امنيت برنامه وب چيست؟
بر گرفته از وب سايت ويكيپديا
امنيت برنامه وب چيست؟امنيت برنامه وبامنيت برنامه وب جزء اصلي هر مشاغل مبتني بر وب است. ماهيت جهاني اينترنت ، خصوصيات وب را در معرض حمله از مكانهاي مختلف و سطوح مختلف مقياس و پيچيدگي قرار مي دهد. امنيت برنامه وب به طور خاص با امنيت اطراف وب سايت ها ، برنامه هاي وب و سرويس هاي وب مانند API سروكار دارد.
اپليكيشن فروشگاهي
آسيب پذيري هاي امنيتي برنامه مشترك وب چيست؟حملات عليه برنامه هاي وب از دستكاري پايگاه داده هدفمند گرفته تا اختلال در شبكه در مقياس بزرگ متغير است. بياييد برخي از روشهاي متداول حمله يا "بردارها" را كه معمولاً مورد سوء استفاده قرار مي گيرند ، بررسي كنيم.
طراحي اپليكيشن فروشگاهي
برنامه نويسي cross site (XSS) - XSS آسيب پذيري است كه به يك مهاجم اجازه مي دهد تا اسكريپت هاي سمت مشتري را به يك صفحه وب تزريق كند تا به اطلاعات مهم مستقيم دسترسي پيدا كند ، كاربر را جعل كند يا كاربر را فاش كند تا اطلاعات مهم را فاش كند.تزريق SQL (SQi) - SQi روشي است كه از طريق آن يك مهاجم از آسيب پذيري ها در نحوه اجراي يك پايگاه داده سؤالات جستجو را سوء استفاده مي كند. مهاجمان از SQi براي دستيابي به اطلاعات غيرمجاز ، اصلاح يا ايجاد مجوزهاي كاربر جديد استفاده مي كنند ، يا داده هاي حساس را دستكاري يا نابود مي كنند.انكار سرويس (DoS) و حملات انكار سرويس توزيع شده (DDoS) - از طريق انواع بردارها ،
طراحي اپليكيشن فروشگاهي در مشهد
مهاجمان قادر به بارگيري سرور هدفمند يا زيرساختهاي اطراف آن با انواع مختلف ترافيك حمله هستند. هنگامي كه يك سرور ديگر قادر به پردازش به طور مؤثر درخواست هاي دريافتي نيست ، شروع به رفتار بي رحمانه مي كند و درنهايت سرويس به درخواست هاي دريافتي از كاربران مشروع را رد مي كند.فساد حافظه - فساد حافظه هنگامي اتفاق مي افتد كه يك مكان در حافظه تغيير ناخواسته ايجاد مي كند و در نتيجه امكان بروز رفتار غير منتظره در نرم افزار وجود دارد. بازيگران بد تلاش خواهند كرد تا از طريق فاش كردن حافظه از طريق سوء استفاده از قبيل تزريق كد يا حملات سرريز بافر ، مفسده را از بين ببرند.سرريز Buffer - سرريز بافر نوعي ناهنجاري است كه هنگام نگارش نرم افزار به يك فضاي مشخص در حافظه معروف به بافر رخ مي دهد. سرريز ظرفيت بافر منجر به رونويسي مكان هاي حافظه مجاور با داده مي شود. اين رفتار مي تواند براي تزريق كد مخرب به حافظه مورد سوء استفاده قرار بگيرد ، به طور بالقوه آسيب پذيري در دستگاه هدف ايجاد مي كند.جعل درخواست متقابل سايت (CSRF) - جعل درخواست سايت متقابل شامل فريب قرباني در درخواستي است كه از احراز هويت يا مجوز آنها استفاده مي كند. با استفاده از امتيازات حساب كاربر ، يك مهاجم مي تواند درخواستي را براي كاربر ارسال كند. هنگامي كه حساب كاربر به خطر بيفتد ، مهاجم مي تواند اطلاعات مهم را از بين ببرد ، ويران يا ويرايش كند. حسابهاي بسيار ممتاز مانند سرپرستان يا مديران معمولاً هدفمند هستند.نقض داده - متفاوت از بردارهاي حمله ويژه ، نقض داده يك اصطلاح كلي است كه به انتشار اطلاعات حساس يا محرمانه اشاره دارد و مي تواند از طريق اقدامات مخرب يا به اشتباه انجام شود. دامنه مواردي كه يك نقض داده در نظر گرفته مي شود بسيار گسترده است و ممكن است شامل چند پرونده بسيار با ارزش در تمام طول راه باشد تا ميليون ها حساب كاربري در معرض آن قرار بگيرد.بهترين روشها براي كاهش آسيب پذيري چيست؟اقدامات مهم در محافظت از برنامه هاي وب از بهره برداري شامل استفاده از رمزگذاري به روز ، نياز به احراز هويت مناسب ، وصله مداوم آسيب پذيري هاي كشف شده و داشتن بهداشت مناسب براي توسعه نرم افزار است. واقعيت اين است كه مهاجمان باهوش حتي در يك محيط امنيتي نسبتاً قوي قادر به يافتن آسيب پذيري هستند و يك استراتژي امنيتي جامع توصيه مي شود.
امنيت برنامه وب با محافظت در برابر حملات DDoS ، Layer Application و DNS مي تواند بهبود يابد:
WAF - در برابر حملات لايه برنامه محافظت مي شودفايروال يا WAF برنامه وب به محافظت از يك برنامه وب در برابر ترافيك HTTP مخرب كمك مي كند. WAF با قرار دادن يك مانع تصفيه بين سرور هدفمند و مهاجم ، مي تواند از حملات مانند جعل سايت متقاطع ، اسكريپت سازي سايت متقاطع و تزريق SQL محافظت كند. درباره WAF Cloudflare اطلاعات بيشتري كسب كنيد.
DDOS چگونه يك WAF كار مي كندكاهش DDoSروشي كه معمولاً براي مختل كردن يك برنامه وب استفاده مي شود ، استفاده از حملات انكار سرويس يا توزيع DDoS است. Cloudflare حملات DDoS را از طريق انواع استراتژي ها از جمله رها كردن ترافيك حمله حجمي در لبه ما ، و استفاده از شبكه Anycast ما براي رديابي صحيح درخواست هاي قانوني بدون از دست دادن سرويس ، كاهش مي دهد. بياموزيد چگونه Cloudflare مي تواند به شما در محافظت از يك ويژگي وب در مقابل حمله DDoS كمك كند.
DNS Amplification DDoS انيميشن حملهDNS Security - محافظت از DNSSECسيستم نام دامنه يا DNS دفترچه تلفن اينترنت است و روشي را نشان مي دهد كه يك ابزار اينترنتي مانند مرورگر وب سرور صحيح را جستجو مي كند. بازيگران بد تلاش خواهند كرد تا اين روند درخواست DNS را از طريق مسموميت با حافظه نهان DNS ، حملات انسان در وسط و ساير روشهاي مداخله در چرخه چرخه جستجوي DNS ربودن كنند. اگر DNS دفترچه تلفن اينترنت است ، سپس DNSSEC شناسه تماس گيرنده غير قابل استفاده است. كاوش كنيد كه چگونه مي توانيد از DN محافظت كنيد
شركت راياپارس عرضه كننده انواع اپليكيشن هاي اندرويد در ايران
برچسب: ،