اخبار بخش هک و نفوذ

اخبار بخش امنیت

آمار سایت

  • افراد آنلاین :
    1
  • بازدید روز :
    0
  • تعداد بازدید ها :
    0
  • تعداد پست ها :
    91
  • IP شما :
    3.230.76.196
  • net1
  • net3
1 2 3
image carousel by WOWSlider.com v6.7
گزارش Certfa Lab : ارزیابی استانداردهای امنیتی در وب سایتهای ایرانی
چهارشنبه ۲۱ اسفند ۱۳۹۸
۱۰:۱۲:۴۳
نظر
(
0
)

امنیت کاربران آنلاین به عوامل مختلفی بستگی دارد که یکی از مؤثرترین آن پیروی از استانداردهای امنیتی و استفاده از فناوری قابل اعتماد و به روز می باشد. استانداردها و فناوریهایی که در سالهای اخیر برای افزایش امنیت داده ها و ارتباطات در وب سایت ها و خدمات اینترنتی مختلف ایجاد شده است می تواند مرجع مفیدی در این زمینه ها باشد. گرچه مطالعات متعدد نشان می دهد که وضعیت فعلی امنیت جهانی مطلوب نیست و از این استانداردها و فناوری ها به همان سرعت که در حال توسعه است استفاده نمی شود اما باید در نظر داشت که بی توجهی به این گونه مسائل می تواند مخاطرات جدی در پی داشته باشد.

تحقیقات ما در آزمایشگاه CERTFA در وب سایتهای پرطرفدار ایرانی (414 وب سایت) نشان می دهد که امنیت وب سایت های ایرانی فرقی با سطح جهانی ندارد و تعداد بسیار کمی از وب سایت ها کاملاً از استانداردهای امنیتی و فناوریهای نوین استفاده می کنند.

طبق تحقیقات به عمل آمده در آزمایشگاه CERTFA فقط 7 وب سایت ارزیابی شده از پیکربندی CSP2 استفاده کرده اند که  Cafebazaar.ir و Virgool.io دارای جزئیات بیشتری هستند. 5 وب سایت دیگر فقط از گزینه upgrade-insecure-requests به عنوان یک تنظیم پیش فرض CSP (سیاست های امنیتی) استفاده کرده اند . در موارد دیگر، وب سایت های محبوبی مانند Digikala.ir ، Aparat.com و Divar.ir که میلیون ها بازدید کننده دارند نه تنها از فرآیند CSP استفاده نکردند بلکه حتی هدر امنیتی اولیه مانند X-Content را نیز به کار نبرده اند. آنها همچنین از هدرهای امنیتی مانند X-Content-Type-Options ، X-Frame-Options ، X-XSS-Protection و غیره را نیز استفاده نکرده اند.

نتایج تجزیه و تحلیل استانداردهای مدرن در این مطالعه (مانند DNSSEC ، CAA ، DMARC ، SPF و Expect-CT) که برای اکثر مشاغل اینترنتی الزامی است نشان می دهد که فقط Eligasht.com یکی از وب سایت های محبوب ایرانی به درستی این فرایند را اعمال کرده و از این استاندارد استفاده کرده است.

از آنجایی که این استانداردهای امنیتی و فناوریهای نوین قابل استفاده و ارزان هستند، می توان گفت دلیل این وضعیت نامطلوب ممکن است سهل انگاری مدیران و ارائه دهندگان خدمات باشد.

امنیت عمومی وب سایت ها به یک چالش حساس و مهم برای کاربران و صاحبان مشاغل آنلاین تبدیل گردیده و روند رو به رشد جرایم سایبری باعث نگرانی صاحبان وب سایت ها و کاربران شده است. یافتن آسیب پذیری های مختلف در فن آوری های مورد استفاده در زیرساخت هاست و طراحی وب سایت، هک شدن وب سایت های معروف و سرویس های اینترنتی و افشای اطلاعات کاربران از جمله دلایلی است که باعث افزایش این نگرانی ها شده است.

اگرچه مسئله امنیت در دنیای دیجیتال هرگز نمی تواند 100 درصد تضمین شود اما در اکثر موارد با اجرای استانداردها و سیاست های امنیتی، به روزرسانی های منظم و رفع آسیب پذیری های شناسایی شده می توان از تهدیدات امنیتی برای وب سایت ها و کاربران آنها تا حدد زیادی جلوگیری کرد. کارشناسان امنیتی و توسعه دهندگان فناوری مرتبط با وب دائما به دنبال اقداماتی برای مقابله با این مشکلات متعارف و افزایش امنیت در اینترنت هستند. در نتیجه این اقدامات هر ساله شاهد افزایش استانداردهای امنیتی جدید و فن آوری های نوین هستیم .

در این راستا می توان گفت پروژه امنیتی (Open Web Application (OWASP یکی از بهترین منابع برای یادگیری نکات امنیتی در وب سایت ها است. در مراحل بعدی، پیروی و اجرای استانداردهایی از قبیل HIPAA ، PCI DSS و NIST برای مشاغل و وب سایت هایی که داده های حساس کاربر را کنترل می کنند ضروری تلقی می شود. 

 هدف این مقاله به اشتراک گذاشتن تجزیه و تحلیل و توضیح عملکرد OWASP و سایر استانداردها نیست زیرا سایر منابع آموزشی وقت کافی را برای توضیح کامل آنها صرف کرده اند. هدف ما افزایش آگاهی در مورد پیروی از این استانداردها در ایران و تشویق بسترهای آنلاین برای اجرای استانداردهای امنیتی است. ما 414 وب سایت معروف ایرانی را بررسی کردیم و پروتکل های کلی استانداردهای امنیتی آنها را در این تحقیق ارزیابی کردیم.

روش ارزیابی

براساس گزارش الکسا، 500 وب سایت برتر پرطرفدار ایران را انتخاب کردیم و برای اینکه دقت بیشتری در کارمان داشته باشیم، وب سایت های غیر ایرانی را از این لیست حذف کردیم. فقط 414 وب سایت که توسط ایرانیان میزبانی می شود و متعلق به آنها هستند بررسی شده است.

ارزیابی فوق صرفا با ابزارهای “implementation of general protocols” و “websites configuration for HTTP response” صورت گرفته است:

معیارها و معیارهای ارزیابی شده

برای اینکه دستیابی به نتایج قابل اعتماد و بررسی ها کاملا دقیق باشد، سعی کردیم معیارها را بر اساس عملکرد و اهمیت به دو بخش تقسیم کنیم:

1- تنظیمات اصلی امنیتی که برای اجرای کلیه وب سایت ها لازم است:

2- امن سازی و پیکربندی امنیتی که برای اجرای مشاغل و وب سایت های محبوب توصیه می شود:

با توجه به محدودیت های قانونی برای تست های امنیتی پیشرفته که باید توسط صاحبان وب سایت ها تأیید شود، ما فقط استانداردهای اساسی را ارزیابی کردیم که همه آنها را می توان به عنوان ویژگیهای کلی وب سایتها طبقه بندی کرد. اما طبق محدودیت های قانونی و خط مشی هایی که داریم نمیتوانیم تمامی جزئیات را منتشر کنیم.

نتیجه

متأسفانه نتایج ارزیابی ما در آزمایشگاه CERTFA نشان می دهد که وضعیت کنونی اجرای استانداردهای امنیتی در وب سایت های محبوب ایرانی رضایت بخش نیست. در اکثر موارد  از تنظیمات و هدرهای اصلی HTTP به درستی استفاده نمی شود و حتی در برخی وب سایت ها پیکربندی ها به گونه ای اجرا می شوند که ممکن است امنیت بازدید کننده آنها به خطر بیفتد.

در همین راستا ما به همه توسعه دهندگان، مدیران و صاحبان مشاغل آنلاین ایرانی توصیه می کنیم که با بررسی وضعیت وب سایت خود به نکات امنیتی و استانداردهای رسمی توجه کنند. از آنجا که اعمال پیکربندی امنیتی و رعایت دستورالعمل های استاندارد با توجه به فراوانی منابع موجود کاملاً رایگان و بدون هزینه های اضافی است، این امر به راحتی می تواند تأثیر بسزایی در بهبود امنیت خود آنها و همچنین کاربران و اینترنت داشته باشد.

منبع
irancyber

دیدگاه ها

.هیچ دیدگاهی یافت نشد
شما هم می توانید درمورد این پست نظر دهید.

Security & privacy

Security Monitoring

Application Security

Database Security

Top