جدیدترین مطالب
Generic placeholder image
آسیب پذیری قاچاق (smuggling) در Http و راههای امن سازی آن

آسیب پذیری HTTP Request Smuggling یکی از انواع آسیب پذیری‌های لایه هفتم و با درجه اهمیت بالا (High) می باشد. این آسیب پذیری که ناشی از اختلاف سرورهای فرستنده و گیرنده در تشخیص طول درخواست می باشد، به مهاجم اجازه می دهد تا در نحوه پردازش درخواست های http دریافتی از سوی سرور تداخل ایجاد کند، کنترل های امنیتی را دور بزند و به داده هایی دسترسی پیدا کند که در شرایط واقعی نباید به آنها دسترسی داشته باشد. در این مقاله ضمن بررسی علل و حالتهای مختلف سوء استفاده از این آسیب پذیری، راهکارهای امن سازی آن نیز ارائه شده است.

نویسنده: سامان ارشی

دسته بندی: ارزیابی امنیتی

Generic placeholder image
SDP: محبوب ترین ابزار پیاده سازی ITIL

سرویس دسک پلاس (SDP) یک نرم‌افزار تحت وب برای مدیریت خدمات سازمانی است که با تلفیق فرآیندهای چارچوب ITIL از جمله مدیریت وقایع، مدیریت مشکلات و مدیریت تغییرات امکان افزایش بهره وری پیشخوان خدمات و در نتیجه افزایش رضایت‌مندی کاربران را فراهم می آورد. ایجاد درگاه واحد ارائه کلیه خدمات سازمانی، فراهم سازی امکان نظارت بهتر بر روی عملکرد کارشناسان، فراهم سازی محیطی برای مستندسازی راهکارها و ایجاد پایگاه داده از مشکلات و روش حل آنها، از جمله قابلیتهایی است که این ابزار در اختیار سازمانها قرار می دهد. در این مقاله برخی از قابلیتهای این ابزار قدرتمند معرفی شده است.

نویسنده: علی مهرآبادی

دسته بندی: زیرساخت

Generic placeholder image
آسیب پذیری های رایج در اپلیکیشنهای صنعت پرداخت و روشهای امن سازی آنها

اقبال عمومی به استفاده از خدمات آنلاین – به ویژه خدمات مالی- روز به روز در حال افزایش است و مسائل مرتبط با شیوع و پاندمی کرونا، این اقبال را چندین برابر کرده است. این مهاجرت سریع از درگاههای سنتی به درگاههای موبایلی، سبب شده است بسیاری از اپلیکیشن های موبایلی فعال در این حوزه با عجله و بدون رعایت پیش نیازهای امنیتی تولید و عرضه شوند. بر اساس بررسی های صورت گرفته، بدافزارها و تروجان ها، انتشار اپلیکیشنهای جعلی و نشت اطلاعات از اپلیکیشنهای پرداختی، سه مورد از دغدغه های امنیتی صاحبان این اپلیکیشنها هستند که در این مقاله به آنها پرداخته شده است.

نویسنده: علی مهرآبادی

دسته بندی: امنیت برنامه های موبایل

Generic placeholder image
معرفی متدولوژی های ارزیابی ریسک امنیت اطلاعات

موضوع ارزیابی ریسک امنیت اطلاعات به عنوان یکی از مهمترین فرآیندهای پیاده سازی استانداردهای GRC و به ویژه ISMS، همواره مورد توجه قرار گرفته است. در این بین بکارگیری و انتخاب یک روش و متدولوژی مناسب و درخور سازمان که بتواند با صرف کمترین زمان و انرژی، به خوبی آسیب پذیری ها و تهدیدات سازمان را تحلیل و شناسایی نماید، همواره به عنوان یکی از اصلی ترین چالش های مدیران و راهبران امنیت اطلاعات بوده است. در این مقاله سعی داریم تا با معرفی شاخص ترین متدهای ارزیابی ریسک، شما را در انتخاب یک روش مناسب یاری نماییم.

نویسنده: سعید ترکمانی

دسته بندی: مدیریت ریسک