- إنضم
- 26 فبراير 2014
- المشاركات
- 12,450
- مستوى التفاعل
- 12,154
- النقاط
- 1,295
غير متصل
اختبار امن و جودة مواقع الانترنت
ان من أهم أسباب نجاح مواقع الانترنت هي الجودة والتوافقية مع مختلف الانظمة والمتصفحات وخلو الموقع من الاخطاء البرمجية و الثغرات الامنية ونحن في انتولوجي ندرك هذه الأهمية بل هي من أولوياتنا وتتم عملية اختبار امن وجودة المواقع ضمن مراحل عديدة بداية بالمسح الامني للموقع بإستخدام افضل البرامج لمسح التطبيقات البرمجية و إعدادات السيرفر يليها التدقيق وإختبار الشفرة المصدرية بأدق تفاصيلها وبمختلف التقنيات JAVA PHP ASP واصدار تقرير مفصل بالتحذيرات والأخطاء والتوافقية مع خوادم الويب وإصدارات لغة البرمجة بعد ذلك إعادة تصحيح وكتابة الشفرة البرمجية وإختبارها في مختلف الأنظمة وظروف غير متوقعة لتحليل الأخطاء او التحذيرات البرمجية والثغرات الأمنية وفي النهاية تأمين جميع الدوال المخرجات والمدخلات وإصدار الموقع بشكل جديد ضمن أفضل المعايير الأمنية والبرمجية. واضافة الموقع الى نظام انتولوجي للمراقبة الامنية والذي يعمل على مدار الساعة لمراقبة ظهور الثغرات و التحديثات الامنية في مواقع الامن الالكتروني و اصلاحها لدى مواقع عملائنا بشكل تلقائي لضمان حماية الموقع على مدار 24 ساعة
اختبار امن و جودة مواقع الانترنت ( الويب)
إستخدام أفضل تقنيات المسح الامني للموقع
تبدأ مراحل اختبار امن وجودة المواقع الالكتروني بإجراء المسح الامني بإستخدام افضل برامج وتقنيات المسح الامني التي تم إختيارها من قبل فريق انتولوجي بعد عدة دراسات تفصيلية وقد شملت الدراسة مجموعة واسعة من افضل برامج المسح الامني ومنها eEye Retina , IBM AppScan , NTobjective NTOSpider , Nessus والعديد من البرامج الاخرى وقد تم دراسة 23 برنامج مسح امني وتم اختيار الافضل حسب التقنيات المستخدمة في الموقع المراد اختباره.
تأمين السيرفر / الخادم الذي يعمل علية الموقع
تبدأ مرحلة الاختبار بتحليل دقيق ومفصل لإعدادات الخادم من الناحية الامنية لمواجهة مختلف الهجمات المحتملة وتشمل اعدادات جدار الحماية بأنواعة الهاردوير و السوفت وير , إعدادات برامج الحماية من الفايروسات وملفات التجسس إعداد أنظمة إدارة المخاطر للاجهزة والبرامج والتحديث الدوري لها , إعداد أنظمة المسح الامني للدفع الالكتروني PCI Scan يليها إعدادات الخدمات والمنافذ المستخدمة في موقع الانترنت مثل خوادم قواعد البيانات , خوادم البريد , خوادم رفع الملفات وحصر جميع التقنيات المستخدمة في الموقع بعد ذلك يتم اجراء المسح الامني لتحديد الثغرات الامنية و التحديثات الامنية اللازمة وارفاق تقرير مفصل لمميزات و عيوب جميع التقنيات المستخدمة. بالاضافة الى ذلك يتم اجراء الاعدادات الاحترافية لبيئة لغة البرمجة المستخدمة في الموقع واضافة تقنيات امنية عالية الاداء لبعض الجهات مثل تشفير قواعد البيانات وحفظ المعلومات وتشفير مختلف المراسلات الالكترونية , انظمة التدقيق على الروابط , إعدادات أنظمة كشف التسلل IDS ومنع الإختراق IPS .
معالجة الأخطاء والتحذيرات البرمجية Warnings and Errors Handling
وتشمل تحليل جميع اسطر وتعليمات الشفرة المصدرية - الكود البرمجي للكشف عن جميع التحذيرات البرمجية او الاخطاء في الدوال او المتغيرات او التوافقية مع بيئة عمل الموقع او اصدارات لغة البرمجة او بيئة نظام التشغيل بالاضافة للعمل على تأمين جميع البيانات المدخلة لشفرة الموقع من خلال مختلف الطلبات POST او GET او متغيرات بيئة التشغيل. وفي النهاية اضافة جميع التعليقات المهمة وشرح مفصل لاهم الاجراءات التي تمت.
تحليل ومعالجة ثغرات Cross-site Scripting (XSS)
وهي ثغرات تحدث عن طريق تمرير بيانات للموقع تحتوي اوامر تنفيذية سكربتات يتم تنفيذها من طرف المتصفح وعادة تحدث نتيجة عدم تأمين جميع المدخلات بشكل جيد ويمكن استغلال هذا النوع من الثغرات لسرقة بيانات اعضاء الموقع من اسم مستخدم وكلمة مرور من خلال الوصول الى بيانات التخزين المؤقت في المتصفح وهي ملفات الكوكيز ويمكن كذلك اضافة او تغيير محتوى صفحات الموقع وتنفيذ العديد من الاوامر
تحليل ومعالجة ثغرات SQL and Command injection
ثغرات حقن استعلامات قواعد البيانات او اوامر لغة البرمجة تعتبر من اخطر الثغرات الامنية وتحدث عادة عن طريق اهمال التدقيق على جميع اوامر الاستعلام التي تحتوي على بيانات تم تمريرها من خارج الشفرة المصدرية او استخدام دوال التضمين او التنفيذ بداخل الكود البرمجي والتي تحتوي بيانات تم ارسالها من خارج الشفرة المصدرية.
تحليل ومعالجة ثغرات Buffer Overflow ( Java applications )
ثغرات الفيض غالبا ما تحدث في برامج انظمة التشغيل اما في مجال تطبيقات الويب يمكن حدوثها في التطبيقات التي تم برمجتها بلغة الجافا وهي عبارة عن تخزين بيانات في متغير داخل الشفرة البرمجية تكون هذه البيانات اكبر من الحجم المخصص للمتغير ويحدث ما يسمى بفيض البيانات خارج المساحة المحدد لها وهي خطيرة جدا لدرجة تجاوزها حدود الموقع التي حدثت به لتشمل جميع نظام التشغيل المضيف للموقع
تحليل ومعالجة ثغرات رفض الخدمة Denial of Service
ثغرات DoS تحدث غالبا خارج نطاق الشفرة المصدرية للموقع وعادة في منافذ الاتصالات وخوادم الموقع الخارجية ويمكن حمايتها عن طريق جدار النار. ولكن يمكن حدوثها داخل الشفرة المصدرية وتحدث غالبا نتيجة عدم توقع المبرمج لتنفيذ روتين ما داخل الكود ومثال على ذلك دوال الاتصالات وفترة الانتظار ومعالجة البيانات المدخلة وكذلك يمكن حدوثها بشكل اكبر بداخل الجمل الشرطية والحلقات Loop والتكرار.
تحليل ومعالجة ثغرات التخزين المؤقت Cookie and session
وتعتبر الثغرات الاكثر انتشارا ويمكن تنفيذ جميع الثغرات السابقة من خلالها وتحدث نتيجه عدم الانتباه لتشفير جميع بيانات التخزين المؤقت واعادة استخدام البيانات التي تم تخزينها وتنفيذها ضمن شفرة الموقع بداخل داله او روتين معين او ضمن استعلام لقواعد البيانات.
اختبار جودة ترميز الصفحات والتوافقية مع مختلف متصفحات الويب
في هذه المرحلة يتم اختبار الاخطاء التوافقية مع مختلف متصفحات الانترنت وتشمل ملفات HTML و الانماط CSS والسكربتات المختلفة مثال جافا سكربت وتحليلها لمنع ظهور الاخطاء للزائر او متصفح الموقع ولظهور الموقع بشكل مثالي في مختلف المتصفحات بالاضافة لتحليل سرعة الموقع وتحديد جميع الملفات المستخدمة مثال ملفات htaccess و xml وغيرها واعادة كتابتها بطريقة احترافية وحل جميع المشكلات التقنية في طريقة عمل الموقع بالاضافة لتزويد العميل ببعض التقارير التقنية التي تفيد في تطوير الموقع.
نظام المراقبة و الاشعار الامني على مدار الساعة
في هذه المرحلة يصل الموقع الالكتروني الى افضل مستوى من الجودة و الامن ولكن كما هو متعارف عليه في مجال امن المعلومات بأن الثغرات الامنية متجددة بشكل يومي وقد لا تمر ساعة الى وظهرت بها ثغرة امنية ضمن التقنيات والبرامج المستخدمة في الموقع الالكتروني والحل لهذه المشكلة هي نظام المراقبة الامنية يعمل نظام المراقبة الامنية على تلقي جميع الاشعارات الامنية من مختلف الشبكات الامنية بالاضافة للبحث اليومي عن الثغرات وفي حال ظهور خطر امني ضمن اي منتج مستخدم في احد المواقع يصل اشعار للعميل بذلك
