تحقیق اصول امنیت برنامه وب

لینک دریافت خرید پایین توضیحات

دسته بندی : وورد

نوع فایل :  .doc ( قابل ویرایش اماده پرینت )

تعداد : 126 صفحه

---

 قسمتی متن : 

اصول امنیت برنامه وب ( بخش اول )اینترنت دنبال وب ، دنیای نرم افزار دستخوش تحولات فراوانی نموده . ظهور نسل جدیدی برنامه کامپیوتری موسوم "برنامه وب " جمله تحولات عظیم . پس ارائه سرویس وب سال 1991، وب سایت متعددی ایجاد گردید .  اینگونه سایت منظور ارائه اطلاعات مخاطبان خود صفحات وب ایستا استفاده کردند . چنین وب سایت ، امکان تعامل کاربر برنامه وجود نداشت .با توجه که رویکرد فوق ماهیت روح  نرم افزار چندان سازگار نمی باشد ، تلاش گسترده جهت ایجاد محتویات پویا انجام متعاقب ، فن اوری متعددی ایجاد گردید . عنوان نمونه ، پیاده سازی فن اوری CGI ( برگرفته Common Gateway Interface  ) ، امکان استفاده برنامه خارجی منظور تولید محتویات پویا فراهم گردید . بدین ترتیب ، کاربران قادر درج اطلاعات ارسال انها یک برنامه خارجی اسکریپت سمت سرویس دهنده شدند . برنامه موجود سمت سرویس دهنده پس دریافت اطلاعات انجام پردازش تعریف شده ، نتایج تولید انها کاربر ارسال نمود .رویکرد فوق ،‌ عنوان نقطه عطفی برنامه وب تلقی گردد چراکه اولین مرتبه امکان تولید محتویات پویا وب سایت فراهم گردید . زمان تاکنون فن اوری متعددی منظور تولید برنامه وب ایجاد شده .  PHP ASP.NET نمونه هائی زمینه باشند .  صرفنظر که کدام فن اوری منظور ایجاد برنامه وب استفاده گردد ، ایمن سازی انان جمله اهداف مشترک تمامی پیاده کنندگان .

امنیت برنامه های‌ وب برداشت اولیه زمانی که رابطه امنیت برنامه وب سخن میان اید ، تهاجم علیه یک سایت ،‌ سرقت کارت اعتباری ، بمباران وب سایت جهت مستاصل کردن انان منظور ارائه خدمات سرویس تعریف شده ، ویروس ، تروجان ، کرم ... ذهن تداعی گردد . صرفنظر نوع برداشت ما رابطه موارد فوق  ،‌ بایست بپذیریم که  تهدیدات امنیتی متعددی متوجه برنامه وب توجه ماهیت انان باشد . سازمان موسساتی که اینگونه برنامه استفاده نمایند صدد طراحی پیاده سازی انان باشند ، بایست نکته مهم توجه نمایند که ایمن سازی یک برنامه وب ، محدود بکارگیری یک فن اوری خاص نبوده فرایندی مستمر که عوامل انسانی غیرانسانی متعددی توانند تاثیرگذار باشند .  

امنیت برنامه وب بایست توجه نوع معماری رفتار انان بررسی نمود .

برداشت غیرواقعی امنیت برنامه وب متاسفانه دلیل عدم شناخت لازم خصوص ماهیت برنامه وب یک طرف سوی دیگر عدم اشنائی لازم مفاهیم امنیت  ،‌ شاهد برداشت نادرست خصوص امنیت برنامه وب باشیم . اجازه دهید چند نمونه خصوص اشاره نمائیم :

ما ایمن هستیم چون یک فایروال استفاده نمائیم . تصور کاملا" اشتباه نوع تهدید بستگی خواهد داشت . مثلا" یک فایروال قادر تشخیص داده ورودی مخرب جهت ارسال یک برنامه وب نمی باشد .  فایروال دارای عملکردی قابل قبول رابطه اعمال محدودیت پورت باشند  برخی انان توانند همزمان بررسی اطلاعات مبادله شده ،‌ امکانات برجسته حفاظتی ارائه نمایند . فایروال جزء لاینفک یک فریمورک امنیتی باشند ولی نمی توان انان عنوان یک راهکار جامع منظور ایجاد برپائی یک محیط ایمن نظر گرفت .

ما ایمن هستیم چون از  SSL ( برگرفته ازSecure Sokets Layer ) استفاده نمائیم .  SSL رمزنگاری ترافیک موجود شبکه یک گزینه ایده ال ولی قادر بررسی داده ورودی یک برنامه نمی باشد .

ما ایمن هستیم چون سیستم عاملی استفاده نمائیم که نسبت سایر سیستم عامل دارای امنیت بیشتری . استدلال فوق فرض درست بودن اصل قضیه ، نادرست غیرمنطقی چراکه امنیت یک فرایند نه یک محصول . بنابراین بکارگیری یک محصول خاص ( عنوان نمونه یک سیستم عامل ) نمی توان ادعا داشت که ما یک محیط ایمن منظور ایجاد برنامه وب دست یافته ایم .

 با رد امنیت یک سیستم عامل نمی توان امنیت یک سیستم عامل دیگر تائید نمود. ( من خوبم چون شما بد هستید ! )

امنیت چیست ؟ اولین رسالت امنیت ، حفاظت سرمایه یک سازمان که ممکن شامل ایتم ملموسی نظیر یک وب بانک اطلاعاتی مشتریان ایتم غیرملموسی نظیر شهرت اعتبار یک سازمان باشد. امنیت یک مسیر نه یک مقصد موازات تجزیه تحلیل زیرساخت برنامه موجود ، بایست اقدام شناسائی تهدیدات خطرات ناشی انان نمود . واقع ، امنیت مدیریت خطرات پیاده سازی یک سیستم منظور پاسخگوئی مقابله تهدیدات اشاره داشته ارتباط عتاصر کلیدی زیر :

Authentication ،  فرایندی که کمک صورت منحصربفرد سرویس گیرندگان یک برنامه شناسائی گردند . کاربران ،  سرویس ، فرایندها کامپیوترها ،  نمونه سرویس گیرندگان یک برنامه باشند . واقع ، authentication هویت استفاده کنندگان یک برنامه بررسی نماید .

Authorization ، فرایندی که کمک دستیابی سرویس گیرندگان تائید شده منابع عملیاتی که قصد انجام دارند بررسی مجوز لازم صادر گردد. فایل ، بانک اطلاعاتی ، جداول ، سطرها ، منابع موجود سطح سیستم نظیر کلیدهای ریجتسری داده پیکربندی ، نمونه منابع درخواست سرویس گیرندگان باشند . انجام تراکنش خاص نظیر خرید یک محصول ، واریز انتقال پول یک حساب حساب دیگر افزایش اعتبار یک کارت اعتباری جمله عملیاتی باشند که بایست مجوز استفاده انان سرویس گیرندگان صادر گردد . واقع ،