ارزیابی امنیتی و امن سازی برنامه‌های کاربردی تحت وب

برنامه‌های‌کاربردی‌تحت‌وب، برنامه‌هایی هستند که از طریق یک مرورگر وب توسط کاربران قابل دسترسی می‌باشند. وجود آسیب‌پذیری درون یک برنامه‌‌کاربردی‌تحت‌وب می‌تواند خسارات قابل توجه‌ای چه از لحاظ شهرت و چه از لحاظ مالی به صاحبان آن وارد می‌کند. بنابراین برقراری امنیت آن‌ها مهم است و باید در همه مراحل، از توسعه تا استقرار در نظر گرفته شود.

متداول ترین برنامه‌های‌کاربردی‌تحت‌وب مورد ارزیابی در شرکت «فناوری اطلاعات هوشمند عصر نوین» ارزیابی می‌شود عبارتند از:
• برنامه‌های‌کاربردی‌تحت‌وب شرکتی و معامله ای
• پورتال‌های مشتری، کاربر و تأمین کننده
• نرم افزار مدیریت شرکت و اینترانت
• رابط‌های برنامه نویسی برنامه (API)
ارزیابی نفوذ برنامه‌های ‌کاربردی‌ تحت‌ وب یعنی شبیه‌سازی حملات در دنیای واقعی که منجر به پیدا شدن آسیب‌پذیری‌ها می‌گردد. با توجه به الزامات و اولویت‌های کارفرما سه نوع ارزیابی نفوذ می‌توان انجام داد:

• رویکرد ارزیابی امنیتی جعبه سیاه

در این رویکرد سناریوی حمله واقعی شبیه‌سازی می‌شود یعنی فقط اطلاعات عمومی از برنامه‌کاربردی‌تحت‌وب در دست است. ارزیابی‌های امنیتی جعبه سیاه معمولاً توسط مشتریانی که مایلند بدانند آیا تهدید مخربی وجود دارد که هکرها از بیرون به برنامه‌کاربردی‌تحت‌وبشان دسترسی یابند، استفاده می‌شود.

• رویکرد ارزیابی امنیتی جعبه سفید

در این رویکرد، قبل از شروع ارزیابی امنیتی، هم کد منبع و هم حساب‌های کاربری در دسترس می باشد. در این نوع ارزیابی امنیتی فرض می‌شود که هکر به برنامه دسترسی دارد و برای درک آسیب‌های احتمالی در این سطح دسترسی، طراحی شده است.

• رویکرد ارزیابی امنیتی جعبه خاکستری

این رویکرد ارجح شرکت‌ها در مورد ارزیابی امنیتی نفوذ برنامه‌های‌کاربردی‌تحت‌وب است، زیرا از نظر نتایج، بهترین نتیجه ارزیابی امنیتی را ارائه می‌دهد. این یک رویکرد ترکیبی (ترکیب هر دو عناصر ارزیابی امنیتی جعبه سفید و جعبه سیاه) است و یک نمای امنیتی از برنامه را از خارج و داخل ارائه می‌دهد.

فرآیند ارزیابی امنیتی برنامه‌های کاربردی تحت وب

هر ارزیابی امنیتی نفوذ برنامه‌های‌کاربردی‌تحت‌وب یک فرآیند دقیق را طی می کند تا اطمینان حاصل شود که بهترین نتایج ممکن را به دست می‌آورید. در زیر مراحل اصلی ارزیابی امنیتی ما را بیان در زیر مراحل اصلی ارزیابی امنیتی ما را بیان می‌کنیم:

 

•  

  شناخت کلی

•  

  شناسایی کلی زیرساخت های مورد استفاده

•  

  شناسایی کلی معماری و اجزا مورد استفاده

•  

  ارزیابی امنیتی برنامه‌های‌کاربردی‌تحت‌وب

•  

  تحلیل و ارزیابی امنیتی

•  

  شناسایی دقیق سیستم

•  

  استخراج تهدیدات متصور بر اساس کنترل های OWASP V4.2 (متناسب با سامانه) و نوع Business هر سامانه، فرآیندهای کاری و افراد استفاده کننده از سامانه (Technical، People و Process)

•  

  صحت سنجی آسیب پذیری‌های کشف شده و شناسایی سایر موارد مشابه و در نهایت تعیین فراوانی آن

•  

  طبقه‌بندی آسیب‌پذیری‌های بر اساس نوع و همچنین سیستم ارزش‌گذاری CVSS V3

•  

  تعیین اقدامات پیشگیرانه و بهینه‌سازی امنیتی سیستم

•  

  جمع‌بندی و تهیه گزارش

روال ارزیابی امنیتی

در روال ارزیابی امنیتی، آخرین ده آسیب‌پذیری برتر OWASP به عنوان حداقل موارد ضروری و مهم در نظر گرفته شده است. علاوه بر این، کلیه اصول و قواعد ارزیابی امنیتی SANS مورد بررسی قرار گرفته‌اند. نکته مهم‌تر آن‌که علاوه‌بر موارد ذکر شده، بهترین تجربیات، میزان حساسیت و نوع کسب و کار مربوط به این نوع سامانه، در ارائه مسائل در قالب آسیب‌پذیری، توصیه‌های امنیتی و پیشنهادات امنیتی لحاظ شده‌اند. ده آسیب‌پذیری برتر OWASP مطابق با آخرین نسخه به شرح ذیل می‌باشند:

• 
  

  
  A01:2021-Broken Access Control

• 
  

  
  A02:2021-Cryptographic Failures

• 
  

  
  A03:2021 – Injection

• 
  

  
  A04:2021-Insecure Design

• 
  

  
  A05:2021-Security Misconfiguration

• 
  

  
  A06:2021-Vulnerable and Outdated Components

• 
  

  
  A07:2021-Identification and Authentication Failures

• 
  

  
  A08:2021-Software and Data Integrity Failures

• 
  

  
  A09:2021-Security Logging and Monitoring Failures

• 
  

  
  A10:2021-Server-Side Request Forgery