بسیاری از برنامهنویسان موبایل بر این باورند که اپلیکیشنهای ایشان دارای سطحی مناسب از امنیت هستند که از سوی ارائهدهنده پلتفرم (بویژه iOS) تضمین شده است. آنها عموما تصور میکنند که امکان دستکاری (Tampering) اپلیکیشن وجود ندارد و یا خیلی کم است. از سوی دیگر هرگونه تغییر اپلیکیشن که منجر به دورزدن مکانیزمهای امنیتی شود، میتواند موجب تبعات جبران ناپذیری گردد. در این مقاله با اجرای حملات دستکاری کد برای یک اپلیکیشن واقعی در هر دو پلتفرم، سعی میکنیم این باور غلط را تبیین نموده و همچنین راهکارهای امنسازی اپلیکیشن در برابر این آسیبپذیریها را بیان نماییم.
نویسنده: میلاد یداللهی
دسته بندی: امنیت برنامه های موبایل
سرریز بافر (Buffer overflow) یک آسیبپذیری نرم افزاری متداول است که بر اثر مقداردهی بیش از حد به بافر ایجاد میشود. زمانی که مقدار بیشتری از ظرفیت بافر به آن اعمال شود اطلاعات در فضای بیرون از بافر نوشته میشود و ممکن است اطلاعات قبلی از بین برود. از سوی دیگر این نوع آسیب پذیری به عنوان روشی جهت اعمال حملات منع سرویس (DoS) توسط مهاجمین مورد استفاده قرار می گیرد. در این مقاله به معرفی حملات سرریز بافر می پردازیم و بصورت مختصر درباره شناسایی و راه های مقابله و جلوگیری از این حملات صحبت خواهیم کرد.
نویسنده: سمیرا سروعلیشاه
دسته بندی: ارزیابی امنیتی
انتقال اطلاعات از یک کاربر به کاربر دیگر و یا به اشتراک گذاری محتوا و فایلها یکی از نیازهای روزافزون در شبکه های کامپیوتری می باشد که برای آن پروتکلهای استانداردی نظیر FTP به عنوان یکی از معروفترین و محبوترین آنها، تعریف شده است. FTP یا همان پروتکل انتقال فایل، اگرچه ویژگی های فنی بسیار خوبی دارد، اما متاسفانه فاقد امنیت کافی جهت رمزنگاری بر روی نام های کاربری و رمزعبور و همچنین فایل های انتقالی می باشد. در این مقاله سعی میکنیم ضمن بررسی کارکرد این پروتکل معروف به بیان آسیب پذیری های امنیتی موجود در آن و راهکارهای امن سازی مرتبط می پردازیم.
نویسنده: محمدرضا یگانه
آسیب پذیری HTTP Request Smuggling یکی از انواع آسیب پذیریهای لایه هفتم و با درجه اهمیت بالا (High) می باشد. این آسیب پذیری که ناشی از اختلاف سرورهای فرستنده و گیرنده در تشخیص طول درخواست می باشد، به مهاجم اجازه می دهد تا در نحوه پردازش درخواست های http دریافتی از سوی سرور تداخل ایجاد کند، کنترل های امنیتی را دور بزند و به داده هایی دسترسی پیدا کند که در شرایط واقعی نباید به آنها دسترسی داشته باشد. در این مقاله ضمن بررسی علل و حالتهای مختلف سوء استفاده از این آسیب پذیری، راهکارهای امن سازی آن نیز ارائه شده است.
نویسنده: سامان ارشی