معرفی
در این مقاله، میخواهیم Sensitive Data Exposure را مورد بحث قرار دهیم، آسیبپذیری که رتبه سوم را در لیست ۱۰ برتر OWASP در سال ۲۰۱۷ کسب کرده است. این واقعیت که Sensitive Data Exposure در فهرست سوم قرار گرفته است، اهمیت آن را در امنیت برنامههای وب نشان میدهد. برای توجیه موقعیت آن، میخواهید تجزیه و تحلیل کنید که آسیبپذیری چه چیزی را «دادههای حساس» مشخص میکند، این به خودی خود موقعیت آن را در لیست ۱۰ برتر توجیه میکند. اجازه دهید در مورد معنای این آسیبپذیری، آنچه که شامل آن میشود و تأثیر آن و همچنین پیشگیری از آن بحث کنیم.
داده های حساس چیست؟
عبارت توصیفی "داده های حساس" این مفهوم را ایجاد می کند که ما به حفاظت بیشتری نیاز داریم. این نشان می دهد که قبلاً "نوعی حفاظت" وجود داشته است، اما با توجه به ماهیت داده هایی که در اینجا به آنها اشاره می شود، ما به "حفاظت بیشتر" نیاز داریم. ما این رویکرد را در پیش می گیریم و از نظر برنامه های کاربردی وب و وب سایت ها به آن فکر می کنیم. در درجه اول قبل از اینکه به ماهیت تجارت نگاه کنیم، برنامه در حال فعالیت است. ابتدا به ماهیت back-end برنامه نگاه می کنیم.
چه چیزی را می توان در برنامه "حساس" در نظر گرفت؟
برای پاسخ به این سوال میتوانیم به چندین پاسخ مانند:
- سیستم عاملی که برنامه روی آن قرار دارد.
- زبانی که برنامه به آن نوشته شده است (Source-Code).
- سیستم های داخلی که داده ها را با آنها به اشتراک می گذارد.
همه این اطلاعات تحت عنوان اطلاعات "حساس" قرار می گیرند زیرا همه این آسیب پذیری ها می توانند توسط مهاجم برای دستکاری یا تغییر رفتار برنامه یا سرقت اطلاعات نگهداری شده در برنامه مورد استفاده قرار گیرند.
رویکرد دوم این است که در نظر بگیریم که برنامه چه نوع داده ای را ذخیره و به اشتراک می گذارد. توسعه دهندگان مایلند تمام این جنبه ها را بررسی کنند تا جنبه های امنیتی برنامه را به عنوان یک کل در نظر بگیرند. داده های حساس به طور کلی ممکن است شامل موارد زیر باشد:
- دسترسی به رمزهای عبور
- اطلاعات بانکی: اطلاعات بانکی شخصی شما، جزئیات کارت اعتباری.
- اطلاعات بهداشتی.
- اطلاعات شخصی.