همزمان با رشد روز افزون استفاده از اینترنت و شبکه های مجازی ، مخاطرات اینترنتی به ویژه در مورد سامانه های تحت وب نیز افزایش بسیاری پیدا کرده است. مهمترین حملاتی که سامانه های تحت وب را تهدید می کند، توسط پروژه OWASP بررسی و دسته بندی شده اند که XSS یکی از آنهاست. در این مقاله علاوه بر معرفی حمله XSS و انواع آن، روشها و ابزار شناسایی آن نیز تشریح شده است. در انتها نیز راهکارهای مختلفی که جهت پیشگیری از سوء استفاده از این آسیب پذیری قابل پیاده سازی است، به اجمال مورد بررسی قرار گرفته است.

نویسنده: عرفان باقری اول

دسته بندی: ارزیابی امنیتی

334 تعداد بازدید تاریخ انتشار 1 تعداد نظرات ادامه مطلب

زمانی که یک مرورگر از یک Origin بهOrigin دیگری درخواست HTTP ارسال می کند، تمامی کوکی ها مربوط به Origin مبدا همراه درخواست ارسال می¬شود؛ CORS یک ویژگی امنیتی در مرورگرها است که این امکان را فراهم می کند تا بین Originهای متفاوت تبادل اطلاعات انجام شود. اگر تنظیمات CORS به درستی انجام نشده باشد، ممکن است که سرور پاسخ Origin غیر معتبر را داده و اطلاعات مهم کاربر نشت پیدا کند. با تعریف یک لیست سفید از Originهای مجاز و همچنین تنظیمات صحیح هدرهای امنیتی، می توان تا حد زیادی مانع سوء استفاده از این آسیب پذیری شد.

نویسنده: مرصاد برادران

دسته بندی: ارزیابی امنیتی

1157 تعداد بازدید تاریخ انتشار تعداد نظرات ادامه مطلب

هر سامانه ای که کاربر را ملزم به احراز هویت با رمز عبور می‌کند، باید مکانیزمی داشته باشد که در صورت فراموش کردن رمز عبور، کاربر بتواند دوباره به حساب خود دسترسی پیدا کند. هدف از ارائه این مقاله آشنایی و امن سازی با برخی از آسیب پذیری های بازنشانی رمز عبور است. از آنجایی که این عملکرد یک مسیر مستقیم برای به خطر انداختن حساب کاربر فراهم می کند، بسیار مهم است که به صورت ایمن پیاده سازی شود. در این مقاله سعی میکنیم تا برخی از آسیب پذیری های امنیتی وب که در عملکرد بازنشانی رمز عبور ممکن است مورد سوء استفاده قرار گیرد، تشریح شده و راهکارهای امن سازی در برابر آنها مطرح شده است.

نویسنده: امیر عبدلی

دسته بندی: ارزیابی امنیتی

962 تعداد بازدید تاریخ انتشار 1 تعداد نظرات ادامه مطلب

با توجه به پیچیدگی و گسنرش حملات سایبری، سازمان ها باید نسبت به جمع آوری اطلاعات تهدیدها و تجزیه و تحلیل آنها اقدام نمایند تا از وقوع آنها جلوگیری کنند. هوش تهدید یا Threat intelligence فرآیندی است که شامل جمع آوری،تجزیه وتحلیل اطلاعات تهدید و تولید خروجی مناسب است. این فرآیند سازمان را قادر می سازد تا در برابرتهدیدهای سایبری، تصمیمات سریع‌تر و آگاهانه‌تر اتخاذ کند. در این مقاله سعی شده است تا ضمن تعریف هوش تهدید، الزامات این فرآیند را با نگاهی به کنترل های امنیتی استاندارد ISO 27002 نسخه 2022 بررسی نماییم.

نویسنده: سعید ترکمانی

دسته بندی: سیستم مدیریت امنیت اطلاعات

1138 تعداد بازدید تاریخ انتشار 1 تعداد نظرات ادامه مطلب