امروزه اطمینان از امنیت برنامههای کاربردی مبتنی بر وب مسألهای اساسی برای تولیدکنندگان و همچنین مشتریان این برنامهها است. سازمانهای زیادی وجود دارند که برنامههای مبتنی بر وب را مورد ارزیابی امنیتی قرار داده و در صورت ایمن بودن به آنها گواهینامهی امنیتی میدهند.
OWASP استانداردی برای تأیید امنیتی برنامههای کاربردی مبتنی بروب (ASVS) ارائه نموده است.
کلید واژه- برنامهی کاربردی مبتنی بر وب، ارزیابی امنیتی، تخمین ریسک، معیارهای امنیتی، آزمون خودکار، آسیبپذیری
امروزه برنامههای وب در تمامی زمینههای اقتصادی، آموزشی و فرهنگی مورد استفاده قرار گرفته است، و کمتر سیستم نرمافزاری را میتوان یافت که مبتنی بر وب نباشد. برنامههای وب شامل دادهها و اطلاعاتی میگردند که معمولاً حساس و باارزش میباشند. در صورت بروز مشکلات امنیتی برای برنامههای وب این اطلاعات حساس به خطر میافتند. بنابراین مقاوم بودن برنامهی وب در مقابل تهدیدات امنیتی مسئلهای اساسی برای برنامههای وب است.
در ارزیابی امنیت برنامههای وب، کارایی مکانیزمهای دفاعی برنامه در مقابل دسترسیهای نامطلوب کاربران بدون مجوز، حفظ منابع سیستم در مقابل کاربران ناشایست، و همچنین دادن دسترسی به کاربرانی که مجوز دارند، مورد بررسی قرار میگیرد. آسیبپذیریهای امنیتی سیستم ممکن است منشأ در کد برنامه یا در مؤلفههای سختافزاری، نرمافزاری یا میانافزاری سیستم داشته باشد. در مورد برنامههای وب پیادهسازیها و تکنولوژیهای اجرایی ناهمگن همراه با تعداد بسیار زیاد کاربران و همچنین امکان دسترسی آنان از هر جایی، برنامههای وب را از برنامههای معمولی آسیبپذیرتر و آزمون امنیت آنها را سختتر و پیچیدهتر میسازد. با توجه به اینکه برنامههای تحت وب از بستر شبکه اینترنت برای مبادله اطلاعات استفاده مینمایند، و همچنین به دلیل اینکه این سیستمها به عرصه سیستمهای تجاری وارد شدهاند، بحث امنیت در آنها، در مقایسه با سیستمهای متداول، موضوع بسیار مهمتری میباشد.
برای رسیدن به یک سیستم نرمافزاری ایمن لازم است که در تمامی مراحل زندگی نرمافزار به مسئلهی امنیت آن توجه گردد. هر چه عیبهای[۱] امنیتی سیستم زودتر تشخیص داده شود، هزینهی رفع آن و هزینهی خسارات ناشی از آن به مراتب کمتر میگردد.
توسعهدهندگان برنامههای وب برای اطمینان از امنیت برنامهای که عرضه میکنند نیاز به مکانیزمی برای ارزیابی امنیتی دارند. همچنین مشتریان برنامهی وب نیاز به ارزیابی امنیتی دارند تا از امنیت برنامهای که خریداری میکنند اطمینان حاصل نمایند. برای ارزیابی امنیت برنامههای وب لازم است که برنامه وب تحت آزمون امنیت قرار گیرد و آسیبپذیریهای امنیتی آن شناسایی گردد. آزمون امنیت برنامههای وب را میتوان به دو صورت ایستا یا پویا انجام داد.
فهرست مطالب
فصل ۱- مقدمه ۱
۱-۱- ویژگیهای برنامههای کاربردی مبتنی بر وب ۴
۱-۲- آزمون امنیت برنامههای وب ۱۰
۱-۳- آزمون خودکار امنیت ۱۴
۱-۳-۱- ابزارهای خودکار آزمون امنیت ۱۵
فصل ۲- مروری بر کارهای مرتبط ۱۹
۲-۱- استاندارد ISO/IEC 15408 و ISO/IEC 18045 19
2-2- استاندارد تأیید امنیت برنامهی مبتنی بر وب (ASVS) 20
2-3- سیستم مشترک نمرهگذاری آسیبپذیریها (CVSS) 24
2-4- روش تخمین ریسک OWASP 26
2-5- PCI-DSS 29
منابع ۳۶
فایل ورد – ۳۷ صفحه