عنوان مقاله:
توسعه امن وب با استفاده از راهنمایی های OWASP
Secure Web development using OWASP Guidelines
سال انتشار: 2021
رشته: مهندسی کامپیوتر - مهندسی فناوری اطلاعات
گرایش: برنامه نویسی کامپیوتر - مهندسی نرم افزار - امنیت اطلاعات - طراحی و تولید نرم افزار
دانلود رایگان این مقاله:
مشاهده سایر مقالات جدید:
مقالات ISI مهندسی فناوری اطلاعات
IV. Related works
As the technology becomes better and complex with the increase in vulnerability for a cyber threat. Different testing techniques help to find a loophole in the security. Following a standard procedure and defined policy can reduce these loopholes. To mitigate the threats, it is necessary to install security patches. [1] Patel. K in his paper includes a survey on the current vulnerabilities and the detection of those vulnerabilities. Network threats often come from multiple sources and affect a variety of domains. Collaborative sharing and analysis of Cyber Threat Information (CTI) can greatly improve the prediction and prevention of cyber-attacks. [2] However, CTI data containing sensitive and confidential information can cause privacy exposure and disclos ure of security risks, which will deter organizations from sharing their CTI data. This concern can be handled by creating API Gateway, which provides a bridge between end-users and their data sources. Through this, users can select which data is sharable with privacy-preserving means Cross-site scripting (XSS) refers to an unintentional client-side code injection attack. It makes use of un-validated or un-encoded user input and returns the malicious output. [3] In type 1 XSS, malicious code or script is embedded in a Web request. It is usually done through an email that encourages the user to click on a provided malicious link or a website with a malicious link. This can be greatly avoided by not following the malicious links. This vulnerability is one of the most widespread security problems for web applications. Various approaches to defending against attacks that use XSS vulnerabilities are available today but no single approach solves all the loopholes. [4] An efficient approach discussed by I. Yusof and A. K. Pathan to prevent persistent XSS attacks is by applying the pattern filtering method.
VI. Architecture
A. Insecure Web Application (Environment and Detection)- The initial environment for the research was taken to be an insecure web application having no layer of security. This app was tested for OWASP vulnerabilities. Following are the conclusions drawn from the testing – 1) SQL Injection – On entering the SQL commands to drop the user’s table in the login form, the table was dropped from the database. This occurred because the form was not able to process whether this was a normal insertion in the table or a command to do some manipulation. 2) Brute Force Login Attack – A vulnerability testing tool such as Burp-Suit can implement multiple login attempts by using techniques such as permutation to predict the correct login credentials. The tool checks for the “route” to which the individual credentials lead to. The credentials leading to pages such as “Home”, etc. are the correct login credentials and could be used to access the personal information of the user. On implementing this, the tool did give the credentials that were leading to the “Home” route. Also, a higher value was given for those credentials whose password might be right. 3) Password Sniffing – A password that is not encrypted before storing has a high chance of getting sniffed and used by hackers. The hackers can use SQL injection methods to read the passwords of users. The website did not store the passwords in the encrypted format in the database and could be easily used by the hackers to extract sensitive information related to the users.
(دقت کنید که این بخش از متن، با استفاده از گوگل ترنسلیت ترجمه شده و توسط مترجمین سایت ای ترجمه، ترجمه نشده است و صرفا جهت آشنایی شما با متن میباشد.)
IV. کارهای مرتبط
همانطور که فناوری با افزایش آسیب پذیری در برابر یک تهدید سایبری بهتر و پیچیده می شود. تکنیکهای مختلف تست به پیدا کردن شکاف در امنیت کمک میکنند. پیروی از یک رویه استاندارد و خط مشی تعریف شده می تواند این حفره ها را کاهش دهد. برای کاهش تهدیدات، نصب وصله های امنیتی ضروری است. [1] پاتل. K در مقاله خود شامل بررسی آسیب پذیری های فعلی و تشخیص آن آسیب پذیری ها است. تهدیدهای شبکه اغلب از چندین منبع می آیند و دامنه های مختلفی را تحت تأثیر قرار می دهند. به اشتراک گذاری و تجزیه و تحلیل مشترک اطلاعات تهدیدات سایبری (CTI) می تواند پیش بینی و پیشگیری از حملات سایبری را تا حد زیادی بهبود بخشد. [2] با این حال، دادههای CTI حاوی اطلاعات حساس و محرمانه میتوانند باعث قرار گرفتن در معرض حریم خصوصی و افشای خطرات امنیتی شوند که سازمانها را از اشتراکگذاری دادههای CTI خود باز میدارد. این نگرانی را می توان با ایجاد API Gateway که پلی بین کاربران نهایی و منابع داده آنها ایجاد می کند، برطرف کرد. از این طریق، کاربران میتوانند انتخاب کنند کدام داده با حفظ حریم خصوصی قابل اشتراکگذاری باشد، اسکریپتنویسی متقابل سایت (XSS) به حمله تزریق کد ناخواسته در سمت مشتری اشاره دارد. از ورودی کاربر تایید نشده یا رمزگذاری نشده استفاده می کند و خروجی مخرب را برمی گرداند. [3] در نوع 1 XSS، کد یا اسکریپت مخرب در یک درخواست وب جاسازی شده است. معمولاً از طریق ایمیلی انجام می شود که کاربر را تشویق می کند تا روی پیوند مخرب ارائه شده یا وب سایتی با پیوند مخرب کلیک کند. با دنبال نکردن پیوندهای مخرب می توان تا حد زیادی از این امر جلوگیری کرد. این آسیب پذیری یکی از رایج ترین مشکلات امنیتی برای برنامه های کاربردی وب است. روشهای مختلفی برای دفاع در برابر حملاتی که از آسیبپذیریهای XSS استفاده میکنند، امروزه در دسترس هستند، اما هیچ رویکرد واحدی تمام نقاط ضعف را حل نمیکند. [4] یک رویکرد کارآمد مورد بحث توسط I. Yusof و A. K. Pathan برای جلوگیری از حملات مداوم XSS، استفاده از روش فیلتر الگو است.
VI. معماری
الف. برنامه وب ناامن (محیط و تشخیص) - محیط اولیه برای تحقیق به عنوان یک برنامه وب ناامن بدون لایه امنیتی در نظر گرفته شد. این برنامه برای آسیب پذیری های OWASP آزمایش شده است. در زیر نتایج حاصل از آزمایش آمده است - 1) تزریق SQL - با وارد کردن دستورات SQL برای حذف جدول کاربر در فرم ورود، جدول از پایگاه داده حذف شد. این به این دلیل رخ داد که فرم قادر به پردازش این نبود که آیا این یک درج معمولی در جدول است یا دستوری برای انجام برخی دستکاری ها. 2) حمله ورود به سیستم Brute Force – یک ابزار تست آسیبپذیری مانند Burp-Suit میتواند چندین تلاش برای ورود به سیستم را با استفاده از تکنیکهایی مانند جایگشت برای پیشبینی اعتبار ورود صحیح اجرا کند. این ابزار "مسیری" را که اعتبار فردی به آن منتهی می شود، بررسی می کند. اعتبارنامه های منتهی به صفحاتی مانند "صفحه اصلی" و غیره، اعتبار ورود صحیح هستند و می توانند برای دسترسی به اطلاعات شخصی کاربر استفاده شوند. با اجرای این، ابزار اعتبارنامه هایی را که به مسیر "خانه" منتهی می شد را ارائه کرد. همچنین، مقدار بالاتری برای آن دسته از اعتبارنامه هایی که ممکن است رمز عبور آنها درست باشد، داده شده است. 3) رمز عبور - رمز عبوری که قبل از ذخیره سازی رمزگذاری نشده باشد، شانس بالایی برای شناسایی و استفاده توسط هکرها دارد. هکرها می توانند از روش های تزریق SQL برای خواندن رمز عبور کاربران استفاده کنند. این وب سایت رمزهای عبور را در قالب رمزگذاری شده در پایگاه داده ذخیره نمی کند و می تواند به راحتی توسط هکرها برای استخراج اطلاعات حساس مربوط به کاربران استفاده شود.