در سال‌های اخیر فناوری‌های وب پیشرفت‌های چشمگیری کرده‌اند و برنامه‌های کاربردی وب‌بنیان به ابزار روزمره کاربران تبدیل شده‌اند. این برنامه‌ها احتمالا متداول‌ترین خدماتی هستند که در معرض اینترنت قرار دارند. اگر نگاهی به چرخه توسعه نرم‌افزارها بیندازیم متوجه می‌شویم که امنیت، حلقه گمشده این زنجیره است. بسیاری از توسعه‌دهندگان نرم‌افزارها معمولا الزامات امنیتی را در چرخه توسعه محصول در نظر نمی‌گیرند. حتی با وجود رعایت تمام استانداردهای امنیتی، بروز باگ یا آسیب‌پذیری در برنامه‌ها تقریبا اجتناب‌ناپذیر است، چراکه برخی از آسیب‌پذیری‌ها حتی با تجزیه و تحلیل کد هم قابل شناسایی نیستند. از این رو، تداوم نظارت و کاهش نقایص امنیتی پس از انتشار یک برنامه، از اهمیت بسیار بالایی برخوردار است. از طرفی، هرچند فایروال‌ها و سایر تجهیزات دفاعی سنتی برای تامین امنیت شبکه ضروری هستند، اما برای شناسایی و جلوگیری از حملات برنامه‌های کاربردی وب تقریبا بلا استفاده هستند.

پس چاره کار چیست؟ با وجود اینکه برنامه‌های کاربردی وب‌بنیان، سرمایه و اعتبار کسب و کارهای امروزی محسوب می‌شوند، اما هزینه‌هایی را نیز به همراه دارند. از آنجایی که معمولا اکثر برنامه‌های کاربردی وب‌بنیان بر روی بستر اینترنت قرار دارند، همواره بیم آن وجود دارد که اطلاعات حساس سازمان و یا داده‌های کاربران در اختیار افراد غیرمجاز قرار بگیرند. انجام منظم آزمون‌های نفوذ، به شما کمک می‌کند تا آسیب‌پذیری‌های احتمالی در این برنامه‌ها را پیش از آنکه توسط مهاجمین مورد سواستفاده قرار بگیرند، شناسایی کنید و بدین ترتیب علاوه بر ارتقای امنیت و حفظ اطلاعات مشتریان، از اعتبار و آبروی سازمان هم محافظت کنید. آرمان داده پویان شما را در این مسیر یاری می‌کند.

تست نفوذ وب اپلیکیشن (برنامه‌های کاربردی وب بنیان) را می‌توان یافتن هرگونه نقطه ضعف، آسیب‌پذیری، ایراد فنی و ارائه گزارش کاملی از این آسیب‌پذیری‌ها و آثار آن دانست. بعد از آن هم ارائه طرح‌های پیشنهادی برای برطرف نمودن این نقاط آسیب‌پذیری. اگر سازمانی نسبت به امنیت وب اپلیکیشن‌ها خود بی‌توجه باشد خودش را در معرض آسیب‌پذیری و حملات موفقیت آمیز مهاجمان قرار داده که بعد از آن برای جبران خسارت وارده بایستی چندین برابر هزینه‌ی لازم برای تست نفوذ وب اپلیکیشن‌ها را برای رویارویی با این حملات بپردازد. در زمینه بررسی امنیت وب اپلیکیشن‌ها یک تیم متشکل از متخصصان تست نفوذ و برنامه‌نویسی هم با استفاده از ابزارهای خودکار و هم روش‌های دستی آسیب‌پذیری‌های امنیتی را در برنامه‌های کاربردی وب بنیان یافته و تمامی اجزای مرتبط با آن اعم از کد منبع، پایگاه داده و back-end را بررسی می‌نمایند. همچنین بعد از شناسایی آسیب‌پذیری‌های کشف شده در گزارشات خود آن‌ها را الویت بندی نموده و راهکارهای مربوطه را ارائه می‌دهند.

بر اساس گزارش امنیتی منتشر شده توسط Trustware در سال ۲۰۱۸، تقریبا تمام برنامه‌های کاربردی وب‌بنیان در معرض حملات سایبری قرار دارند. بله درست متوجه شدید، طبق این گزارش، تمام برنامه‌ها حداقل یک آسیب‌پذیری داشتند و میانگین آسیب‌پذیری‌های یافت شده در هر برنامه ۱۱ مورد بود. یکی از دلایل این موضوع، افزایش چشمگیر تعداد افرادی است که روزانه از برنامه‌های کاربردی وب‌بنیان استفاده می‌کنند. همچنین بر اساس مطالعه‌ای که اخیرا توسط شرکت مایکروسافت و موسسه پژوهشی Frost & Sullivan انجام شده است، اگر یک سازمان بزرگ در آسیا با نشت اطلاعات مواجه شود، احتمالا تا ۳۰ میلیون دلار دچار ضرر و زیان اقتصادی خواهد شد. طبق این پژوهش، در ۷۰ درصد از سازمان‌هایی که طی ۱۲ ماه گذشته به نوعی دچار حمله سایبری شده‌اند، افراد شغل خود را از دست داده‌اند.

برای کاهش ریسک حملات سایبری و جلوگیری از تحمیل هزینه‌های ناخواسته، باید بتوانیم از بروز چنین حملاتی جلوگیری کنیم. طبق مطالعات انجام شده، بهترین راه برای یافتن نقایص امنیتی در برنامه‌های کاربردی وب‌بنیان، انجام تست نفوذ است. تست نفوذ، پرکاربردترین استراتژی تست امنیت برای اکثر برنامه‌های وب است. تست نفوذ وب به شما این امکان را می‌دهد که نقایص امنیتی برنامه‌ها و سایر اجزای آن‌ها از قبیل کد منبع، پایگاه داده و … را شناسایی کنید و آن‌ها را در اختیار توسعه‌دهنده برنامه قرار دهید تا به سرعت ترمیم گردند.

به طور کلی، با انجام تست نفوذ برنامه‌های کاربردی وب‌بنیان، به نتایج زیر دست خواهید یافت:

• می‌توانید آسیب‌پذیری‌های ناشناخته را کشف کنید.
• میزان کارآیی سیستم‌های امنیتی موجود را آزمایش کنید.
• میزان خسارت وارده در صورت حمله مهاجمین را تخمین بزنید.
• روزنه‌های نفوذ هکرها را شناسایی کنید.

وقتی در مورد امنیت صحبت می‌کنیم معمولا رایج‌ترین کلمه‌ای که می‌شنویم، آسیب‌پذیری (Vulnerability) است. خیلی از افراد ارزیابی آسیب‌پذیری را معادل تست نفوذ می‌دانند و اینطور تصور می‌کنند که چون آسیب‌پذیری‌های برنامه‌ها را پویش می‌کنند بنابراین نیازی به خدمات تست نفوذ ندارند. باید بدانید که ارزیابی آسیب‌پذیری به شما اجازه می‌دهد تا از مشکلات امنیتی و نقاط ضعف برنامه‌های خود مطلع شوید و یک سری راهکارهای کلی برای رفع این مشکلات در اختیار شما قرار می‌دهد. در واقع متوجه می‌شوید که آیا وصله‌های امنیتی بر روی برنامه‌های کاربردی شما نصب شده‌اند یا خیر؟ فرآیند ارزیابی آسیب‌پذیری معمولا توسط ابزارها و با حداقل دخالت انسان صورت می‌گیرد. اما تست نفوذ، حمه هکرها را شبیه‌سازی می‌کند و به شما نشان می‌دهد راهکارهای دفاعی سازمان شما چقدر در مقابل نفوذ هکرها مقاوم هستند. در فرآیند تست نفوذ متوجه خواهید شد که یک هکر چگونه می‌تواند به سازمان شما نفوذ کند و در صورت انجام این کار چه خسارت‌هایی را می‌تواند به بار بیاورد!

بنابراین هر دو راهکار اهمیت خود را دارند و به نوعی مکمل یکدیگر هستند. این نیاز سازمان است که تعیین می‌کند از چه راهکاری استفاده گردد. معمولا توصیه می‌گردد سرویس‌های حساس که از اهمیت بالایی برخوردارند عمیق‌تر مورد بررسی قرار بگیرند و به صورت دوره‌ای آزمون نفوذ بر روی آن‌ها انجام شود.

تست نفوذ برنامه‌های کاربردی وب‌بنیان معمولا به دو روش انجام می‌شود: از طریق شبیه‌سازی حملات داخلی و یا خارجی.

• تست نفوذ داخلی: همانطور که از نام این روش پیداست، تست نفوذ از طریق شبکه داخلی سازمان (LAN) انجام می‌شود و برنامه‌هایی که بر روی بستر اینترنت قرار دارند را هم شامل می‌شود. یکی از تصورات غلطی که وجود دارد این است که حملات فقط از خارج شبکه سازمان امکان پذیر است. بنابراین سازمان‌ها اهمیت زیادی به تامین امنیت شبکه داخلی نمی‌دهند. حملاتی از قبیل مهندسی اجتماعی، حملات فیشینگ، سواستفاده از دسترسی‌های کاربران، اقدامات مخرب توسط کارکنان ناراضی و … همگی ممکن است در شبکه داخلی سازمان انجام شوند. تست نفوذ داخلی، شناسایی هرگونه آسیب‌پذیری که ممکن است در فایروال سازمان وجود داشته باشد را تسهیل می‌کند.
• تست نفوذ خارجی: در این روش، تمرکز بر روی حملاتی است که ممکن است از خارج سازمان اتفاق بیفتند و برنامه‌هایی که بر روی بستر اینترنت قرار دارند مورد آزمایش قرار می‌گیرند. آزمونگر نفوذ که هکر اخلاقی هم نامیده می‌شود، هیچ اطلاعاتی از سیستم داخلی و لایه‌های امنیتی پیاده‌سازی شده در داخل سازمان ندارد. تست نفوذ خارجی شامل آزمایش فایروال، سیستم تشخیص نفوذ، وب‌سرورها و … است.

متدولوژی چیزی نیست جز مجموعه‌ای از دستورالعمل‌های امنیتی برای چگونگی انجام تست نفوذ. برخی از استانداردهای مطرح در زمینه تست نفوذ وب عبارتند از: OWASP، OSSTMM، PTF، ISSAF و PCI DSS.

به عنوان یک قاعده کلی، هنگامی که موضوع اطمینان از امنیت برنامه‌های وب مطرح می‌شود، بهتر است از روش‌های استاندارد برای تست نفوذ برنامه‌های وب استفاده کنید. ما در آرمان داده پویان، تمام جزئیات و شرایط سختی که برای توسعه یک محصول وب‌بنیان طی می‌شود را درک می‌کنیم و کاملا واقفیم که برخی از نکات امنیتی در طی فرآیند توسعه ممکن است قابل پیاده‌سازی نباشند. متاسفانه مهاجمین سایبری هم این موضوع را می‌دانند و براحتی می‌توانند از این نقاط ضعف به نفع خود استفاده کنند. برای مقابله با این تهدیدات، تیم امنیت آرمان داده پویان، ابتدا ارزیابی کاملی از ریسک‌های موجود و آسیب‌پذیری‌های احتمالی انجام داده تا پیکربندی‌ها و نقاط ضعف برنامه‌ها آشکار گردند. سپس متخصصان باتجربه ما با کمک ابزارهای قوی و روش‌های پیشرفته تست نفوذ، برنامه‌های کاربردی شما را مورد آزمایش قرار می‌دهند.

در حوزه بررسی امنیت وب اپلیکیشن‌ها یکی از متدولوژی‌های معروف  OWASP TOP 10 می‌باشد. مطابق با OWASP آسیب‌پذیری‌های بوب اپلیکیشن‌ها در ده حوزه طبقه‌بندی می‌گردند.

• تزریق
• احراز هویت شکسته
• لو رفتن اطلاعات حساس
• (XML External Entities(XXE
• کنترل دسترسی شکسته
• عدم پیکربندی درست امنیت
• (Cross-Site Scripting (XSS
• Insecure Deserialization
• استفاده از اجزایی با آسیب‌پذیری‌های شناخته شده
• لاگین و پایش ناکافی

همانطور که گفتیم یکی از متدولوژی‌های معروف در ارتباط با تست نفوذ وب اپلیکیشن‌ها OWASP TOP 10 می‌باشد، متدولوژی‌های روز دیگری نیز وجود دارند که همراه با OWASP می‌توانند به کار روند. در فرآیند تست نفوذ، تیم متخصص تمامی آسیب‌پذیری‌های مشخص شده در این متدولوژی‌ها را چه به صورت خودکار و چه دستی مشخص می‌نمایند. از دیگر متدولوژی‌ها می‌توان از Web Application Security Consurtium نام برد. در ارتباط با بررسی امنیت سامانه‌هایی که در پشت WAF قرار گرفته‌اند نیز متدولوژی‌هایی مختلفی وجود دارد که بر اساس آن آسیب‌پذیری‌های مشخص شده بایستی توسط تیم متخصص تست نفوذ بررسی گردند.

زمانی که تیم تست نفوذ متدولوژی مورد استفاده در انجام آزمون نفوذ پذیری برنامه وب بنیان را انتخاب نموده و مطابق آن آسیب پذیری‌هایی که بایستی بررسی نماید را مشخص می‌کند دو مرحله پیش رو دارد. مرحله فعال یا همان Active و دیگری منفعل یا همان Passive. مرحله منفعل را در واقع می‌توان فاز جمع‌آوری اطلاعات نیز دانست.

• اسپایدرها، ربات‌ها و خزندگان
• شناسایی/ جست و جو و کسب اطلاعات از طریق موتورهای جست و جو
• شناسایی نقاط ورودی برنامه‌های کاربردی
• سنجش اثر انگشت برنامه کاربردی
• آنالیز کدهای خطا برنامه کاربردی

تیم تست نفوذ بعد از طی مرحلع منفعل و جمع آوری اطلاعات مورد نیازشان به سمت مرحله فعال رفته و در ۹ حوزه می‌توانند به کشف آسیب‌پذیری و خطاهای موجود بپردازند.

• سنجش پیکربندی مدیریتی
• سنجش احراز هویت
• سنجش مدیریت جلسات
• سنجش منطق تجارت (business logic)
• سنجش کنترل دسترسی
• سنجش اعتبار سنجی داده‌ها
• سنجش انکار سرویس
• سنجش سرویس‌های وب
• سنجش Ajax

در آخر هم اگر از WAF یا همان دیواره‌های آتش وب بنیان در شبکه استفاده شده باشد بایستی بررسی‌های امنیتی لازم نیز بر روی آن انجام پذیرد. با توجه به متدولوژی انتخاب شده توسط شرکت ارائه دهنده تست نفوذ، آسیب‌پذیری‌هایی که بایستی مورد بررسی قرار گیرند فهرست شده و بررسی‌های امنیتی با استفاده از ابزار و همچنین به صورت دستی صورت می‌پذیرد.

در پاندمی بیماری همه‌گیر کرونا، بدلیل بحران پیش آمده و غفلت احتمالی سازمان‌ها نسبت رعایت الزامات امنیتی، موج گسترده‌ای از حملات سایبری علیه برنامه‌های کاربردی وب‌بنیان به راه افتاده است. مهاجمان از هر شیوه‌ای برای سواستفاده از آسیب‌پذیری‌های موجود در برنامه‌ها استفاده می‌کنند تا به اهداف خود دست پیدا کنند. حملات مهندسی اجتماعی، فیشینگ، کمپین‌های هرزنامه‌ای، اسکن‌های مداوم وب‌سایت‌ها، اکسپلویت کردن آسیب‌پذیری‌ها و … به اوج خود رسیده است. خوشبختانه در صورت داشتن یک برنامه منظم تست نفوذ، از قربانی شدن در دام بسیاری از این حملات جلوگیری خواهد شد. برای بهره‌مندی از خدمات تست نفوذ شرکت آرمان داده پویان با متخصصین این شرکت تماس حاصل فرمایید.

تست نفوذ معمولی که به طور تخصصی تر به آن تست نفوذ شبکه می‌گویند، آسیب‌پذیری‌های موجود در زیرساخت شبکه، سرورها، سوئیج‌ها، روترها، پروتکل‌های شبکه و … را شناسایی می‌کند. اما در تست نفوذ وب، تمرکز اصلی بر روی نقایص امنیتی برنامه‌های کاربردی وب‌بنیان است.

بله تست نفوذ بر روی وب‌اپلیکیشن‌های داخلی هم از طریق دسترسی از راه دور از طریق VPN سازمان (در صورت امکان) و هم به صورت حضوری قابل انجام است.

چرا آرمان داده پویان؟

را با بهره‌گیری از متخصصان زبده این حوزه انجام می‌دهد. در خصوص تست نفوذ شبکه، کاربران، تجهیزات شبکه، موارد امنیتی سیستم عامل و سرویس‌های فعال بر روی آن‌ها توسط متخصصان آرمان داده پویان به دقت بررسی خواهند شد و با توجه به نوع فناوری مورد استفاده در خصوص هر سرویس موارد امنیتی آن بر اساس استانداردهای معتبر سنجیده خواهد شد و در انتها گزارشی کامل شامل آسیب پذیری‌های یافت شده و نحوه ایمن سازی در برابر آن‌ها ارائه خواهد شد.

سنجش آسیب‌پذیری برنامه‌های کاربردی در چند فاز صورت می‌گیرد. فاز شناخت، ارزیابی سمت کاربر، ارزیابی ارتباط شبکه وسمت سرور. شرکت آرمان داده پویان با بهره‌گیری از تیمی متخصص و کارآزموده آماده ارائه سنجش‌آسیب‌پذیری و ارزیابی‌های امنیتی مطابق استانداردها ومتدولوژی‌های روز می‌باشد.

در زمینه بررسی امنیت برنامه‌های وب بنیان گروه مربوطه در آرمان داده پویان متشکل از کارآزمودگان بررسی نفوذ پذیری و برنامه نویسی می‌باشد و بررسی سامانه‌های وب بنیان و سامانه‌های مرتبط با آن‌ها با در نظر گرفتن تمامی زوایای موجود، هم به صورت خودکار توسط برنامه‌های مطرح و به صورت دستی انجام می‌شود.

آرمان داده پویان با یک دهه تجربه در زمینه انجام انواع تست نفوذ و با بهره‌گیری از تیم متخصص برنامه نویسی و امنیت آماده ارائه انواع تست نفوذ می‌باشد.