در دنیایی که در آن به سر میبریم (یعنی دنیای دیجیتال) روز به روز به اهمیت امنیت، حریم خصوصی و مقابله در برابر نفوذ افزوده میشود چرا که زندگی اکثر کاربران به گونهای با فناوریهای مدرن عجین شده است که دیگر به سختی میتوان از فناوری دل کند و مجرمین سایبری هم از این فرصت سوءاستفاده کرده و به دنبال راههایی برای نفوذ به سیستمهای سازمانها، شرکتها و حتی کاربران خانگی هستند. در این مقاله، با شش مرحله از تستهای امنیتی آشنا میشوید تا بتوانید تا حد امکان از ایمنی و امنیت وب اپلیکیشنها اطمینان حاصل کنید.
مدلسازی تهدید
ایمن کردن یک برنامه، زمان و منابع زیادی میطلبد. با در نظر گرفتن دهها نرمافزاری که توسط کارکنان در تمام سطوح شرکتها استفاده میشوند، ضروری به نظر میرسد تا اطمینان حاصل کنیم که تمهیدات امنیتی به بهترین شکل ممکن پیادهسازی شدهاند و به همین دلیل هم هست که Threat Modeling (مدلسازی تهدید) یک گام اولیهٔ حیاتی در تست امنیتی برنامهها است. در این مرحله، امکان تحلیل برنامه، شناسایی تهدیدات و رتبهبندی آنها بر اساس شدت و در نهایت اختصاص زمان و منابع کافی به منظور جلوگیری از آنها در نظر گرفته میشود.
احراز هویت
Authentication (احراز هویت) یک خطمقدم بسیار مهم دفاعی به حساب میآید و در واقع اطمینان حاصل میکند که تنها کاربران و سرورهای به رسمیت شناخته شده، اجازهٔ تعامل با یک برنامه را دارند. مشکلات احراز هویت کاربری از علل شایع نفوذ به سیستمها و دسترسی به دادههای آنها هستند و در این بین، داشتن نام کاربری و پروتکلهای قوی رمزعبور کاربران نیز از اهمیت زیادی برخوردارند.
همچنین داشتن قابلیت Two-factor Authentication (احراز هویت دو مرحلهای) امری ضروری برای یک وب اپلیکیشن اصولی است. همچنین تعداد دفعاتی که کاربران برای لاگین کردن تلاش میکنند، همگی باید به صورت لاگ در سیستم ثبت شوند و عدم موفقیت کاربران در لاگین کردن میبایست با عملیات قفل شدن حساب کاربری توأم گردد.