IRCERT - ده مشکل امنيتی مهم سال - اخبارها و هشدارها

صفحه اول > اخبار و هشدارها

10 مشکل امنيتي مهم سال

27 ژانويه 2004 – بهمن 1382

OWASP ( Open Web Application Security Protocol )همانند هر ساله ، ليستي از 10 مشکل امنيتي مهم سال را منتشر کرده است. اگر نگاهي به ليست سال گذشته بياندازيم متوجه

مي شويم که متاسفانه شرکتها هنوز مساله امنيت برنامه هاي تحت وب را جدي نگرفته اند چون بسياري از موارد در اين ليست مشابه ليست سال گذشته است. مدير OWASP اظهار اميدواري کرده است که مديران امنيتي شرکتها اين لست را دريافت کنند و در اختيار تيم هاي توليدکننده نرم افزار در شرکت خود قرار دهند.

ليست منتشره براي امسال به قرار زير است :

1- ورودي غيرمعتبر : مهمترين مشکل امنيتي امسال همانند سال گذشته است چون اعتبار اطلاعات حاصل از درخواستهاي تحت وب ،پيش از استفاده توسط يک برنامه کاربردي تحت وب ، کنترل نمي شود. براي مثال بعضي خرده فروشها و فروشندگان جزء از کارتهايي براي خريد و فروش استفاده مي کنند که قابل سوء استفاده هستند و لذا افراد ناسالم هر چه بخواهند پرداخت مي کنند.

2- کنترل دسترسي ناقص : اين مشکل از آنجا ناشي مي شود که بعضي محدوديتهايي که سيستم براي اعمال کاربران در نظر مي گيرد به خوبي اجرا نمي شود و جوانب مختلف در نظر گرفته نشده است. سيستم از آنجايي که نمي تواند يک کاربر معتبر را تشخيص دهد لذا به وي اجازه ورود مي دهد و به وي اعتماد مي کند.

3- نقص در مديريت تاييد هويت: اين مشکل به دو دليل ايجاد مي شود. اول اين که بعضي برنامه نويسان برنامه هايي با تاييد هويت ضعيف توليد مي کنند تا سيستهاي ساده و پايه اي مانند PDA ها بتوانند login کنند. اما اين امر باعث مي شود که هکرها بتوانند نشست هاي (Session) کاربري جديدي ايجاد کنند. همچنين انجام عمليات Log off از برنامه هاي مبتني بر وب هميشه ساده نيست. براي مثال فردي که از يک کيوسک عمومي که به امنيت توجه دارد ، login مي کند ، اختيارات کمتري بايد داشته باشد و مثلا بازآغازي سيستم غيرممکن خواهد بود.

4- نقص در cross site scripting : اين نقص در حال مرتفع شدن است چون مايکروسافت در حال مکانيزمهايي براي کنترل در IE و محيط .NET است. اما هنوز هم حدود 30% از مشکلات منشر شده ناشي از اين نقص است. بانکهاي آنلاين از جمله سايتهايي هستند که به شدت با اين مشکلات دست به گريبان هستند.

5- سرريز بافر : شايد بتوان گفت که سرريز بافر نيز روزهاي پاياني عمر خود را مي گذراند چون زبانهاي جديد برنامه نويسي از مايکروسافت و جاوا تقريبا آن را حذف کرده اند. اما مشکل از ميليون ها خط کد و برنامه اي است که ميراث نسل قبلي زبانها برنامه نويسي است.

6- نقصهاي تزريقي : اين نوع از مشکلات زماني ايجاد مي شود که هکر بتواند يک دستور را براي يک برنامه تحت وب بفرستد و آن دستوربر روي کامپيوتر برنامه اجرا شود. برنامه اي که هنگام دسترسي به يک سيستم خارجي يا سيستم عامل داخلي تعدادي پارامتر پاس مي کند مي تواند براي انجام اين نوع حملات هدف خوبي باشد.

7- مديريت نامناسب خطاها : نمونه اين نوع از مشکلات زماني است که يک سايت به فردي اطلاع مي دهد که چه کسي درحال login کردن است به خصوص زماني که نام کاربري و کلمه عبور صحيح است.

8- ذخيره سازي نامطمئن : عليرغم وجود تعداد زيادي محصولات خوب و رايگان براي رمزنگاري، هنوز هم بعضي برنامه نويسها ترجيح مي دهند الگوريتمهاي خود را به کار بگيرند.

9- Denial of Service : اين نوع از حملات هم از انواع قديمي هستند ، تنها تفاوت اين است که به جاي سيستم عامل ، برنامه کاربردي مورد حمله قرار مي گيرد. پيش بيني شده است که امسال حملات بسياري از اين نوع بر روي برنامه هاي کاربردي انجام خواهد شد.

10- مديريت پيکربندي نامطمئن : منظور توابع مديريتي است که مي توان از طريق وب به آنها دسترسي داشت ، در حالي که اين کار از نظر امنيتي صحيح نيست.