چكيده:
ده حفره امنيتي خطرساز سال 2007 که توسط OWASP اعلام شده، کدامها هستند؟ بيشترين خطرات روي وب از جانب چه حملههايي صورت ميگيرد. در اين مقاله فهرستي از برترينهاي امسال همراه با شرح مختصري از هر يک عرضه شده است؛ البته، اگر بتوان در اين مورد “برترين” (در معناي مثبت آن) را به کار برد.
كليد واژه:
امينت، حمله، وب، اينترنت، حفره امنيتي، آسيبپذيري
Security, Attack, Web, Internet, Security hole, vulnerability
پروژه آزاد امنيت برنامههاي کاربردي وب [1] ، فهرست خطرسازترين حفرههاي امنيتي برنامههاي کاربردي تحت وب در سال 2007 را منتشر کرد. اسکريپتنويسي بين سايتي و تزريق کد از جمله مخربترين حملات امسال شناخته شدهاند.
اين پروژه هدف اصلي ارايه اين فهرست را آموزش و آگاهندن برنامهنويسان، طراحان، معماران نرمافزار و سازمانها در مورد اين آسيبپذيريها و حملات و همچنين عواقب ناشي از آنها ميداند. به عقيده مسئولين اين انجمن، ايمنسازي برنامه کاربردي کاري نيست که يک بار و براي هميشه انجام شود. فهرست ارايه شده احتمالا در سال 2008 تغيير خواهد کرد و برنامههاي کاربردي وب نيز همگام با آن بايد تغيير کند و نسبت به خطرات جديد ايمن شود.
- اسکريپتنويسي بينسايتي
A1 – Cross Site Scripting (XSS)
اين نقيصه زماني پيش ميآيد که برنامه کاربردي دادههاي گرفته شده از کاربر را بدون ارزيابي يا رمزگذاري، به مرورگر ارسال ميکند و بدين ترتيب به مهاجمين اجازه ميدهد، اسکريپتي را روي مرورگر کاربر (قرباني) اجرا کنند. در اين حالت، مهاجم ميتواند جلسه (session) را از کاربرد بدزدد، وبسايت نمايش داده شده را از ريخت بياندازد و حتي احتمالا ويروس يا کرمي را نيز فعال سازد.
- تزريق کد
تزريق کد (و اختصاصا تزريق SQL)، در برنامههاي وب به شدت رايج است. اين گونه حمله زماني اتفاق ميافتد که دادههاي دريافتي از کاربر، به عنوان يک دستور يا پرسوجو (query)، به يک پردازشگر مياني فرستاده ميشود. در اين بين، دادههاي دستکاري شده مهاجم به جاي داده اصلي به پردازشگر ارسال ميگردد و باعث ميگردد که دستوري غير از آن چه که مد نظر بوده است اجرا شود. فايلهاي اجرايي مخرب ميتوانند PHP، XML و هر چارچوب ديگري را که نام فايل بپذيرد، مورد يورش قرار دهد.
- اجرا فايل مخرب
کدي که در برابر ارجاع به فايل دوردست [2] آسيبپذير است، به مهاجمين امکان اجراي فايلها يا دادههاي مخرب را ميدهد، که ميتواند به آثار مخربي مانند لو رفتن کل سرويسدهنده منجر شود.
- ارجاع مستقيم غيرايمن به شي
A4 – Insecure Direct Object Reference
ارجاع مستقيم زماني انجام ميشود که برنامهنويس، مستقيما در URL و به صورت يک پارامتر، به ساختار داخلي اشيا (مانند فايل، پوشه، رکورد پايگاه داده، …) اشاره ميکند. مهاجمين ميتوانند اين ارجاعات را دستکاري کنند و به مقاصدي غير از آن چه که مد نظر برنامه بوده است، دست يابند.
- جعل درخواست بينسايتي
A5 – Cross Site Request Forgery (CSRF)
اين نوع تهاجم، از جلسه معتبر يک کاربر وارد شده (logged in) ، براي حمله به يک سرويسدهنده آسيبپذير استفاده ميکند؛ بدين ترتيب که از مرورگر کاربر براي اجراي اعمال مخرب بهره ميگيرد.
- خطاگرداني نامناسب و نشت اطلاعات
A6 – Information Leakage and Improper Error Handling
برنامههاي کاربردي، ممکن است به طور ناخواسته، اطلاعاتي در مورد پيکربندي، تنظيمات يا نحوه عملکرد داخلي خود را افشا و يا محرمانگي اطلاعات را نقض کنند. مهاجمين با استفاده از اين ضعف، ميتوانند اطلاعات را به سرقت ببرند و يا حتي از آنها براي تهاجمات مهلکتر بهره بگيرند.
- ازکار افتادن اعتباردهي و مديريت جلسه
A7 – Broken Authentication and Session Management
اعتبارات (credentials) حسابهاي کاربري و توکنهاي جلسه، عموما به خوبي محافظت نميشوند. بدين ترتيب، مهاجمين ميتوانند با استخراج کلمه عبور، کليد يا توکن جلسه، هويت کاربر دارنده آن را تشخيص دهند و از آن سوءاستفاده کنند.
- انباره رمزشده ناامن
A8 – Insecure Cryptographic Storage
برنامههاي کاربردي به ندرت از توابع رمزگذاري براي حفظ کلمات عبور و اعتبار کاربران استفاده ميکنند. مهاجمين از اين نقيصه براي ربودن هويت و جرايم ديگر، از جمله جعل کارت اعتباري، بهره ميبرند.
- ارتباطات ناامن
بسياري از برنامههاي کاربردي در ايمن کردن رسانههاي ارتباطي خود قصور ميکنند. اين امر مهاجمين را در سرقت اطلاعات از طريق “گوش خواباندن” ياري ميکند.
- عدم محدوديت در دسترسي به URL
A10 – Failure to Restrict URL Access
برنامههاي کاربردي، براي غيرفعال کردن يک امکان، عموما از حذف آن، از بخش نمايش داده شده صفحه وب استفاده ميکنند. مهاجمين ميتوانند با دسترسي مستقيم به URL هاي غيرمجاز، اعمال غيرمجاز انجام دهند.
[1] ـ Open Web Application Security Project يا OWASP
[2] remote file inclusion – RFI
عضویت در فید وبلاگ
نظرات دوستان