کتاب مروری بر مهمترین تست های امنیتی سرویس های تحت وب

کتاب مروری بر مهمترین تست‌های امنیتی سرویس‌های تحت وب نوشته‌ی احسان امجدی راهنمایی مفصل برای طراحی و اجرای تست‌های امنیتی روی وب‌سرویس‌ها و وب‌اپلیکیشن‌ها است که نشر موسسه فرهنگی هنری دیباگران تهران آن را منتشر کرده است. نویسنده با تکیه‌بر پروژه تست OWASP (با شناسه‌ی 0۷۷۸۵۵۳ در متن کتاب) ساختاری مرحله‌به‌مرحله برای سنجش امنیت نرم‌افزارهای تحت وب ارائه کرده است؛ از سنجش آثار اقتصادی نرم‌افزار ناامن و مدل‌سازی تهدید گرفته تا طراحی فریم‌ورک تست، ادغام امنیت در چرخه‌ی توسعه نرم‌افزار و اجرای تست نفوذ. در مقدمه‌ی کتاب به‌روشنی توضیح داده شده که دغدغه‌ی اصلی، یکسان‌سازی برداشت‌ها از «تست نفوذ وب» و تبدیل آن از یک فعالیت مقطعی و هیجانی به بخشی پایدار از فرایند توسعه است. متن کتاب علاوه‌بر معرفی مفاهیم پایه‌ای مثل تعریف تست، تهدید، آسیب‌پذیری و ریسک، وارد جزئیات عملی می‌شود؛ از نحوه‌ی استفاده از اسکنرها و ابزارهای خودکار تا بررسی دستی کد، طراحی سناریوهای تهدید و مستندسازی نتایج تست. نسخه‌ی الکترونیکی این اثر را می‌توانید از طاقچه خرید و دانلود کنید.

درباره کتاب مروری بر مهمترین تست های امنیتی سرویس های تحت وب

کتاب مروری بر مهمترین تست‌های امنیتی سرویس‌های تحت وب با تمرکز بر پروژه تست OWASP Web Security Testing Guide (که در متن کتاب با شناسه‌ی 0۷۷۸۵۵۳ از آن یاد شده) نوشته شده و احسان امجدی در آن تلاش کرده است تصویر نسبتاً کاملی از چرخه‌ی تست امنیت وب‌اپلیکیشن ارائه دهد. در فصل‌های ابتدایی، نویسنده از سنجش امنیت و آثار اقتصادی نرم‌افزار ناامن شروع کرده است؛ جایی که نشان می‌دهد بدون امکان اندازه‌گیری، کنترل امنیت عملاً ممکن نیست و صرفاً به نصب وصله‌ها و ابزارها محدود می‌شود. سپس مفهوم «تست» را از نگاه فرهنگ لغت و از نگاه صنعت امنیت بازتعریف کرده و آن را به‌عنوان فرایندی برای ارزیابی وضعیت سیستم در برابر مجموعه‌ای از شاخص‌ها توضیح داده است. در ادامه، تفاوت نگاه صرفاً تکنیکال با نگاهی که اقتصاد، مدیریت و فرایند را هم در سنجش امنیت دخیل می‌داند، برجسته شده است. در همین بخش‌ها، نویسنده با مثال‌هایی مثل هزینه‌ی محصولات نرم‌افزاری کم‌کیفیت و مدل‌های اشتباه وصله‌محور، نشان داده است که چرا امنیت باید در چرخه‌ی توسعه نرم‌افزار (SDLC) ادغام شود. کتاب مروری بر مهمترین تست‌های امنیتی سرویس‌های تحت وب در فصل‌های بعدی ساختار خود را روشن‌تر می‌کند و از سطح مفهومی به سطح عملی نزدیک می‌شود. ابتدا کلیت پروژه تست OWASP و هدف آن در پاسخ‌دادن به سؤالاتی مثل «چرا تست انجام شود؟ چه زمانی؟ کجا؟ و چگونه؟» تشریح شده است. سپس طبقه‌بندی محتوای کتاب معرفی می‌شود: بخشی برای معرفی پروژه و پیش‌نیازها، فصلی برای قوانین و تکنیک‌های تست، فصلی برای محیط تست و ادغام امنیت در فازهای مختلف توسعه، و فصلی برای رویارویی با آسیب‌پذیری‌های خاص (هم در سطح کد و هم در سطح تست نفوذ). در ادامه، نویسنده تکنیک‌های مختلف تست را باز می‌کند: بازرسی‌ها و بررسی‌های دستی، مدل‌سازی تهدید، بررسی سورس‌کد، تست نفوذ، تست‌های غیراتوماتیک و جایگاه هرکدام در یک برنامه‌ی متعادل تست. بخش مهم دیگری از کتاب به طراحی فریم‌ورک تست امنیت وب‌سرویس اختصاص دارد؛ جایی که مراحل «پیش از توسعه»، «تعریف و طراحی»، «توسعه»، «استقرار» و «پشتیبانی و عملیات» یکی‌یکی مرور شده و برای هر مرحله نوع تست، شاخص‌های قابل‌اندازه‌گیری، نحوه‌ی مستندسازی و نقش تیم‌های مختلف (توسعه، امنیت، عملیات) توضیح داده شده است. در فصل‌های پایانی نیز روش‌های اجرای تست نفوذ، استانداردها و فریم‌ورک‌های مرجع (مانند PTES، PCI DSS، NIST SP 800-115 و Penetration Testing Framework) و در نهایت ساختار تست امنیت وب‌اپلیکیشن بر اساس دسته‌های ۱۲گانه‌ی OWASP (از جمع‌آوری اطلاعات تا تست منطق کسب‌وکار و سمت مشتری) تشریح شده است.

خلاصه کتاب مروری بر مهمترین تست های امنیتی سرویس های تحت وب

نویسنده در مروری بر مهمترین تست‌های امنیتی سرویس‌های تحت وب ابتدا مسئله را از زاویه‌ی «سنجش امنیت» مطرح می‌کند: امنیت بدون امکان اندازه‌گیری، قابل‌کنترل نیست. او توضیح می‌دهد که سنجش امنیت فقط به تعداد آسیب‌پذیری‌ها یا شدت تکنیکال آن‌ها محدود نمی‌شود و باید تأثیر اقتصادی مشکلات امنیتی بر نرم‌افزار و کسب‌وکار را هم دربر بگیرد. در همین چارچوب، تعریف «تست» بازنویسی می‌شود: فرایندی که در آن وضعیت سیستم یا اپلیکیشن در برابر مجموعه‌ای از شاخص‌ها ارزیابی می‌شود. سپس نویسنده نشان می‌دهد که مدل‌های رایج مبتنی‌بر وصله (Patch) و واکنش پس از افشای آسیب‌پذیری، به‌دلیل فاصله‌ی زمانی بین کشف، افشا، تولید ابزار اکسپلویت و نصب وصله، نمی‌توانند امنیت پایدار ایجاد کنند و باید امنیت را در چرخه‌ی توسعه نرم‌افزار (SDLC) نهادینه کرد. در ادامه‌ی کتاب مروری بر مهمترین تست‌های امنیتی سرویس‌های تحت وب، پروژه تست OWASP به‌عنوان چارچوب اصلی معرفی می‌شود؛ چارچوبی که به‌جای ارائه‌ی صرف یک چک‌لیست، سعی کرده است «شرایط یک تست واقعی» را توصیف کند. نویسنده قوانین پایه‌ای تست را فهرست می‌کند: نبود «شاه‌کلید» در امنیت، لزوم نگاه استراتژیک به‌جای رفع موردی باگ‌ها، انجام تست به‌موقع و مداوم در هر فاز SDLC، خودکارسازی فرایند تست در محیط‌های CI/CD، تعیین سطح امنیت موردنیاز بر اساس طبقه‌بندی دارایی‌ها، توسعه‌ی تفکر مهاجم‌محور، درک دقیق اپلیکیشن و مستندسازی نتایج تست. سپس تکنیک‌های اصلی تست را باز می‌کند: بازرسی‌ها و بررسی‌های دستی برای سنجش آگاهی افراد و فرایندها، مدل‌سازی تهدید برای شناسایی دارایی‌ها، آسیب‌پذیری‌ها و سناریوهای حمله، بررسی سورس‌کد برای کشف خطاهایی که در تست جعبه‌سیاه دیده نمی‌شوند، تست نفوذ برای شبیه‌سازی رفتار مهاجم و در نهایت ترکیب متعادل این روش‌ها در فازهای مختلف توسعه. بخش میانی کتاب به طراحی فریم‌ورک تست امنیت وب‌سرویس اختصاص دارد. نویسنده مراحل «پیش از توسعه» (تعریف SDLC امن، مرور استانداردها و پالیسی‌ها، تعریف شاخص‌ها)، «تعریف و طراحی» (بررسی الزامات امنیتی، بازبینی معماری، تعریف مدل‌های Use Case و مدل‌های تهدید)، «توسعه» (بررسی غیررسمی کد، Code Review ساخت‌یافته بر اساس چک‌لیست‌های زبان و استانداردهای سازمانی)، «استقرار» (تست نفوذ اپلیکیشن و تست پیکربندی زیرساخت) و «پشتیبانی و عملیات» (مدیریت عملیات، پایش دوره‌ای سلامت سرویس، مدیریت تغییرات) را تشریح کرده است. در این مسیر، مثال‌هایی از سناریوهای واقعی آورده می‌شود؛ مثل «پارامترهای جادویی» که فقط با بررسی کد قابل‌کشف هستند یا پیاده‌سازی‌های اشتباه رمزنگاری که اسکنرهای خودکار قادر به تشخیص آن‌ها نیستند. در بخش‌های پایانی، کتاب به روش‌های اجرای تست نفوذ بر اساس استانداردهایی مانند PTES، PCI DSS و NIST SP 800-115 می‌پردازد و سپس ساختار تست امنیت وب‌اپلیکیشن را در قالب ۱۲ دسته‌ی اصلی OWASP (از جمع‌آوری اطلاعات و تست مدیریت پیکربندی تا تست منطق کسب‌وکار، سمت مشتری و API) جمع‌بندی می‌کند.

چرا باید کتاب مروری بر مهمترین تست های امنیتی سرویس های تحت وب را بخوانیم؟

مروری بر مهمترین تست‌های امنیتی سرویس‌های تحت وب چند ویژگی برجسته دارد که آن را برای کسانی که با وب‌اپلیکیشن‌ها سروکار دارند قابل‌توجه می‌کند. نخست این‌که نویسنده امنیت را صرفاً به «تست نفوذ نهایی» تقلیل نداده است؛ بلکه نشان داده که تست باید در تمام فازهای چرخه‌ی توسعه نرم‌افزار حضور داشته باشد و از مرحله‌ی تعریف نیازمندی‌ها و طراحی معماری تا استقرار و پشتیبانی ادامه پیدا کند. این نگاه باعث می‌شود خواننده امنیت را نه به‌عنوان یک پروژه‌ی مقطعی، بلکه به‌عنوان بخشی از فرایند توسعه درک کند. دوم این‌که کتاب مروری بر مهمترین تست‌های امنیتی سرویس‌های تحت وب به‌جای تکیه‌ی کامل بر ابزارها و اسکنرها، روی ترکیب متعادل روش‌ها تأکید کرده است: بررسی دستی کد، مدل‌سازی تهدید، تست نفوذ، تحلیل استاتیک و داینامیک، و بازرسی فرایندها و افراد. در متن کتاب با مثال‌های مشخص نشان داده شده که چرا ابزارهای خودکار به‌تنهایی کافی نیستند و چه نوع خطاهایی فقط با نگاه انسانی و فهم معماری قابل‌کشف است. سوم این‌که ساختار کتاب بر پایه‌ی پروژه تست OWASP شکل گرفته و دسته‌بندی ۱۲گانه‌ی تست‌ها (از جمع‌آوری اطلاعات تا تست منطق کسب‌وکار و سمت مشتری) را به‌صورت منظم توضیح داده است؛ بنابراین خواننده می‌تواند از آن کتاب به‌عنوان نقشه‌ای برای طراحی برنامه‌ی تست امنیت در سازمان خود استفاده کند. در نهایت، تأکید مداوم بر مستندسازی نتایج تست، تعریف شاخص‌های قابل‌اندازه‌گیری و سنجش آثار اقتصادی نرم‌افزار ناامن، این اثر را به منبعی تبدیل کرده است که امنیت را هم‌زمان از زاویه‌ی فنی، مدیریتی و اقتصادی بررسی کرده است.

خواندن این کتاب را به چه کسانی پیشنهاد می‌کنیم؟

خواندن مروری بر مهمترین تست‌های امنیتی سرویس‌های تحت وب به متخصصان و علاقه‌مندان حوزه‌ی امنیت وب، تست نفوذ و هک و تست نفوذ پیشنهاد می‌شود. همچنین به توسعه‌دهندگان وب، معماران نرم‌افزار و مدیران فنی که می‌خواهند امنیت را در چرخه‌ی توسعه‌ی محصولات خود ادغام کنند توصیه می‌شود. دانشجویان رشته‌های مرتبط با فناوری اطلاعات و امنیت اطلاعات که به‌دنبال آشنایی ساختارمند با پروژه تست OWASP و فریم‌ورک‌های تست امنیت هستند نیز می‌توانند از آن کتاب استفاده کنند.