کتاب امنیت سامانه های اینترنتی (جلد دوم)

کتاب امنیت سامانه‌های اینترنتی (جلد دوم) نوشته‌ی دافید استوتارت و مارکوس پینتو با ترجمه‌ی علیرضا طالبی ادامه‌ی مسیری است که جلد اول در زمینه‌ی شناخت و تحلیل ضعف‌های امنیتی برنامه‌های تحت وب آغاز کرده بود. موسسه فرهنگی هنری دیباگران تهران آن را منتشر کرده است و در این جلد تمرکز از صرفِ حمله به سرور، به سمت حمله به کاربران، مرورگرها و اجزای سمت مشتری جابه‌جا شده است. متن کتاب با مثال‌های فنی، سناریوهای واقعی و تشریح گام‌به‌گام حملات، نشان می‌دهد که چگونه نقص‌های ظاهراً ساده در ورودی‌ها، پیام‌های خطا، ذخیره‌سازی داده‌ها یا پیکربندی وب‌سرور می‌توانند به ربودن نشست کاربر، تزریق کد، تخریب مجازی، فیشینگ پیشرفته و حتی دراختیارگرفتن کامل یک سامانه منجر شوند. ساختار کتاب فصل‌بندی دقیق و مبتنی‌بر فرایند تست نفوذ دارد؛ از معرفی حملات اسکریپت بین‌سایتی و انواع آن (بازتاب‌شده، ذخیره‌شده و مبتنی‌بر URL) تا خودکارسازی حملات، بهره‌برداری از پیام‌های خطا، حمله به برنامه‌های کامپایل‌شده‌ی بومی، تحلیل پیکربندی وب‌سرور و درنهایت متدولوژی کامل هکر برنامه‌ی وب. در کنار توضیح حملات، به شیوه‌های پیشگیری، محدودیت ابزارهای اسکن خودکار و اهمیت ترکیب چند ضعف کم‌خطر برای ساختن یک حمله‌ی جدی نیز پرداخته شده است. نسخه‌ی الکترونیکی این اثر را می‌توانید از طاقچه خرید و دانلود کنید.

درباره کتاب امنیت سامانه های اینترنتی (جلد دوم)

کتاب امنیت سامانه‌های اینترنتی (جلد دوم) با تمرکز بر حملات پیشرفته‌تر سمت کاربر و مرورگر، بخش مهمی از منظومه‌ی فکری دافید استوتارت و مارکوس پینتو درباره‌ی امنیت برنامه‌های وب را تکمیل کرده است. در این کتاب، نویسندگان از نقطه‌ای شروع کرده‌اند که بسیاری از منابع متوقف می‌شوند: جایی که نقص‌های کلاسیک سمت سرور (مثل تزریق فرمان) تا حدی شناخته شده‌اند و حالا میدان اصلی در سمت مشتری، مرورگر و تعامل کاربر با برنامه شکل می‌گیرد. فصل ۱۲ با عنوان «حمله به کاربران: اسکریپت بین‌سایتی» نمونه‌ی روشنی از این رویکرد است؛ جایی که انواع XSS بازتاب‌شده، ذخیره‌شده و مبتنی‌بر URL با مثال‌های دقیق، سناریوهای واقعی و تحلیل رفتار مرورگرها تشریح شده است. در همین فصل، مفاهیمی مانند خط‌مشی همان‌مبدأ، ربودن نشست، تزریق تروجان در صفحات معتبر، تخریب مجازی، سوءاستفاده از قابلیت تکمیل خودکار مرورگر، و زنجیره‌کردن چند ضعف کوچک برای ساختن یک حمله‌ی بزرگ توضیح داده شده است. کتاب نشان می‌دهد که چگونه یک نقص ظاهراً کم‌اهمیت در نمایش پیام خطا یا ذخیره‌ی نام نمایشی کاربر، وقتی با یک ضعف کنترل دسترسی ترکیب شود، می‌تواند به تصاحب حساب مدیر و درنهایت کنترل کامل برنامه منجر شود. کتاب امنیت سامانه‌های اینترنتی (جلد دوم) در ادامه‌ی فصل‌های مربوط به XSS، به مکانیسم‌های تحویل حملات می‌پردازد؛ از فیشینگ هدفمند و پیام‌های فوری تا سوءاستفاده از تبلیغات بنری، فرم‌های «به یک دوست بگو» و حتی محتوای سایت‌های شخص ثالث. سپس فصل‌های بعدی به موضوعاتی مانند خودکارسازی حملات سفارشی، تشخیص بازدیدها، اسکریپت‌نویسی حمله، جمع‌آوری داده‌های مفید برای آسیب‌پذیری‌های رایج، موانع اتوماسیون و مکانیسم‌های مدیریت نشست اختصاص یافته است. در بخش دیگری از کتاب، بهره‌برداری از پیام‌های خطا، نشت اطلاعات از پیام‌های اشکال‌زدایی، پیام‌های پایگاه‌داده و داده‌های عمومی منتشرشده بررسی شده است. فصل‌های مربوط به حمله به برنامه‌های کامپایل‌شده‌ی بومی، سرریز بافر، آسیب‌پذیری‌های عدد صحیح، رشته‌های قالب‌بندی، و نیز فصل‌های مرتبط با پیکربندی وب‌سرور، فایروال برنامه‌ی وب، ماژول‌های بالقوه خطرناک، پیکربندی محیط اسکریپت‌ها و مرور کد سمت سرور، تصویر نسبتاً کاملی از سطح حمله‌ی یک برنامه‌ی وب ارائه کرده است. در پایان، فصل متدولوژی هکر برنامه، یک دستورالعمل گام‌به‌گام برای تحلیل برنامه، تست کنترل‌های سمت مشتری، احراز هویت، کنترل دسترسی، آسیب‌پذیری‌های مبتنی‌بر ورودی، ایرادات منطقی و نقص‌های هاست اشتراکی ارائه کرده است.

خلاصه کتاب امنیت سامانه های اینترنتی (جلد دوم)

کتاب امنیت سامانه‌های اینترنتی (جلد دوم) بر این ایده استوار است که امنیت برنامه‌های وب فقط با بستن چند حفره‌ی شناخته‌شده در سمت سرور تأمین نمی‌شود و بخش بزرگی از ریسک، در جایی نهفته است که کاربر، مرورگر و کد سمت مشتری با هم تلاقی می‌کنند. نویسندگان ابتدا نشان داده‌اند که چگونه تمرکز تاریخی امنیت از سرورها به سمت سرویس‌گیرنده جابه‌جا شده است؛ سرورهای وب اصلی مایکروسافت در نسخه‌های جدید، آسیب‌پذیری حیاتی عمومی ندارند اما مرورگر اینترنت اکسپلورر بارها هدف نقص‌های جدی بوده است. همین الگو در برنامه‌های وب نیز دیده می‌شود: درحالی‌که تزریق فرمان و نقص‌های کلاسیک سمت سرور به‌تدریج کمتر و پیچیده‌تر شده‌اند، عیب‌های سمت مشتری همچنان فراوان و اغلب ساده برای کشف هستند. در بخش مفصل مربوط به اسکریپت بین‌سایتی، کتاب سه نوع اصلی XSS را معرفی کرده است: بازتاب‌شده، ذخیره‌شده و مبتنی‌بر URL. برای هر نوع، چرخه‌ی حمله، مثال‌های کد، نحوه‌ی ربودن نشست، دورزدن خط‌مشی همان‌مبدأ، و تبدیل یک نقص ساده به کرم خودتکثیرشونده توضیح داده شده است. سپس طیفی از پیلودها بررسی شده است: از ربودن نشست و تخریب مجازی تا تزریق فرم‌های ورود تروجان، سرقت اطلاعات کارت اعتباری، القای اقدامات کاربر، سوءاستفاده از روابط اعتماد مرورگر (مانند تکمیل خودکار و ناحیه‌ی سایت‌های مورداعتماد) و تشدید حملات سمت مشتری مثل ثبت کلیدها و اسکن پورت. کتاب نشان داده است که چگونه XSS می‌تواند با سایر ضعف‌ها زنجیره شود؛ برای مثال ترکیب یک XSS ذخیره‌شده‌ی ظاهراً بی‌خطر در نام نمایشی کاربر با نقص کنترل دسترسی، به ربودن نشست مدیر و ارتقای سطح دسترسی مهاجم منجر می‌شود. در ادامه، نویسندگان به روش‌مندکردن کشف و بهره‌برداری از XSS پرداخته‌اند: ارسال رشته‌های منحصربه‌فرد به همه‌ی نقاط ورودی، شناسایی بازتاب‌ها، تحلیل زمینه‌ی نحوی (درون تگ، ویژگی، رشته‌ی جاوااسکریپت و …)، ساختن ورودی متناسب با آن زمینه و سپس تحلیل و دورزدن فیلترهای دفاعی مبتنی‌بر امضا یا لیست سیاه. بخش قابل‌توجهی از متن به معرفی روش‌های غیرمعمول اجرای اسکریپت اختصاص یافته است؛ از تگ‌های اسکریپت پیچیده‌شده، کنترل‌کننده‌های رویداد کمتر شناخته‌شده، شبه‌پروتکل‌ها، تگ‌های جدید HTML5 و سبک‌های پویا گرفته تا استفاده از خطاهای نحوی قابل‌تحمل مرورگرها برای عبور از فیلترها. در فصل‌های بعدی، کتاب به خودکارسازی حملات، محدودیت‌های اسکنرهای آسیب‌پذیری، بهره‌برداری از پیام‌های خطا و نشت اطلاعات، حمله به برنامه‌های بومی و تحلیل پیکربندی وب‌سرور می‌پردازد و در پایان، یک متدولوژی گام‌به‌گام برای تست نفوذ برنامه‌ی وب ارائه کرده است که از تحلیل اولیه تا آزمون ایرادات منطقی و نقص‌های هاست اشتراکی را پوشش می‌دهد.

چرا باید کتاب امنیت سامانه های اینترنتی (جلد دوم) را بخوانیم؟

امنیت سامانه‌های اینترنتی (جلد دوم) برای کسانی که فراتر از فهرست آسیب‌پذیری‌ها به‌دنبال درک عمیق منطق حمله و دفاع در برنامه‌های وب هستند، یک نقشه‌ی دقیق از سطح حمله‌ی سمت مشتری و تعامل آن با سرور ترسیم کرده است. این کتاب نشان داده است که چرا نقص‌های به‌ظاهر کم‌اهمیت در پیام‌های خطا، نام‌های نمایشی، فیلدهای جست‌وجو یا داده‌های ذخیره‌شده، وقتی در کنار هم قرار بگیرند می‌توانند به ربودن نشست مدیر، تزریق تروجان در صفحات معتبر یا حتی تصاحب کامل سامانه منجر شوند. خواننده با مطالعه‌ی فصل‌های مربوط به XSS، نشت اطلاعات، خودکارسازی حملات و متدولوژی هکر برنامه، یاد می‌گیرد چگونه ورودی‌ها را سیستماتیک بررسی کند، بازتاب‌ها را پیدا کند، زمینه‌ی نحوی را تحلیل کند، فیلترهای دفاعی را بشکند و درعین‌حال برای هر ضعف، راهکارهای پیشگیرانه‌ی معقول طراحی کند. این کتاب همچنین فاصله‌ی بین تئوری و عمل را کم کرده است؛ با آوردن نمونه‌های واقعی از حملات علیه پروژه‌هایی مانند سامانه‌ی ردیابی خطای آپاچی، شبکه‌های اجتماعی و سرویس‌های ایمیل تحت وب، نشان داده شده که سناریوهای مطرح‌شده صرفاً تمرین آزمایشگاهی نیستند. بخش‌های مربوط به مکانیسم‌های تحویل حملات (از فیشینگ هدفمند تا تبلیغات بنری و فرم‌های داخلی سایت)، محدودیت اسکنرهای خودکار و نقش مهندسی اجتماعی، دیدی واقع‌بینانه نسبت به تهدیدها ارائه کرده است. در انتها، متدولوژی جامع تست نفوذ برنامه‌ی وب، به خواننده کمک می‌کند آموخته‌های پراکنده را در قالب یک فرایند منظم از تحلیل اولیه تا آزمون کنترل‌های دسترسی، احراز هویت، ایرادات منطقی و نقص‌های هاست اشتراکی به‌کار بگیرد. برای کسانی که با جلد اول آشنا هستند، این جلد دوم حلقه‌ی مفقوده‌ی درک حملات سمت مشتری و مرورگر را تکمیل کرده است.

خواندن این کتاب را به چه کسانی پیشنهاد می‌کنیم؟

مطالعه‌ی امنیت سامانه‌های اینترنتی (جلد دوم) به متخصصان و دانشجویان حوزه‌ی امنیت اطلاعات، تست‌نفوذ و مهندسی نرم‌افزار پیشنهاد می‌شود که می‌خواهند درک عمیق‌تری از حملات سمت مشتری، XSS و زنجیره‌کردن ضعف‌های کوچک به‌دست آورند. همچنین به توسعه‌دهندگان وب، معماران سامانه‌ها و مدیران فنی که مسئول طراحی و بازبینی امنیتی برنامه‌های تحت وب هستند و به مدیران امنیت سازمانی که نیاز دارند محدودیت اسکنرها، ریسک نشت اطلاعات و نقش مرورگر و کاربر در سطح حمله را بهتر بشناسند، توصیه می‌شود.