مرکز امنیت و‌ رخدادهای‌ سایبری | APK

آسیب‌پذیری برنامه‌هایِ تحت وبِ بانک‌ها و اهمیت استفاده از Secure DevOps

آسیب‌پذیری برنامه‌هایِ تحت وبِ بانک‌ها و اهمیت استفاده از Secure DevOps

بررسی که بصورت رسمی در Source Code‌های چند برنامه‌ی تحت وب صورت پذیرفت، نشان داد که 85 درصد از این برنامه‌ها دارای نقاط ضعفی هستند که می‌توان از آن‌ها جهت حمله به کاربران استفاده نمود، همچنین مشخص شد که Application‌های تحت وب مربوط به مدیریت امور مالی و سرویس‌های بانکداری بیش از سایر Application‌ها در این امر آسیب‌پذیر هستند. بنا بر این تحقیق، نقاط ضعف امنیتی مذکور، به مهاجمان اجازه می‌دهند که بدون نیاز به مجوز به داده‌های حساس موجود بر روی سرورها و دیتابیس‌ها دسترسی داشته، دستوراتی را اعمال نموده، فایل‌ها را تغییر داده و یا پاک کنند.

علی‌رغم گسترده نبودن دامنه‌ی تحقیق، این بررسی به‌خوبی رایج بودن نقاط ضعف Applicationهای تحت وب مورد استفاده در دنیای واقعی را به نمایش گذاشت. شایع‌ترین نقطه ضعف، Cross-Site Scripting  یا XSS گزارش شد که سوءاستفاده‌ از آن به هکرها اجازه می‌دهد که داده‌ها را دزدیده و یا با تضعیف Application، کاربران را به وب‌سایت‌های حاوی بدافزار Redirect نمایند. دیگر ضعف‌های حائز اهمیت شامل موارد زیر است:

  • HTTP Response Splitting: نقصی مربوط به صحت مقادیر ورودی که می‌توان از آن به عنوان نقطه‌ی شروعی برای حملات و خرابکاری‌های XSS و دیگر انواع آسیب‌ها استفاده نمود.
  • خواندن و ایجاد تغییرات ‌دلخواه بر روی فایل‌ها: نقاط ضعفی که می‌توانند به هکرها اجازه داده که به اطلاعات ذخیره شده بر روی سرورها همچون اطلاعات اعتباری و Source Codeها دسترسی پیدا نموده و یا آن‌ها را جایگزین نمایند.
  • Open Redirect: نقصی مربوط به عدم تأیید Redirection به وب‌سایت‌های دیگر که می‌توان از آن برای حملات Phishing استفاده نمود.
  • Cross-site Request Forgery: مشکلی مربوط به احراز هویت که درصورت سوء‌استفاده‌ از آن می‌توان Application تحت وب آسیب‌پذیر را وادار ساخت که درخواست‌های ناخواسته و یا بی‌مجوزی همچون انتقال دارایی‌ها یا تغییر اطلاعات شخصی را اعمال کند.

از این نقاط ضعف می‌توان برای تضعیف سرورهایی استفاده نمود که میزبان Application‌های تحت وبی هستند که تراکنش‌های مالی را پردازش کرده و یا حاوی داده‌های حساس می‌باشند. این گزارش همچنین حاکی از این بود که Applicationهای تحت وب مربوط به تجارت الکترونیک، بیش از سایر Applicationها در معرض خطر حملات DoS هستند که این امر می‌تواند منجر به ایجاد Downtime در عملیات‌ آنلاین این Applicationها گردد.

Application‌های تحت وب مربوط به مدیریت امور مالی و سرویس‌های بانکداری، به دلیل پیچیدگی فرآیندهای دخیل در مدیریت تراکنش‌، بیش از سایر Application‌ها آسیب‌پذیر هستند. این پیچیدگی می‌تواند شامل این موارد شود: تعاملات میان سرورهای بانک و اطلاعات اعتباری که توسط کاربران در مرورگرها تایپ می‌شود؛ شیوه‌ی تأیید، رمزگذاری، و پردازش تراکنش‌ها به‌صورت Real-Time (همان Mainframe‌ها)؛ و یا طریقه‌ی پیاده‌سازی تمامی عملکردهای Application در تمام پلتفرم‌ها، خصوصا موبایل.

برای مثال در ماه دسامبر سال 2017 مشخص شد که چندین Application محبوب بانکداری در برابر حملات MITM آسیب‌پذیر هستند و این حملات به هکرها اجازه می‌دهند در ترافیک این Applicationها جستجو کرده و اطلاعات بانکی آن‌ها را بدزدند. این نقص امنیتی در شیوه‌ی اداره‌ی اطلاعات رمزگذاری‌شده یافت شد. براساس گزارشی از مؤسسه‌ی Sans، هر چه این فرآیندها پیچیده‌تر باشند و یا هرچه تکنولوژی و مزایای بیشتری معرفی شود؛ سطح گسترده‌تری از آن‌ها می‌تواند در معرض حملات قرار بگیرد. در واقع تنها یک ضعف رفع‌نشده کافی است تا شالوده‌ی شبکه‌ی یک کمپانی به خطر بیافتد.

این نقاط ضعف عمدا بر نقش شایان اهمیت امنیت صحه می‌گذارند، امنیتی که از بهبودپذیری تمام لایه‌های اجزاء زیرین یک Application در برابر حملات سایبری اطمینان حاصل می‌کند. با این‌حال در محیطی که این Applicationها علاوه بر چابکی، به مقیاس‌پذیر بودن نیز احتیاج دارند، مدیریت امنیت یک Application بسیار چالش‌برانگیز می‌شود؛ خصوصا هنگامی که همکاری چندانی میان سازندگان آن Application و متخصصان امنیت اطلاعات وجود نداشته باشد.

DevOps، هم به‌عنوان یک فرهنگ و هم به‌عنوان مجموعه‌ای از ابزار، شیوه‌ای برای پوشاندن این شکاف میان سازندگان Applicationها و متخصصان امنیت اطلاعات ارائه می‌دهد. برای مثال با شناسایی ضعف‌های XSS در ابتدای فرآیند ساخت یک Application تحت وب بانکداری، DevOps می‌تواند از امنیت Session Cookieهایی که حامل اطلاعات اعتباری یک کاربر و یا داده‌های مربوط به پرداخت وی می‌باشند، اطمینان حاصل کند. این امر در نهایت منجر به جلوگیری از بروز ضررهای مالی و یا رخداد مسائل قانونی می‌شود که در صورت سوء‌استفاده‌ی مهاجمین از نقاط ضعف‌، گریبان‌گیر بانک خواهد شد.

DevOps به‌صورت لایه‌ای عمل می‌کند و می‌تواند امنیت را کارآمدتر ساخته و آن را با اجزاء به‌ظاهر ناهمگون یک Application ادغام نماید. رفته‌رفته شرکت‌های تجاری بیشتری درحال استفاده از این رویکرد هستند. در واقع کمپانی Gartner پیش‌بینی کرده است که در سال آینده میلادی، بیش از 70 درصد شرکت‌های تجاری که از DevOps استفاده می‌کنند، امنیت خودکار‌سازی‌شده را در Packageهایی خواهند گنجاند که حامل Applicationهایی هستند که این شرکت‌ها از آن‌ها استفاده کرده و یا پیاده‌سازی می‌کنند. برای سازندگان، ادمین‌های سیستم و متخصصان امنیت اطلاعات، دستورعمل‌های متعلق به Open Web Application Security Project می‌توانند مبنای خوبی برای گنجاندن امنیت در Applicationهای تحت وب باشند، درحالی‌که ابزار خودکارسازی‌شده می‌توانند در حذف Bottleneckهای میان نیاز به ایجاد نوآوری در یک Application و اهمیت اطمینان از امنیت آن، کمک شایانی نماید.

اشتراک امنیت

دسته ها