بایگانی برچسب: s

معرفی پادکست: Silver Bullet Security Podcast

در ادامه معرفی پادکست های مفید، امروز به معرفی یک پادکست بسیار خوب و معروف به نام Silver Bullet Security Podcast می پردازیم. دکتر  Gary McGraw که این پادکست را مدیریت می کند فرد بسیار شناخته شده ای به خصوص در حوزه امنیت نرم افزار است. مدل بلوغ BSIMM و کتابهای متعدد در زمینه امنیت نرم افزار از جمله آثار منتشر شده ایشان است. دکتر McGraw یک نوازنده حرفه ای موزیک هم هست.

اشتراک گذاری

معرفی پادکست: Application Security Podcast

در ادامه معرفی پادکست های مفید امنیتی، به معرفی Applicaton Security Podcast می پردازیم. این یک پادکست فنی بسیار خوب در زمینه امنیت نرم افزار بوده و ضمن مصاحبه با افراد صاحبنظر، آخرین اخبار و تکنولوژی های مربوطه را پوشش می دهد.

اشتراک گذاری

یک ارائه درباره توسعه امن برنامه های کاربردی وب

یکی از ارائه های کنفرانس SecAppDev 2018 در خصوص بعضی مکانیزم های امنیتی برنامه های کاربردی وب هست که می تواند برای توسعه دهندگان این برنامه ها مفید باشد. آسیب پذیری هایی مثل Clickjacking، URL Redressing، XSS و نحوه مقابله با آنها بحث شده است. قابلیت هایی که در مرورگرهای مختلف برای پیشگیری از آسیب پذیری هایی از این دست قرار داده شده، در این ارائه توضیح داده شده است. راه حلهایی از جمله استفاده از option های مختلفی که در مرورگرها پیش بینی شده، محدود کردن محتوای فریم ها، محدود کردن ارتباط بین context های مختلف در یک صفحه و غیره پیشنهاد شده که نمونه هایی از Same Origin Policy و Content Security Policy هستند.

فایل ارائه

اشتراک گذاری

یک مدل بلوغ برای نقش مدیر ارشد امنیت اطلاعات

گزارش شرکت Synopsys در مورد نقش مدیر ارشد امنیت اطلاعات (CISO) که نتیجه مصاحبه با مدیران امنیت ۲۵ شرکت بزرگ دنیا است، منتشر شد. برای دانلود گزارش کافی است فرم ثبت نام را تکمیل کنید.

 

این گزارش با مدیریت دکتر Gary McGraw تهیه شده که معاون فناوری امنیت این شرکت و نویسنده کتاب های مشهور حوزه امنیت نرم افزار و مجری پادکست Silver Bullet Security است.

مدیران امنیت شرکت های مهمی در این گزارش مصاحبه شده اند، از جمله فیسبوک، سیسکو، جی پی مورگان، اچ اس بی سی و استار باکس. نتیجه این گزارش، ارائه یک تقسیم بندی در خصوص نقش امنیت و مدیر ارشد امنیت در سازمان است، که بر این اساس، چهار رده یا نقش برای آن شناسایی شده است:

  1. امنیت به عنوان توانمندساز
  2. امنیت به عنوان فناوری
  3. امنیت به عنوان تطبیق با استانداردها
  4. امنیت به عنوان مرکز هزینه

تقسیم بندی ارائه شده را می شود به نوعی یک مدل بلوغ هم دانست. به همین دلیل مطالعه آن برای کسانی که در این حوزه کار می کنند یا به آن علاقه دارند، مفید است. یک نکته جانبی در این گزارش که برای من جالب بود و سالهای قبل با این موضوع چالش داشتم، تاکید بر این مطلب است که موضوع مدیریت تقلب (Fraud Management) در ۲۳ سازمان از ۲۵ سازمان مطالعه شده، خارج از قلمرو امنیت اطلاعات است.

اشتراک گذاری

راهنمای امنیت Application Container

NIST سند راهنمای پیاده سازی امن مجازی سازی در سطح سیستم عامل با استفاده از  Application Container رو منتشر کرده. با توجه به محبوبیت  Container ها در محیط های توسعه امروزی، بحث چگونگی پیاده سازی و نگهداری امن اونها هم اهمیت خاصی پیدا کرده.

“Application container technologies, also known as containers, are a form of operating system virtualization combined with application software packaging. Containers provide a portable, reusable, and automatable way to package and run applications. This publication explains the potential security concerns associated with the use of containers and provides recommendations for addressing these concerns.”

از جمله نیازمندی های تاکید شده در این سند، استفاده از سیستم عامل های خاص  container ها (به جای سیستم عامل های عمومی) مثل  Core OS، Project Atomic, Snappy Core، Rancher OS و VMWare Photon و نیز نرم افزارهای خاص مدیریت آسیب پذیری برای این محیط ها است.

اشتراک گذاری

عدم تصویب پیش نویس اول OWASP Top 10 2017

پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر برنامه های وب موسوم به OWASP Top 10 2017 که در این یادداشت معرفی کرده بودم مورد تصویب قرار نگرفته است. دامنه های A1, A2, A3, A4, A5, A6, A8, A9 از نسخه ۲۰۱۳ بدون تغییر باقی مانده اند. دامنه های A7 و A9 که در نسخه پیش نویس ۲۰۱۷ تغییر کرده بودند، در همایش اخیر OWASP رد شده اند.

اشتراک گذاری

پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر OWASP

نسخه جدید OWASP Top 10 یا ده آسیب پذیری برتر OWASP به صورت پیش نویس منشتر شده. این لیست از سال ۲۰۱۳ به روز نشده بود. سه تغییر عمده در ااین نسخه پیشنهاد شده:دامنه های A7 و A4 با هم ادغام شده و دامنه A4 جدید رو ساختن. دامنه های A7 و A10 هم عوض شده اند.

اشتراک گذاری

افشای اطلاعات محرمانه از طریق حمله Web Cache Deception

یک روش جدید سوء استفاده از سرویس Web Cache برای دستیابی به اطلاعات محرمانه ای که به طور معمول قرار نیست Cache شوند، توسط Omer Gil معرفی شده و با استقبال زیادی هم مواجه شده. این روش خلاقانه مستلزم این است که نفوذگر و قربانی از یک سرویس Cache یکسان استفاده کنند و قربانی لینک خاص ارسال شده توسط نفوذگر را درخواست کند. نفوذگر باعث می شود که سرویس Cache، درخواست دریافتی را برخلاف آنچه وب سرور الزام می کند، Cache کند و از این طریق، اطلاعات محرمانه مربوط به قربانی را از طریق Cache در دسترس نفوذگر قرار دهد.

اشتراک گذاری

اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار

مرکز طراحی امن وابسته به IEEE Computer Society با هدف تأکید بر طراحی امن سیستم های کامپیوتری (به جای تمرکز صرف بر یافتن باگ ها از طریق تست نفوذ) توسط گروهی از متخصصان امنیت نرم افزار از جمله دکتر Gary McGraw و با حمایت شرکت های مطرح مثل گوگل، توییتر، EMC و … ایجاد شده است.

از جمله مستندات این مرکز، اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار است، که مطالعه آن به شدت توصیه می شود. راهکارهای ارائه شده در این مقاله عبارتند از:

۱- اعتماد را به صورت واقعی دریافت یا ارائه کنید، اما هرگز آن را مبتنی بر فرضیات بنا نکنید.

۲- از مکانیزمی برای احراز هویت استفاده کنید که قابل دور زدن یا نفوذ پذیر نباشد.

۳- پس از احراز هویت، حتماً بررسی مجوزها را انجام دهید.

۴- دستورات کنترلی و داده ای را به شیوه ای سختگیرانه از هم جدا کنید، و هرگز دستورات کنترلی دریافتی از منبع غیرقابل اعتماد را اجرا نکنید.

۵- روشی صریح برای اعتبارسنجی تمام داده ها تعریف کنید.

۶- رمزنگاری را به شیوه ای صحیح به کار گیرید.

۷- داده های حساس و شیوه مدیریت آنها را تعیین کنید.

۸- همواره کاربران را در نظر داشته باشید.

۹- توجه کنید که یکپارچگی نرم افزار با قطعات خارجی چه تأثیری بر سطح حمله (Attack Surface) نرم افزار می گذارد.

۱۰ – انعطاف پذیری لازم را در خصوص تغییرات آینده اشیاء و اکتورها در نظر داشته باشید.

اشتراک گذاری

ابزار دیگری برای آموزش امنیت برنامه های کاربردی وب

OWASP WebGoat ابزار دیگری از OWASP که با جاوا نوشته شده و برای آموزش انواع آسیب پذیری های برنامه های کاربردی وب و نحوه رفع آنها طراحی شده است.

اشتراک گذاری