دانلود مقاله اصول امنیت برنامه های وب

Word 809 KB 18742 43
مشخص نشده مشخص نشده کامپیوتر - IT
قیمت قدیم:۲۴,۰۰۰ تومان
قیمت: ۱۹,۸۰۰ تومان
دانلود فایل
  • بخشی از محتوا
  • وضعیت فهرست و منابع
  • اینترنت و به دنبال آن وب ، دنیای نرم افزار را دستخوش تحولات فراوانی نموده است . ظهور نسل جدیدی از برنامه های کامپیوتری موسوم به برنامه های وب از جمله این تحولات عظیم است . پس از ارائه سرویس وب در سال 1991، وب سایت های متعددی ایجاد گردید . اینگونه سایت ها به منظور ارائه اطلاعات به مخاطبان خود از صفحات وب ایستا استفاده می کردند . در چنین وب سایت هائی ، امکان تعامل کاربر با برنامه وجود نداشت .
    با توجه به این که رویکرد فوق با ماهیت و یا روح نرم افزار چندان سازگار نمی باشد ، تلاش های گسترده ای در جهت ایجاد محتویات پویا انجام و متعاقب آن ، فن آوری های متعددی ایجاد گردید . به عنوان نمونه ، با پیاده سازی فن آوری CGI ( برگرفته از Common Gateway Interface ) ، امکان استفاده از برنامه های خارجی به منظور تولید محتویات پویا فراهم گردید . بدین ترتیب ، کاربران قادر به درج اطلاعات و ارسال آنها برای یک برنامه خارجی و یا اسکریپت سمت سرویس دهنده شدند . برنامه موجود در سمت سرویس دهنده پس از دریافت اطلاعات و انجام پردازش های تعریف شده ، نتایج را تولید و آنها را برای کاربر ارسال می نمود .
    رویکرد فوق ،‌ به عنوان نقطه عطفی در برنامه های وب تلقی می گردد چراکه برای اولین مرتبه امکان تولید محتویات پویا در وب سایت ها فراهم گردید . از آن زمان تاکنون فن آوری های متعددی به منظور تولید برنامه های وب ایجاد شده است . PHP و ASP.NET نمونه هائی در این زمینه می باشند . صرفنظر از این که از کدام فن آوری به منظور ایجاد برنامه های وب استفاده می گردد ، ایمن سازی آنان از جمله اهداف مشترک تمامی پیاده کنندگان است .
    امنیت برنامه های‌ وب و برداشت های اولیه
    زمانی که در رابطه با امنیت برنامه های وب سخن به میان می آید ، تهاجم علیه یک سایت ،‌ سرقت کارت های اعتباری ، بمباران وب سایت ها در جهت مستاصل کردن آنان به منظور ارائه خدمات و سرویس های تعریف شده ، ویروس ها ، تروجان ها ، کرم ها و ... در ذهن تداعی می گردد . صرفنظر از نوع برداشت ما در رابطه با موارد فوق ،‌ می بایست بپذیریم که تهدیدات امنیتی متعددی متوجه برنامه های وب با توجه به ماهیت آنان می باشد . سازمان ها و یا موسساتی که از اینگونه برنامه ها استفاده می نمایند و یا در صدد طراحی و پیاده سازی آنان می باشند ، می بایست به این نکته مهم توجه نمایند که ایمن سازی یک برنامه وب ، محدود به بکارگیری یک فن آوری خاص نبوده و فرآیندی است مستمر که عوامل انسانی و غیرانسانی متعددی می توانند بر روی آن تاثیرگذار باشند .
    امنیت برنامه های وب را می بایست با توجه به
    نوع معماری و رفتار آنان بررسی نمود .
    برداشت های غیرواقعی از امنیت برنامه های وب
    متاسفانه به دلیل عدم شناخت لازم در خصوص ماهیت برنامه های وب از یک طرف و از سوی دیگر عدم آشنائی لازم با مفاهیم امنیت ،‌ شاهد برداشت های نادرست در خصوص امنیت برنامه های وب می باشیم . اجازه دهید به چند نمونه در این خصوص اشاره نمائیم :
    • ما ایمن هستیم چون از یک فایروال استفاده می نمائیم . این تصور کاملا اشتباه است و به نوع تهدید بستگی خواهد داشت . مثلا یک فایروال قادر به تشخیص داده ورودی مخرب جهت ارسال به یک برنامه وب نمی باشد . فایروال ها دارای عملکردی قابل قبول در رابطه با اعمال محدودیت بر روی پورت ها می باشند و برخی از آنان می توانند همزمان با بررسی اطلاعات مبادله شده ،‌ امکانات برجسته حفاظتی را ارائه نمایند . فایروال ها جزء لاینفک در یک فریمورک امنیتی می باشند ولی نمی توان آنان را به عنوان یک راهکار جامع به منظور ایجاد و برپائی یک محیط ایمن در نظر گرفت .
    • ما ایمن هستیم چون از SSL ( برگرفته ازSecure Sokets Layer ) استفاده می نمائیم . SSL برای رمزنگاری ترافیک موجود بر روی شبکه یک گزینه ایده آل است ولی قادر به بررسی داده ورودی یک برنامه نمی باشد .
    • ما ایمن هستیم چون از سیستم عاملی استفاده می نمائیم که نسبت به سایر سیستم های عامل دارای امنیت بیشتری است . استدلال فوق با فرض درست بودن اصل قضیه ، نادرست و غیرمنطقی است چراکه امنیت یک فرآیند است نه یک محصول . بنابراین با بکارگیری یک محصول خاص ( به عنوان نمونه یک سیستم عامل ) نمی توان این ادعا را داشت که ما به یک محیط ایمن به منظور ایجاد برنامه های وب دست یافته ایم .
    با رد امنیت یک سیستم عامل نمی توان امنیت یک سیستم عامل دیگر را تائید نمود.
    ( من خوبم چون شما بد هستید ! )
    امنیت چیست ؟
    اولین رسالت امنیت ، حفاظت از سرمایه های یک سازمان است که ممکن است شامل آیتم های ملموسی نظیر یک صفحه وب و یا بانک اطلاعاتی مشتریان و یا آیتم های غیرملموسی نظیر شهرت و اعتبار یک سازمان باشد. امنیت یک مسیر است نه یک مقصد و به موازات تجزیه و تحلیل زیرساخت و برنامه های موجود ، می بایست اقدام به شناسائی تهدیدات و خطرات ناشی از آنان نمود . در واقع ، امنیت به مدیریت خطرات و پیاده سازی یک سیستم به منظور پاسخگوئی و مقابله با تهدیدات اشاره داشته و در ارتباط با عتاصر کلیدی زیر است :
    • Authentication ، فرآیندی است که به کمک آن به صورت منحصربفرد سرویس گیرندگان یک برنامه شناسائی می گردند . کاربران ، سرویس ها ، فرآیندها و کامپیوترها ، نمونه هائی از سرویس گیرندگان یک برنامه می باشند . در واقع ، authentication هویت استفاده کنندگان یک برنامه را بررسی می نماید .
    • Authorization ، فرآیندی است که به کمک آن دستیابی سرویس گیرندگان تائید شده به منابع و عملیاتی که قصد انجام آن را دارند بررسی و مجوز لازم صادر می گردد. فایل ها ، بانک های اطلاعاتی ، جداول ، سطرها ، منابع موجود در سطح سیستم نظیر کلیدهای ریجتسری و داده پیکربندی ، نمونه هائی از منابع مورد درخواست سرویس گیرندگان می باشند . انجام تراکنش هائی خاص نظیر خرید یک محصول ، واریز و انتقال پول از یک حساب به حساب دیگر و یا افزایش اعتبار یک کارت اعتباری از جمله عملیاتی می باشند که می بایست مجوز استفاده از آنان برای سرویس گیرندگان صادر گردد . در واقع ، authorization محدوده مجاز عملیاتی را که یک سرویس گیرنده می تواند انجام دهد را مشخص می نماید .
    • Auditing : ممیزی موثر و ثبت عملیات انجام شده یکی از اصول مهم در جلوگیری از انجام اعمال خلاف قانون است . بدین ترتیب این اطمینان ایجاد خواهد شد که یک کاربر نمی تواند باعث عدم انحام یک کار و یا فعالیت در سیستم گردد و یا یک تراکنش را مقداردهی اولیه نماید . مثلا در یک سیستم e-commerce می بایست از مکانیزم هائی استفاده گردد تا این اطمینان حاصل گردد که یک مصرف کننده نمی تواند سفارش انجام شده برای خرید یکصد نسخه از یک کتاب را انکار نماید .
    • Confidentiality ، که از آن با نام privacy نیز نام برده می شود ، فرآیندی است که به کمک آن این اطمینان ایجاد می گردد که حریم خصوصی داده رعایت و امکان مشاهده آن توسط کاربران غیرمجاز و یا سایر افرادی که قادر به ردیابی ترافیک یک شبکه می باشند ، وجود نخواهد داشت .
    • Integrity ، فرآیندی است که به کمک آن این اطمینان ایجاد می گردد که داده در مقابل تغییرات تصادفی و یا تعمدی حفاظت خواهد شد . همانند privacy ، یکپارچگی اطلاعات یک فاکتور اساسی در خصوص امنیت داده محسوب می گردد ، خصوصا در مواردی که داده در طول شبکه مبادله خواهد شد . یکپارچگی داده در حال حمل ،‌عموما با استفاده از روش هائی نظیر hashing و یا کدهای تائید پیام انجام می شود .
    • Availability ، فرآیندی است که به کمک آن این اطمینان ایجاد خواهد شد که همواره داده برای کاربران مجاز در دسترس و قابل استفاده خواهد بود . در اغلب حملات از نوع DoS ، مهاجمان این هدف را دنبال می نمایند که بتوانند امکان استفاده و در دسترس بودن برنامه برای کاربران مجاز را غیرممکن و عملا آن را از کار بیندازند .

سرويس هاي وب ، نقطه عطفي در معماري برنامه هاي توزيع شده بر روي اينترنت مي باشند . بدون شک، يکي از مهمترين تحولات در زمينه برنامه هاي توزيع شده ، مطرح شدن سرويس هاي وب است که تاثيرات فراواني را در رابطه با وضعيت نرم افرار خصوصا بر روي اينترنت بدنبال

بخش نخست: بررسي‌هاي اجمالي و کليات نظري فصل اول طرح مسئله از آنجائيکه اعتقاد به ضرورت وجود رقابت به عنوان يک اصل مسلم در فراشدهاي سياسي، آنرا از شاخص‌هاي نظام مردم‌سالار ديني قرار مي‌دهد که در شرايط مطلوب از کار ويژه‌ي مختلفي از جمله

مقدمه : از آن‌جا که شبکه‌های بی سیم، در دنیای کنونی هرچه بیشتر در حال گسترش هستند، و با توجه به ماهیت این دسته از شبکه‌ها، که بر اساس سیگنال‌های رادیویی‌اند، مهم‌ترین نکته در راه استفاده از این تکنولوژی، آگاهی از نقاط قوت و ضعف آن‌ست. نظر به لزوم آگاهی از خطرات استفاده از این شبکه‌ها، با وجود امکانات نهفته در آن‌ها که به‌مدد پیکربندی صحیح می‌توان به‌سطح قابل قبولی از بعد امنیتی ...

چکیده قوم یا قومیت در انگلیسی از واژه Ethnie مشتق شده و در زبان یونانی Ethnos به مردمانی اطلاق می شود که بیش از پیدایش دولتهای تک شهری بصورت عشیره ای یا قبیله ای زندگی می کردند. ویژگیهای قوم و ملت تقریباً یکسان هستند که پیوندهای خویشی در اقوام قویتر از ملت است و علاوه بر این ملت به دنبال حاکمیت سیاسی است تفاوت اساسی بین ملت و قومیت بوجود آمدن دولت ملی می باشد. یکی از عوامل تشدید ...

امنیت شغلی با رویکرد ایمنی و سلامت و نقش آن در نگهداری کارکنان سازمان چکیده این مقاله به بررسی یکی از عوامل مهم نگهداری کارکنان یعنی ایمنی و سلامت حرفه‌ای می‌پردازد. در ابتدا تعریف و مفاهیم مربوط ارائه می‌شود و سپس روش‌های متداول بررسی و اقدام در زمینه بهداشت و ایمنی محیط کار نام برده شده و به قوانین ایمنی و سلامت حرفه‌ای در ایران اشاره می‌گردد. همچنین فرهنگ، سخت افزار و ...

تاکنون مقالات متعددي در رابطه با دات نت و برنامه نويسي وب بر روي سايت منتشر شده است و شايد اين سوال براي بسياري از خوانندگان مطرح شده باشد که ارتباط اين مطالب با يکديگر چيست و چگونه مي توان آنان را با يکديگر مرتبط و از مطالب ارائه شده در جهت ايجاد

1. تهديدهاي امنيت اطلاعات هنگامي که شما تلاش مي کنيد IIS را در مقابل خطرات و تهديدها ايمن نموده و آسيب پذيري برنامه هاي کاربردي موجود در IIS را شناسايي نماييد، در واقع به دنياي امنيت اطلاعات که با عنوان infosec شناخته مي شود، وارد شده ايد. infosec

مقدمه اي بر ايجاد سيستم عامل ها روند رو به گسترش توليد سيستم هاي عامل جديد و هوشمند براي گوشي هاي تلفن همراه باعث تبديل موبايل از يک وسيله ارتباطي ساده به يک رايانه جيبي با کاربرد هاي متنوع شده است. طي سال هاي اخير با افزودن قابليت دسترسي به اينتر

آشنایی با اتحادیه کشورهای جنوب شرقی آسیا (آسه‌آن) Association of South East Asian Nations (ASEAN) اشاره؛ بلوک‌های اقتصادی که در مناطق گوناگون جهان در نیم قرن گذشته تشکیل شده‌اند، تلاش وسیعی را برای ایجاد فضای همکاری‌های سیاسی، اقتصادی، علمی و فرهنگی ایجاد کردند و توانستند با یکپارچگی و وحدت، ضمن کاهش تنش‌های منطقه‌ای، در راه توسعه اقتصادی و رفاه اجتماعی ساکنان کشورهای عضو ...

اشاره؛ بلوک‌ های اقتصادی که در مناطق گوناگون جهان در نیم قرن گذشته تشکیل شده‌اند، تلاش وسیعی را برای ایجاد فضای همکاری‌های سیاسی، اقتصادی، علمی و فرهنگی ایجاد کردند و توانستند با یکپارچگی و وحدت، ضمن کاهش تنش‌های منطقه‌ای، در راه توسعه اقتصادی و رفاه اجتماعی ساکنان کشورهای عضو گام‌های مؤثری بردارند. یکی از بلوک‌ های منطقه‌ ای فعال و موفق، اتحادیه کشور های جنوب شرقی آسیا (آسه‌آن) ...

ثبت سفارش
تعداد
عنوان محصول