10 مشکل امنیتی مهم
سال
27
ژانویه 2004 – بهمن 1382
OWASP ( Open Web Application
Security Protocol )همانند هر ساله ،
لیستی از 10 مشکل امنیتی مهم سال را منتشر کرده است. اگر نگاهی
به لیست سال گذشته بیاندازیم متوجه
می شویم که متاسفانه
شرکتها هنوز مساله امنیت برنامه های تحت وب را جدی نگرفته اند
چون بسیاری از موارد در این لیست مشابه لیست سال گذشته است. مدیر
OWASP
اظهار امیدواری کرده است که مدیران امنیتی شرکتها این لست را
دریافت کنند و در اختیار تیم های تولیدکننده نرم افزار در شرکت
خود قرار دهند.
لیست منتشره برای
امسال به قرار زیر است :
1-
ورودی
غیرمعتبر : مهمترین مشکل امنیتی امسال همانند سال گذشته است چون
اعتبار اطلاعات حاصل از درخواستهای تحت وب ،پیش از استفاده توسط
یک برنامه کاربردی تحت وب ، کنترل نمی شود. برای مثال بعضی خرده
فروشها و فروشندگان جزء از کارتهایی برای خرید و فروش استفاده می
کنند که قابل سوء استفاده هستند و لذا افراد ناسالم هر چه
بخواهند پرداخت می کنند.
2-
کنترل
دسترسی ناقص : این مشکل از آنجا ناشی می شود که بعضی محدودیتهایی
که سیستم برای اعمال کاربران در نظر می گیرد به خوبی اجرا نمی
شود و جوانب مختلف در نظر گرفته نشده است. سیستم از آنجایی که
نمی تواند یک کاربر معتبر را تشخیص دهد لذا به وی اجازه ورود می
دهد و به وی اعتماد می کند.
3-
نقص در
مدیریت تایید هویت: این مشکل به دو دلیل ایجاد می شود. اول این
که بعضی برنامه نویسان برنامه هایی با تایید هویت ضعیف تولید می
کنند تا سیستهای ساده و پایه ای مانند
PDA ها
بتوانند login
کنند. اما این امر باعث می شود که هکرها بتوانند نشست های (Session)
کاربری جدیدی ایجاد کنند. همچنین انجام عملیات
Log off
از برنامه های مبتنی بر وب همیشه ساده نیست. برای مثال فردی که
از یک کیوسک عمومی که به امنیت توجه دارد ،
login
می کند ، اختیارات کمتری باید داشته باشد و مثلا بازآغازی سیستم
غیرممکن خواهد بود.
4-
نقص
در cross site scripting
: این نقص در حال مرتفع شدن است چون مایکروسافت در حال
مکانیزمهایی برای کنترل در IE
و محیط .NET
است. اما هنوز هم حدود 30% از مشکلات منشر شده ناشی از این نقص
است. بانکهای آنلاین از جمله سایتهایی هستند که به شدت با این
مشکلات دست به گریبان هستند.
5-
سرریز
بافر : شاید بتوان گفت که سرریز بافر نیز روزهای پایانی عمر خود
را می گذراند چون زبانهای جدید برنامه نویسی از مایکروسافت و
جاوا تقریبا آن را حذف کرده اند. اما مشکل از میلیون ها خط کد و
برنامه ای است که میراث نسل قبلی زبانها برنامه نویسی است.
6-
نقصهای
تزریقی : این نوع از مشکلات زمانی ایجاد می شود که هکر بتواند یک
دستور را برای یک برنامه تحت وب بفرستد و آن دستوربر روی
کامپیوتر برنامه اجرا شود. برنامه ای که هنگام دسترسی به یک
سیستم خارجی یا سیستم عامل داخلی تعدادی پارامتر پاس می کند می
تواند برای انجام این نوع حملات هدف خوبی باشد.
7-
مدیریت
نامناسب خطاها : نمونه این نوع از مشکلات زمانی است که یک سایت
به فردی اطلاع می دهد که چه کسی درحال
login کردن
است به خصوص زمانی که نام کاربری و کلمه عبور صحیح است.
8-
ذخیره
سازی نامطمئن : علیرغم وجود تعداد زیادی محصولات خوب و رایگان
برای رمزنگاری، هنوز هم بعضی برنامه نویسها ترجیح می دهند
الگوریتمهای خود را به کار بگیرند.
9-
Denial of Service
: این نوع از حملات هم از انواع قدیمی هستند ، تنها تفاوت این
است که به جای سیستم عامل ، برنامه کاربردی مورد حمله قرار می
گیرد. پیش بینی شده است که امسال حملات بسیاری از این نوع بر روی
برنامه های کاربردی انجام خواهد شد.
10-
مدیریت
پیکربندی نامطمئن : منظور توابع مدیریتی است که می توان از طریق
وب به آنها دسترسی داشت ، در حالی که این کار از نظر امنیتی صحیح
نیست.
|