بایگانی برچسب: s

یک ارائه درباره توسعه امن برنامه های کاربردی وب

یکی از ارائه های کنفرانس SecAppDev 2018 در خصوص بعضی مکانیزم های امنیتی برنامه های کاربردی وب هست که می تواند برای توسعه دهندگان این برنامه ها مفید باشد. آسیب پذیری هایی مثل Clickjacking، URL Redressing، XSS و نحوه مقابله با آنها بحث شده است. قابلیت هایی که در مرورگرهای مختلف برای پیشگیری از آسیب پذیری هایی از این دست قرار داده شده، در این ارائه توضیح داده شده است. راه حلهایی از جمله استفاده از option های مختلفی که در مرورگرها پیش بینی شده، محدود کردن محتوای فریم ها، محدود کردن ارتباط بین context های مختلف در یک صفحه و غیره پیشنهاد شده که نمونه هایی از Same Origin Policy و Content Security Policy هستند.

فایل ارائه

اشتراک گذاری

راهنمای امنیت Application Container

NIST سند راهنمای پیاده سازی امن مجازی سازی در سطح سیستم عامل با استفاده از  Application Container رو منتشر کرده. با توجه به محبوبیت  Container ها در محیط های توسعه امروزی، بحث چگونگی پیاده سازی و نگهداری امن اونها هم اهمیت خاصی پیدا کرده.

“Application container technologies, also known as containers, are a form of operating system virtualization combined with application software packaging. Containers provide a portable, reusable, and automatable way to package and run applications. This publication explains the potential security concerns associated with the use of containers and provides recommendations for addressing these concerns.”

از جمله نیازمندی های تاکید شده در این سند، استفاده از سیستم عامل های خاص  container ها (به جای سیستم عامل های عمومی) مثل  Core OS، Project Atomic, Snappy Core، Rancher OS و VMWare Photon و نیز نرم افزارهای خاص مدیریت آسیب پذیری برای این محیط ها است.

اشتراک گذاری

عدم تصویب پیش نویس اول OWASP Top 10 2017

پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر برنامه های وب موسوم به OWASP Top 10 2017 که در این یادداشت معرفی کرده بودم مورد تصویب قرار نگرفته است. دامنه های A1, A2, A3, A4, A5, A6, A8, A9 از نسخه ۲۰۱۳ بدون تغییر باقی مانده اند. دامنه های A7 و A9 که در نسخه پیش نویس ۲۰۱۷ تغییر کرده بودند، در همایش اخیر OWASP رد شده اند.

اشتراک گذاری

پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر OWASP

نسخه جدید OWASP Top 10 یا ده آسیب پذیری برتر OWASP به صورت پیش نویس منشتر شده. این لیست از سال ۲۰۱۳ به روز نشده بود. سه تغییر عمده در ااین نسخه پیشنهاد شده:دامنه های A7 و A4 با هم ادغام شده و دامنه A4 جدید رو ساختن. دامنه های A7 و A10 هم عوض شده اند.

اشتراک گذاری

نسخه جدید استاندارد کدنویسی امن برای ++C

CERT دانشگاه کارنگی ملون نسخه جدید راهنمای کد نویسی امن با ++C منتشر کرد:

https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=637

 

اشتراک گذاری

اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار

مرکز طراحی امن وابسته به IEEE Computer Society با هدف تأکید بر طراحی امن سیستم های کامپیوتری (به جای تمرکز صرف بر یافتن باگ ها از طریق تست نفوذ) توسط گروهی از متخصصان امنیت نرم افزار از جمله دکتر Gary McGraw و با حمایت شرکت های مطرح مثل گوگل، توییتر، EMC و … ایجاد شده است.

از جمله مستندات این مرکز، اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار است، که مطالعه آن به شدت توصیه می شود. راهکارهای ارائه شده در این مقاله عبارتند از:

۱- اعتماد را به صورت واقعی دریافت یا ارائه کنید، اما هرگز آن را مبتنی بر فرضیات بنا نکنید.

۲- از مکانیزمی برای احراز هویت استفاده کنید که قابل دور زدن یا نفوذ پذیر نباشد.

۳- پس از احراز هویت، حتماً بررسی مجوزها را انجام دهید.

۴- دستورات کنترلی و داده ای را به شیوه ای سختگیرانه از هم جدا کنید، و هرگز دستورات کنترلی دریافتی از منبع غیرقابل اعتماد را اجرا نکنید.

۵- روشی صریح برای اعتبارسنجی تمام داده ها تعریف کنید.

۶- رمزنگاری را به شیوه ای صحیح به کار گیرید.

۷- داده های حساس و شیوه مدیریت آنها را تعیین کنید.

۸- همواره کاربران را در نظر داشته باشید.

۹- توجه کنید که یکپارچگی نرم افزار با قطعات خارجی چه تأثیری بر سطح حمله (Attack Surface) نرم افزار می گذارد.

۱۰ – انعطاف پذیری لازم را در خصوص تغییرات آینده اشیاء و اکتورها در نظر داشته باشید.

اشتراک گذاری