین، کلاس های آنلاین، انتصابات مجازی پزشکان و بسیاری موارد دیگر. ما شدیداً به برنامه های وب و خدمات و محصولات همراه آنها وابسته هستیم. هیچ اجباری حتی فروشندگان یا ارائه دهندگان خدمات آنلاین را به سمت آنلاین سوق نمی دهد. اما این امر همچنین تهدیدات امنیتی زیادی را به همراه داشته است. امنیت داده های ما به وب سایتی بستگی دارد که اطلاعات خود را در آن ذخیره می کنیم. اخیراً، حملات امنیتی افزایش یافته است، حتی بزرگترین مارک ها نیز نتوانستند از آنها فرار کنند. چند نمونه از نقض های اخیر عبارتند از: Microsoft Exchange (مارس 2021)، Facebook و LinkedIn (ژانویه و مارس 2021)، Clubhouse (آوریل 2021)، Bose (مه 2021). بنابراین، محافظت از برنامه های وب شما از اهمیت بالایی برخوردار است و امروز ما قصد داریم 10 خطر امنیتی برتر را که با برنامه های وب مرتبط هستند بحث کنیم تا بتوانید اقدامات لازم را برای جلوگیری از آنها انجام دهید!

 

  1. خطر امنیتی تزریق

تزریق یا تزریق SQL نوعی حمله امنیتی است که در آن مهاجم مخرب از طریق داده های ورودی (به سادگی با پر کردن فرم در وب سایت) از سمت سرویس گیرنده به سرور پرسشی را وارد یا تزریق می کند. در صورت موفقیت آمیز بودن، مهاجم می تواند داده ها را از پایگاه داده بخواند، داده های جدید اضافه کند، داده ها را به روز کند، برخی از داده های موجود در پایگاه داده را حذف کند، دستورات مدیر را برای انجام کارهای مجهز پایگاه داده صادر کند یا حتی در برخی موارد برای سیستم عامل دستورات صادر کند.

 

  1. خطر امنیتی شکسته شدن خط دفاعی احراز هویت

این مورد زمانی رخ می دهد که سیستم احراز هویت برنامه وب خراب است و می تواند منجر به یک سری تهدیدات امنیتی شود. این امر در صورتی امکان پذیر است که حریف برای تغییر چهره خود به عنوان یک کاربر حمله بی رحمانه انجام دهد و به کاربران اجازه استفاده از گذرواژه های ضعیف را که کلمات دیکشنری هستند یا از رمز های عبور متداول مانند “12345678”، “رمز عبور” و غیره استفاده می کنند، این اشتباه بسیار رایج است و  59٪ از افراد در همه وب سایتهایی که استفاده می کنند از رمزهای عبور یکسان استفاده می کنند. علاوه بر این، 90 درصد رمزهای عبور می توانند در مدت زمان نزدیک به 6 ساعت شکسته شوند! بنابراین، مهم است که به کاربران اجازه دهید از گذرواژه های قوی با ترکیبی از حروف الفبا و حروف خاص استفاده کنند. این امر همچنین به دلیل پر کردن اطلاعات کاربری، بازنویسی URL یا تغیر ندادن شناسه های جلسه امکان پذیر است.

 

  1. قرار گرفتن در معرض حساسیت داده ها

همانطور که از نامش پیداست، این بدان معناست که اطلاعات حساس ذخیره شده به مهاجمان مخرب آشکار می شوند. این اطلاعات می توانند شامل داده های شخصی مانند نام، آدرس، جنسیت، تاریخ تولد، شماره های شناسایی شخصی مانند شماره کارت Aadhar یا SSN و غیره، داده های مالی مانند شماره حساب، شماره کارت اعتباری، اطلاعات مربوط به سلامت و غیره باشد. این می تواندمنجر به استفاده مهاجم از اطلاعات مالی کاربران برای انجام پرداخت های آنلاین (در بیشتر موارد به ارز رمزنگاری شده)، سرقت هویت و از بین رفتن شهرت شود، و حتی از شما در قبال دادن این اطلاعات باج گیری کنند.

 

  1. اشخاص خارجی XML

این نوع معمولا در برنامه های وب است که ورودی XML را تجزیه می کند. این کار وقتی انجام می شود که ورودی به شکل XML به موجودی خارجی ارجاع داده شود اما توسط تجزیه کننده ضعیف XML پردازش شود. این می تواند ضرر بزرگی به برند وارد کند زیرا می تواند به منزله انکار سرویس توزیع شده، اسکن پورت، جعل درخواست سمت سرور، افشای اطلاعات حساس و غیره باشد.

 

5.خط دفاعی شکسته شده کنترل دسترسی

کنترل دسترسی محدودیت ها یا مرزهایی را مشخص می کند که کاربر اجازه فعالیت در آنها را دارد. به عنوان مثال، امتیازات اصلی معمولاً به مدیر داده می شود و نه به کاربران واقعی. داشتن یک سیستم کنترل دسترسی خراب یا افشا کننده می تواند منجر به نشت اطلاعات ناخواسته، تغییر جزئیات سایر حساب های کاربری، دستکاری متاداده، عملکرد به عنوان مدیر، دسترسی غیر مجاز API و غیره شود.

 

  1. خطر پیکربندی غلط امنیتی

این امر معمولاً دسترسی کامل به سیستم را به مهاجم می دهد و در نتیجه منجر به دسترسی کامل به سیستم می شود. برنامه وب اگر دارای مجوزهای پیکربندی ضعیف در سرویس های ابری باشد، ممکن است در معرض چنین حملاتی باشد، ویژگی های بی فایده باعث افزایش احتمال حمله، مدیریت اشتباه خطا می شود، که اگر حساب های پیش فرض دارای گذرواژه پاک نشوند، ردیابی استک و اطلاعات مربوط به آن را به راحتی در دید عموم قرار می دهد، دوره به روزرسانی را ضعیف و قابل مشاهده می کند.

 

  1. خطر اسکریپت نویسی بین سایت

این حملات که معمولاً حملات XSS نامیده می شود، هنگامی رخ می دهد که دشمن یک اسکریپت مخرب (بیشتر به عنوان یک اسکریپت سمت مرورگر) از طریق برنامه وب تزریق می کند و آن را به کاربر قانونی ناشناس که باعث شک نمی شود، می فرستد. کاربر قانونی نیز نمی داند که این کد بخشی از وب سایت نیست و بنابراین اسکریپت را اجرا می کند. اسکریپت می تواند به هر گونه اطلاعات حساس کاربر مانند نشانه های جلسه و کوکی ها دسترسی پیدا کند.

 

  1. Deserialization نا امن

سریال سازی در برنامه های وب معمولاً برای پایگاه داده ها، ذخیره سازی، نگهداری، سیستم های فایل، سیستم های حافظه پنهان، ارتباطات بین پردازشی، خدمات وب و غیره استفاده می شود. اگر فرایند معکوس سریال سازی در برنامه وب نا امن انجام شود یا توسط دشمن دستکاری شده باشد، برنامه در معرض این آسیب پذیری قرار می گیرد. اگر این حملات موفقیت آمیز باشند، مهاجم قادر به اجرای کد از راه دور است که یکی مخرب ترین نوع حملات است.

 

  1. خطر استفاده از مولفه های آسیب پذیر شناخته شده

امروزه بیشتر وب سایت ها به الگوهای توسعه مولفه های سنگین بستگی دارند، به این معنی که در بعضی موارد ممکن است تیم های توسعه دهنده حتی از کارکرد داخلی مولفه اطلاع نداشته باشند. این بدان معناست که اگر مولفه مورد استفاده به دلیل خراب بودن کد در معرض هک شدن باشد، همراه شدن آن با برنامه شما می تواند شما را به آسیب های جدی تهدید کند. اگر از نسخه های قدیمی مولفه ها یا وابستگی های تو در تو استفاده می کنید، این امر بسیار شایع تر خواهد شد.

 

  1. نا کافی بودن ورود و نظارت

این یکی از مهمترین دلیل وقوع حملات در بیشتر موارد است. از آنجا که اکثر سازمانها روی نظارت و ورود به سیستم موثر و یا پاسخگویی به موقع در زمان تهدید، سرمایه گذاری نمی کنند، مهاجمان می توانند به راحتی سیستم امنیتی را خراب کنند و می توانند تا روزها در آنجا فعالیت کنند. با گذشت ماه ها، بیشتر سازمان ها موفق به شناسایی نقض نمی شوند و مشخص شده است  که نزدیک به 91٪ موارد این نوع نقض ها هشدار ایجاد نمی کنند. این منجر به خسارت مالی هنگفتی به شرکت می شود زیرا هکرها دائماً داده های پنهان وب را می دزدند یا حتی ممکن است خسارات دیگری نیز به بار آورده باشند.