۱۲ فروردین ۱۴۰۴

قرارگاه جنبش انقلابیون (قجا)

قرارگاه امنیتی و سایبری جنبش انقلابیون جمهوری اسلامی ایران

حملات سمت کلاینت چیست و چگونه از آنها جلوگیری کنیم

مرکز روابط عمومی و اطلاع رسانی قرارگاه جنبش انقلابیون (قجا) جمهوری اسلامی ایران ۱ اسفند ۱۴۰۳

بزرگترین خطر حمله سمت مشتری، نقض عمده داده‌ها است. در سال ۲۰۲۲، میانگین هزینه کل نقض داده‌ها، از جمله جریمه‌ها و هزینه‌های بازیابی، به بالای ۴.۳۵ میلیون دلار می‌رسد‌ و در صنایع بسیار تنظیم شده مانند مراقبت‌های بهداشتی و خدمات مالی، هزینه می‌تواند بسیار بالاتر باشد.
امنیت یک تجارت ثابت نیست. هکرها نوآوری می‌کنند و به طور مداوم برای بهره‌برداری از نقطه کمترین مقاومت حرکت می‌کنند و به طور فزاینده‌ای، مسیر کمترین مقاومت، حملات مبتنی بر برنامه سمت کلاینت یا مرورگر است. در این مقاله، توضیح خواهیم داد که چگونه آسیب‌پذیری‌های امنیتی سمت مشتری می‌توانند سازمان‌ها را در معرض حمله قرار دهند و چند ابزار و بهترین شیوه‌هایی که کسب‌و کارها می‌توانند برای دفاع از خود استفاده کنند.

حملات سمت کلاینت چیست؟

دو جزء اصلی برای یک وب‌سایت یا برنامه وجود دارد: سرور و مشتری. سمت سرور کد و داده‌ها را ذخیره می‌کند و عملیات و درخواست‌ها را پردازش می‌کند. سمت کلاینت جایی است که برنامه وب گرد هم می‌آید و در یک مرورگر ارائه می‌شود.

مرورگر مشتری است.

تقریبا ۵۰ درصد از ترافیک اینترنت جهان از طریق یک مرورگر وب تحویل داده می‌شود. مرورگر این کد را تفسیر و اجرا می‌کند تا هنگام دسترسی کاربر به وب‌سایت، تجربه را ارائه دهد.

هنگام بازدید از یک وب سایت، متن، تصاویر و فیلم‌ها را مشاهده می‌کنید و توانایی ایجاد حساب کاربری، مرور کاتالوگ‌ها، سفارشی کردن محصولات، ایجاد حساب‌های خرید و موارد دیگر را دارید. بسیاری از عملکردهای وب‌سایت به قابلیت‌های مرورگر متکی است، با مرورگر وب که کد وب سایت را گرد هم می‌آورد و این کد را به یک تجربه بسیار فراگیر تبدیل می‌کند.

جاوا اسکریپت: قدرتمند اما خطرناک

جاوا اسکریپت توسط 97 درصد از وب‌سایت‌ها و برنامه‌های وب در سراسر جهان استفاده می‌شود. تیم‌های توسعه از کد جاوا اسکریپت خود (شخص اول) استفاده می‌کنند و همچنین از سایر منابع کد (شخص ثالث)، از جمله منبع باز (به عنوان مثال، jQuery، AngularJS، React) و فناوری‌های شخص ثالث که شامل اجزای جاوا اسکریپت (به عنوان مثال، وردپرس، دروپال، مجنتو) برای تسریع فرآیند استفاده می‌کنند. در حالی که استفاده از جاوا اسکریپت مزایای زیادی به همراه دارد، خطرات قابل توجه و اغلب نادیده گرفته شده یا اشتباه درک شده را نیز به همراه دارد.

جاوا اسکریپت می‌تواند ویژگی‌های پیچیده‌ای را در یک صفحه وب پیاده سازی کند، از جمله دست‌کاری عناصر صفحه و خواندن داده‌های وارد شده. هنگامی که یک مرورگر به یک وب سایت دسترسی پیدا می‌کند، تمام کدها و محتوا را از سرورهای راه دور، هم سرورهای مالک سایت (تحت کنترل شما) و هم از هر کتابخانه شخص ثالث استفاده شده (خارج از کنترل شما) دانلود می‌کند. پس از دانلود تمام کدها و محتوا، مرورگر وب‌سایت را به کاربر ارائه می‌دهد. اگر مهاجمی بتواند کدهای مخرب را در هر یک از منابع دانلود شده، شخص اول یا ثالث، پنهان کند، مرورگر آن را پردازش و اجرا می‌کند. به همین دلیل، ذینفعان امنیت و انطباق مراقبت ویژه‌ای برای بازرسی و اعتبارسنجی کد جاوا اسکریپت قبل از انتقال آن به تولید، انجام می‌دهند.

چندین ابزار آسیب‌پذیری جاوا اسکریپت برای بازرسی و اعتبارسنجی کد و جستجوی آسیب‌پذیری‌های شناخته شده در دسترس هستند. این گام مهمی است که باید برداشته شود، اما از کاهش خطرات جاوا اسکریپت کوتاهی می‌کند. اول، نرخ یافتن و رفع آسیب‌پذیری ۱۰۰ درصد، در حالی که مطلوب است، دستیابی به آن دشوار است. آسیب‌پذیری‌ها را می‌توان از دست داد. دوم، این بازرسی فقط کد جاوا اسکریپت را که تیم شما توسعه داده است، در کنترل شما تأیید می‌کند. خطرات کد جاوا اسکریپت را که از منابع خارجی می‌آید – شرکای شما در زنجیره تامین وب شما – کاهش نمی‌دهد.

آسیب‌پذیری‌های جاوا اسکریپت زنجیره تامین وب – شما همان چیزی هستید که شامل می‌شوید

زنجیره تامین وب ترکیبی از کدهای شخص ثالث است که از شرکای فناوری (به عنوان مثال، پلت فرم تجارت الکترونیک) و اسکریپت‌های خدمات شخص ثالث (به عنوان مثال، تجزیه و تحلیل، ربات چت، بازاریابی) می‌آید. زنجیره تامین وب با افزودن ویژگی‌های مهم تجربه مشتری را افزایش می‌دهد. با این حال، به خاطر داشته باشید که با اضافه شدن فناوری‌ها و خدمات شریک، هزاران قطعه کد شخص ثالث نیز اضافه می‌شوند. هر قطعه نشان دهنده افزایش سرویس حمله شما است. این خطر زمانی تشدید می‌شود که تشخیص دهیم بسیاری از این اشخاص ثالث منابع کمی به امنیت اختصاص داده شده‌اند.

نقض یک قطعه از کد زنجیره تامین وب می‌تواند به طور مخفیانه کد مخرب را به سمت زنجیره تامین به وب‌سایت شما ارسال کند‌ و این قطعات از کدهای شخص ثالث همان سطح دسترسی به محتوا و داده‌ها را دارند که کد ساخته شده توسط توسعه دهندگان شما وجود دارد.

با وب‌سایت متوسط با استفاده از 50 تا 60 مؤلفه شخص ثالث، هکرها پایگاه‌های کد و اسکریپت‌هایی را که به دنبال آسیب‌پذیری‌ها هستند جستجو می‌کنند و سپس هر سازمانی را که از آنها استفاده می‌کند هدف قرار می‌دهند. به عنوان مثال، گروه هکرها Magecart پس از یافتن آسیب‌پذیری‌ها در مؤلفه محبوب Magento، مؤلفه‌ای که توسط هزاران فروشگاه آنلاین استفاده می‌شود، نام خود را به دست آورد. با تزریق کد اسکریپت سرکش به این کتابخانه محبوب، زمانی که کاربران از هر یک از فروشگاه‌های آنلاینی که از این مؤلفه استفاده می‌کردند، بازدید می‌کردند، داده‌های مشتری جذب می‌شد.

کاری که یک کد بدافزار می‌تواند انجام دهد

هکرها پایگاه‌های کد منبع باز، شخص اول و شخص ثالث زیادی برای هدف قرار دادن دارند. یک قطعه کد بدافزار که در هزاران خط کد قرار گرفته است، می‌تواند در بسیاری از سازمان‌ها و پایگاه‌های مشتری آبشار شود. این امر در سال 2018 مشاهده شد، زمانی که یک هکر کنترل یک پایگاه کد محبوب به نام Event-Stream را به دست گرفت و بدافزار را به آن تزریق کرد که برای سرقت بیت کوین طراحی شده بود. معلوم شد که این کتابخانه توسط صدها هزار کسب‌و کار در سراسر جهان مورد استفاده قرار می‌گیرد و به دلیل استفاده از این مؤلفه، آنها را در برابر فعالیت‌های مجرمانه آسیب‌پذیر می‌کند.


“”قرارگاه جنبش انقلابیون(قجا)””

https://313-313.ir/

Tags:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

مطالب برتر

کلاهبردارهای پرتکرار سایبری و راه مقابله با آنها

۱۵ اسفند ۱۴۰۳ مرکز روابط عمومی و اطلاع رسانی قرارگاه جنبش انقلابیون (قجا) جمهوری اسلامی ایران

چگونه از پاک کردن تاریخچه جستجوی مرورگر خود به طور کامل مطمئن شویم؟

۱۵ بهمن ۱۴۰۳ مرکز روابط عمومی و اطلاع رسانی قرارگاه جنبش انقلابیون (قجا) جمهوری اسلامی ایران

آیا Wi-Fi شما داده‌های شما را در معرض خطر قرار می‌دهد؟

۱ بهمن ۱۴۰۳ مرکز روابط عمومی و اطلاع رسانی قرارگاه جنبش انقلابیون (قجا) جمهوری اسلامی ایران