مشاوره و ارائه راهکارهای امنیت وب و تست نفوذ

مشاوره و ارائه راهکارهای امنیت وب و تست نفوذ


گروه مهندسی دنیای هوشمند با توجه به توان متخصصین خود در زمینه شناسایی آسیب پذیریها در برنامه های تحت وب قادر است راهکارهای امنیتی مناسب به مشتریان خود ارائه نماید.قسمتی از راهکارهای انجام گرفته در زمینه تست نفوذ برنامه های تحت وب مشتریان بصورت خلاصه در زیر آمده است.

1-Exploiting Blind SQLi
انجام تست امنیت بر روی دیتا بیس های مختلف برنامه های تحت وب.قابل ذکر است sql injection نوعی تزریق کدهای sql به دیتابیس میباشدکه از طریق آن میتوان به تمامی اطلاعات دیتابیس مانند ساختار جداول ، اطلاعات موجود در جداول ذخیره شده دیتا بیس دسترسی پیدا کرد.

2-Using Burp Suite in a web penetration test
استفاده از نرم افزار حرفه ای Burpe Suite جهت شناسایی آسیب پذیریهای برنامه های تحت وب. Burpe suiteیکی از ابزارهای بسیار جذاب هم در حوزه امنیت تدافعی و هم در حوزه امنیت تهاجمی محسوب می شود. این ابزار به عنوان یک مجموعه ابزار یا بهتر بگوییم یک پلتفرم برای انجام تست های امنیتی بر روی نرم افزارهای تحت وب مورد استفاده قرار می گیرد.

3-Exploiting local and remote file inclusions
آسیب پذیری قراردادن فایل یا File Inclusion به نفوذگر اجازه میدهد یک فایل را چه از راه دور و چه محلی با برنامه تحت وب تلفیق کند این آسیب پذیری بر اساس مکان رویداد و کد آسیب پذیر میتواند استفاده های گوناگونی برای نفوذگر داشته باشد.

این نوع آسیب پذیری میتواند باعث خسارات زیر شود : ⦁ اجرای کد بر روی سرور وب
⦁ اجرای کد در سمت سرویس گیرنده از قبیل JavaScript که می‌تواند منجر به حملات اسکریپت نویسی فراتر از وبگاه (XSS) شود.
⦁ حملات تکذیب سرویس / DOS


4-Exploring advanced discovery techniques for SQL injection and other server-based flaws
تزریق به پایگاه داده یا دیتابیس (SQL Injection) نوعی از حملات وب است که در آن فرد حمله کننده یا هکر می‌تواند اقدام به اجرا کردن دستورات دلخواه و مخرب خود بر روی پایگاه داده وب سایت مورد هدف کند. در این حمله، حمله کننده با استفاده از دانش خود (یا تنها با استفاده از یک برنامه ساده!) می‌تواند از نقض‌های امنیتی موجود در کدهای نوشته شده توسط برنامه نویس سایت استفاده کرده و به اصطلاح آن‌ها را اکسپلویت کند. چون در این حمله هکر درواقع به کد اسکیوال، کد دلخواه خود را اضافه می‌کند، تزریق SQL نام گرفته است.

5-Exploring advanced exploitation of XSS and XSRF in a combined attack
بررسی آسیب پذیری وب سایت های مورد نظر نسبت به آسیب پذیریهای xss و xsrf

6-Authentication bypass in PHP
بررسی تکنیک ورود به سایت های PHP بدون احراز هویت

7-Flash, Java, ActiveX, and Silverlight vulnerabilities
بررسی آسیب پدیریهای گوناگون در وب سایت هایی که از Flash ، Java ، ActiveX و Silverlight استفاده نموده اند

8-SOAP and REST web services
بررسی وب سرویس های soap و rest در برنامه های تحت وب.SOAP پروتکلی جهت ارتباط بین برنامه های تحت وب میباشد.امن سازی بستر این ارتباطات جهت جلوگیری از سرقت نشست های احتمالی از مهم ترین اصول برقراری امنیت در دنیای وب میباشد.

REST که مخفف Representational State Transfer میباشد یک معماری وب سرویس است که از HTTP برای انتقال اطلاعات میان کلاینت و سرور استفاده میکند کار کردن با REST بسیار ساده تر از وب سرویس های پیچیده ای مانند SOAP میباشد.

8-WebSocket protocol issues and vulnerabilities
بررسی آسیب پذیری های websocket در برنامه های تحت وب.تکنولوژی WebSocket امکان ارتباط دوطرفه بین کلاینت و سرور را در قالب یک اتصال TCP فراهم می آورد. WebSocket برای پیاده سازی شدن توسط مرورگرها و وب سرورها پیاده سازی شده است اما قابلیت استفاده در هر برنامه کلاینت و سروری را دارد (بدلیل اینکه پروتکل WebSocket بر پایه TCP است).

9-New HTTP/2 protocol issues and penetration testing
بررسی مشکلات و آسب پذیریهای وب سایت هایی که از پروتکل جدید HTTP/2 استفاده میکنند.

10-Web Application Firewalling and filtering techniques
ارائه راه حل های مناسب جهت فایروالینگ برنامه های تحت وب

11-Fingerprinting the defense techniques used
ارائه تکنیک ها و روشهای تدافعی جهت امن سازی بستر برنامه تحت وب و وب سایت های مورد نظر

12-Heartbleed exploitation
بررسی و ارائه راه حل جهت وب سایت هایی که دارای آسیب پذیری خونریزی قلبی میباشند. به جرات می توان گفت که این مشکل امنیتی یکی از فراگیرترین و خطرناک ترین حفره هایی است که تا کنون تجربه کرده ایم. این حفره امنیتی در داخل یکی از رایج ترین نرم افزارها/سرویس های امنیت اینترنتی (OpenSSL) که در حدود ۷۰ درصد از سایت های اینترنتی را پوشش می دهد یافت شده است.

13-Discovering and exploiting Shellshock
بررسی و ارائه راه حل جهت رفع آسیب پذیری Shellshock :آسیب پذیری Shellshock مربوط به نرم افزاری موسوم به Bash است که در بسیاری از سیستم عامل‌ها مانند مک، یونیکس و لینوکس به کار می‌رود. هکرها از این آسیب پذیری برای اجرای برنامه‌های مخرب به طور مخفیانه بر روی رایانه‌های قربانی استفاده می‌کنند.این باگ بر روی بسیاری از هاستینگ ها که میزبانی وب سایت ها و برنامه های تحت وب را برعهده دارند وجود دارد.



ثبت درخواست مشاوره و دمو رایگان

کارشناسان ما در اولین فرصت با شما تماس خواهند گرفت