ویژه‌ها
تازه‌ترین نوشته‌ها
دو روش پرکاربرد اعتبارسنجی در صفحه‌ی ورود و ثبت‌نام

دو روش پرکاربرد اعتبارسنجی در صفحه‌ی ورود و ثبت‌نام

۸۹۰۰

ما در این مطلب سعی کرده‌ایم از نگاه امنیتی دو روش اعتبارسنجی "مبتنی بر گذرواژه" و "OAuth" در مکانیزم ثبت‌نام و ورود کاربران در یک سامانه را بررسی کنیم و به نقایص و خطرات بالقوه‌ی هر روش بپردازیم. اغلب افراد روش OAuth را بسیار امن می‌دانند، ما برخی از نقایص و آسیب‌پذیری‌های این روش را نیز برشمردیم. فرآیند ثبت‌نام و ورود جزو جدایی‌ناپذیر اکثر سامانه‌هاست و قطعا امنیت بیشتر این دروازه‌ی بزرگ ورود به سامانه لازم است. با ما همراه باشید :)

از باگ تا بانتی; ۴ مرحله‌ای که هر گزارش آسیب‌پذیری در راورو طی می‌کند

از باگ تا بانتی; ۴ مرحله‌ای که هر گزارش آسیب‌پذیری در راورو طی می‌کند

۱۳۰۰۰

در این مطلب می‌خواهیم پرده‌ها را کنار بزنیم و با شفافیت به بیان این بپردازیم که یک گزارش آسیب‌پذیری از لحظه‌ای که شکارچی دکمه‌ی ارسال آن را می‌زند تا لحظه‌ای که تایید یا عدم تاییدش را دریافت می‌نماید، چه مسیری را طی و از چه مراحلی گذر می‌کند؟ زیرا معتقدیم که هر چه فرآیند ارزیابی گزارش شفاف‌تر بیان شود، درک حالات مختلف آن آسان‌تر خواهد شد و نگاه مشترکی بین راورو، شکارچی و میدان شکل خواهد گرفت.

راورو در خبرنامه‌ی شماره‌‌ی ۳۴ پادیوم

راورو در خبرنامه‌ی شماره‌‌ی ۳۴ پادیوم

۵۴۰۰

عصر سه‌‎شنبه 12 اسفندماه، گپی با مدیرعامل و راهبر کسب‌وکار راورو داشتیم و از زبان خود آن‌ها درباره‌ی تجربه‌ی راورو در راستای افزایش امنیت در فضای سایبری کسب‌وکارها و نهادهای کشور شنیدیم. محمدامین کریمان و مرضیه لکزایی، مدیرعامل و راهبر کسب‌وکار راورو در این مصاحبه با ما همراه بودند.

باگ‌بانتی چه نیست؟

باگ‌بانتی چه نیست؟

۲۷۵۰۰

پیش‌تر بارها راجع به این‌که "باگ‌بانتی چه هست؟" و در چه مواردی می‌توان روی آن حساب کرد، گفته بودیم. اما حالا می‌خواهیم بگوییم که "باگ‌بانتی چه نیست؟" و چه انتظارهایی را نمی‌توان از آن داشت؟ ابتدا به تعریف کوتاهی از باگ‌بانتی می‌پردازیم و سپس به سراغ شفاف‌سازی برداشت‌ها و پاسخ‌دادن به سوال‌های رایج می‌رویم. ابرقهرمان‌های فیلم و سریال‌ها را به خاطر دارید؟ در هر قسمت از یکی از این فیلم‌ها قهرمان داستان تمام تلاش خود را به کار می‌بست و تا حد ممکن برای مبارزه با ناامنی‌ها و برقرارکردن امنیت از جان خود مایه می‌گذاشت. اما در قسمت بعدی شاهد سربرآوردن ناامنی دیگری بودیم. جدال بین امنیت و ناامنی همواره ادامه داشت... . همان‌طور که در قصه‌ها نیز امنیت مطلق هیچ‌گاه برقرار نشد، در جهان سایبری نیز نمی‌توانیم این انتظار را داشته باشیم. اگر باگ‌بانتی را به سوپرمن هم تشبیه کنیم، نمی‌توانیم انتظار برقراری امنیت مطلق را از او داشته باشیم.

 بکاپ، غریق نجات داده‌ها

بکاپ، غریق نجات داده‌ها

۱۴۰۰۰

به تازگی از اطلاعات سیستم و یا کسب‌وکار خود نسخه‌ی بکاپ تهیه کرده‌اید؟ نشریه‌ی Forbes در 21 می 2018 در گزارشی اعلام کرد که روزانه حدود 2.5 کوینتیلیون داده متولد می‌شوند؛ یعنی عددی معادل 2.5 میلیارد میلیارد یا به طور تقریبی برابر با جمعیت انسان‌های 316 میلیون تا کره‌ی زمین امروزی! داده می‌تواند شامل لاگ یک کاربر، کدهای پروژه‌های مختلف و... شود. و همه‌ی این تعداد داده‌ها نیاز به مراقبت دارند؛ مراقبت در برابر نفوذ دیگران، هجوم بدافزارها، باج‌افزارها، خطرات طبیعی غیرمترقبه‌ای مانند سیل و طوفان ... . می‌توان از از حملات بدافزاری به‌ویژه حملات باج‌افزاری به عنوان زیان‌بارترین حوادث امنیتی برای کسب‌وکارهای سراسر جهان به ویژه ایران در سال‌های اخیر یاد کرد. بدیهی ست که لازم است به امنیت داده‌ها بیندیشیم و برای روز مبادا و هجوم خطر نیز داده‌های خود را به صورت تک‌نسخه‌ای ذخیره نکنیم و نسخه‌های پشتیبانی نیز از آن‌ها داشته باشیم.
روز 31 مارس به عنوان روز جهانی بکاپ در نظر گرفته شده است تا یادآور این نکته باشد که: ایها الناس، حداقل سالی یک بار و به مناسبت گرامی‌داشت این روز از اطلاعات حساس کسب‌وکار بکاپ بگیرید. کسب‌وکارهای که دیگر جای خود دارند، چرا که حادثه خبر نمی‌کند و شاید برای کسب‌وکار شما هم اتفاق بیفتد. استراتژی‌های مختلفی برای بکاپ معرفی شده است که ما در این مطلب سعی کرده‌ایم هر استراتژی‌ را معرفی و نقد کنیم. با ما همراه باشید ؛)

آسیب‌پذیری Command Injection؛ دربست تا دروازه‌ی بزرگ دسترسی

آسیب‌پذیری Command Injection؛ دربست تا دروازه‌ی بزرگ دسترسی

۲۳۸۰۰

آسیب‌پذیری Command Injection شاید در نگاه اول آسیب‌پذیری پرخطری به نظر نیاید. اما Command Injection همان فلفلی‌ست که نباید به ظاهرش نگریست و گولش را خورد، چراکه چه کارهایی که از این آسیب‌پذیری برنمی‌آید. شاید آسیب‌پذیری Command Injection به‌تنهایی ضرر خاصی برای سامانه به دنبال نداشته باشد و کم‌خطر به نظر برسد. اما آن‌جا که مجاورت و هم‌جواری با سایر آسیب‌پذیری‌ها نصیبش گردد، سنسور‌ها به صدا در می‌آیند. و خبر از قرارگرفتن شکارچی در دوقدمی دسترسی به خط فرمان، ترمینال یا شل سامانه‌ی هدف را می‌دهد. در این مطلب به آسیب‌پذیری‌ آب‌زیرکاه Command injection می‌‌پردازیم. این آسیب‌پذیری می‌تواند برای شکارچی و هکر کلاه‌سفید دسترسی مستقیمی به سرور قربانی ایجاد کند، امکان اجرای کد از راه دور را برایش فراهم آوّرّد و زمینه‌‌ساز اکسپلویت و بهره‌جویی از سایر آسیب‌پذیری‌های موجود در سامانه شود. آسیب‌پذیری Command Injection، از آن دسته آسیب‌پذیری‌هایی است که با عبور از مسیر ورودی کاربر می‌توانیم به دسترسی مستقیم و غیرمستقیم به خط فرمان سامانه‌ها دست پیدا کنیم. البته در مسیر باید تجهیزات پزشکی لازم را جهت تزریق دستورهای موردنظر به سیستم‌عامل به‌همراه داشته باشیم تا بتوانیم به سرور قربانی در سطوح مختلف دسترسی پیدا کنیم. مطلبی که با هم مطالعه می‌‌‌‌کنیم، برداشتی آزاد از چندین منبع معتبر است. بناست نگاهی به موارد مرتبط با آسیب‌پذیری Command Injection داشته باشیم. با ما همراه باشید ؛)

چک‌لیست اصول امنیتی دورکاری

چک‌لیست اصول امنیتی دورکاری

۵۷۳۰۰

دو سال پیش هم شاید خیلی از ما دورکار بودیم و بقیه‌ هم راجع به دورکاری شنیده بودیم. اما از یک سال پیش که کویید 19 مهمان ناخوانده‌ی جهان شد، همه‌گیریش باعث شد که به ناچار در خیلی از جزئیات سبک زندگیمان تغییراتی بدهیم؛ اگر دورکار نبودیم، شدیم و اگر هم که دورکار بودیم، دورکارتر شدیم.

کنترل ورودی کاربر، چرا و چگونه؟

کنترل ورودی کاربر، چرا و چگونه؟

۱۷۳۰۰

در این مطلب، قصد داریم با شما برنامه‌نویس عزیز که وظیفه‌ی راه‌اندازی و توسعه‌ی سامانه‌ها به ویژه سامانه‌های تحت وب را برعهده دارید، نکاتی را در میان بگذاریم. گرچه شاید برخی از این نکات، بدیهی به شمار بیایند اما بی‌توجهی و عدم رعایت آن‌ها، می‌تواند باعث ایجاد آسیب‌پذیری‌هایی شود و دروازه‌ای برای ورود و حملات هکرها را مهیا سازد. ما در این مطلب به نکاتی برای کاهش خطراتی که در کمین سامانه‌ها هستند، می‌پردازیم و درباره‌ی نحوه‌ی رفتار سامانه با داده‌هایی که کاربر در فرم‌ها وارد کرده است، صحبت خواهیم کرد و سپس به نحوه‌ی امن‌سازی انتقال این داده‌ها برای عدم ایجاد اختلال و نفوذ در سامانه خواهیم پرداخت. با ما همراه باشید.

اهدا‌ی ‌جایزه نگاه پلتفرمی به استارت‌آپ راورو در ششمین الکام استارز

اهدا‌ی ‌جایزه نگاه پلتفرمی به استارت‌آپ راورو در ششمین الکام استارز

۱۶۰۰۰

امسال جایزه نگاه پلتفرمی، به پلتفرم باگ‌بانتی «راورو» تعلق گرفت. این پلتفرم کمک می‌کند تا هکرها بتوانند با شناسایی آسیب‌پذیری‌های امنیتی شرکت‌ها، درآمد کسب‌ کنند. شرکت‌ها نیز می‌توانند در محیطی امن، به سادگی از مشکلات امنیتی خود آگاه شوند. در این میان، پلتفرم راورو تمهیدات فراوانی را برای اطمینان‌بخشی به طرفین پلتفرم خود در نظر گرفته است.

آسیب‌پذیری XXE؛ نفوذ با جابه‌جایی داده‌ها

آسیب‌پذیری XXE؛ نفوذ با جابه‌جایی داده‌ها

۲۴۲۰۰

در این مطلب به آسیب‌پذیری‌ای می‌‌پردازیم که می‌تواند به تنهایی باعث عدم دسترسی کاربران سامانه به سرویس‌های موردنظر خود در سامانه شود و امکان اجرای کد از راه دور را برای شکارچی فراهم کند؛ آسیب‌پذیری XXE یا XML External Entity. این آسیب‌پذیری، همان‌طور که از نامش پیداست، مربوط به انتقال داده بین سیستم‌ها از طریق XML است که شکارچی با تزریق داده یا کدهای سطح سیستم‌عامل، می‌تواند در سطوح مختلف به سیستم قربانی دسترسی داشته باشد. آسیب‌پذیری XXE می‌تواند منجر به افشای اطلاعات محرمانه‌ای مانند اطلاعات حساس مشتریان و خروجی‌های پردازش‌های انجام‌شده بر روی آن اطلاعات، بروز آسیب‌پذیری SSRF و ایجاد امکان اسکن‌پورت‌های سامانه شود و هم‌چنین از دسترسی به سرویس توسط کاربران جلوگیری کند.

SQL Injection؛ راهبردها و ترفندها

SQL Injection؛ راهبردها و ترفندها

۳۰۰۰۰

در این مطلب قصد داریم به یک آسیب‌پذیری آشنا و نسبتا قدیمی اما قوی و خطرناک بپردازیم. این آسیب‌‌پذیری در بازه‌ی زمانی حداقل 10 سال گذشته از محبوب‌‌ترین و پرکاربردترین آسیب‌پذیری‌ها بود. البته با توجه به سطح فناوری آن دوره نیز، احتمال نفوذ با این نوع آسیب‌پذیری بالا بود. اما امروزه احتمال این نوع نفوذ به دلیل روش‌های جلوگیری از بروز این آسیب‌‌پذیری کاهش پیدا کرده است و شکارچی برای کشف و اکسپلویت این آسیب‌‌پذیری نیازمند ترفندها و شگردهای خاصی است و این موضوع، خلاقیت شکارچی را می‌طلبد. مطلبی که با هم مطالعه می‌‌‌‌کنیم برداشتی آزاد از چندین منبع معتبر است. قرار است ماجراجویانه به موارد مرتبط SQL Injection نگاهی بیندازیم . با ما همراه باشید.

چگونه یک گزارش آسیب‌پذیری بنویسیم؟

چگونه یک گزارش آسیب‌پذیری بنویسیم؟

۴۹۳۰۰

گزارش یک آسیب‌پذیری، سند قابل ارائه‌ی شکارچی از آسیب‌پذیری کشف‌کرده‌ی خود به میدان است. به همین خاطر، محتوای یک گزارش آسیب‌پذیری می‌تواند به ارزش گزارش کمک قابل‌توجهی کند. در این مطلب به بخش‌های مختلف یک گزارش آسیب‌پذیری و بایدها و نبایدهایی که رعایت آن‌ها در نگارش یک گزارش لازم است، می‌پردازیم. اگر شما نیز مشتاقید که شکارچی شوید و یا می‌خواهید به عنوان شکارچی گزارش‌های بسیار بهتر از گذشته بنویسید، تلاش کرده‌ایم در این مطلب همه چالش‌های احتمالی که در روند نوشتن گزارش آسیب‌پذیری با آن‌ها برخورد خواهید کرد و تمام نقاط مهم و ضروری یک گزارش آسیب‌پذیری را برای شما برشمرده و درباره نکات و موارد لازمی که در صورت رعایت آن‌‌ها، اعتبار گزارش شما را ارتقا می‌بخشد با شما در میان بگذاریم.

حریم خصوصی داده‌ها؛ سرمایه‌ای حساس

حریم خصوصی داده‌ها؛ سرمایه‌ای حساس

۳۱۳۰۰

اعتماد، زیربنای وفاداری مشتریان به کسب‌وکارهاست. این اعتماد در دنیای امروز به سادگی می‌تواند خدشه‌دار شود. به هر میزان که شرکت‌ها و کسب‌وکارها در ارتقای حریم خصوصی داده‌ها بکوشند، اعتماد بیشتری به سوی آن‌ها جلب می‌شود. اما در صورت سهل‌انگاری در حفظ حریم خصوصی داده‌ها، این اعتماد سست شده و رو به زوال خواهد رفت و آب ریخته را نمی‌توان جمع کرد.

باگ‌بانتی یا تیم امنیت داخلی؟ مسئله این‌ است...

باگ‌بانتی یا تیم امنیت داخلی؟ مسئله این‌ است...

۳۱۰۰۰

رشد سریع فناوری اطلاعات و به وجود آمدن فرصت‌های بزرگ در این فضا، سبب شده که اغلب کسب‌و‌کارهای سنتی جای خود را به کسب‌وکارهای آنلاین و به‌روز بدهند. این کسب‌وکارهای آنلاین، همان‌ طور که از عنوان آن‌ها مشخص است، خدمات خود را در بستر اینترنت ارائه می‌کنند. شاید شما هم از آن دسته افرادی باشید که تجربه‌ی مدیریت یک کسب‌وکار اینترنتی را در گذشته داشته‌اید یا در حال حاضر مدیر یک کسب‌وکار آنلاین هستید. قریب‌به‌یقین در چنین جایگاهی امنیت سازمان و مجموعه‌‌ی شما در لیست مهم‌ترین دغدغه‌هایتان حضور دارد و در پی یافتن بهترین روش برای ارتقای امنیت سازمان خود هستید. کسب‌وکارهای سنتی اغلب بسته به ماهیت فیزیکیِ ابزار کار و محصولات خود، تنها با پایین‌کشیدن کرکره‌ی حجره و مغازه‌ی خود و چندقفله‌کردن آن، امنیت لوازم و محصولات خود را حفظ می‌کردند و خاطر خود را آسوده می‌ساختند. اما همان طور که ماهیت و جنس دارایی‌های ارزشمند کسب‌وکار امروز با کسب‌وکار دیروز تفاوت دارد، در زمینه‌ی حفظ امنیت نیز این نیاز احساس می‌شود تا اقدام‌های امنیتی نیز هم‌سرعت با رشد و تغییر کسب‌وکارها به‌روز شوند و روش‌های نوین و روز دنیا در این زمینه به کار گرفته شوند. چرا که «امروزه کسب‌وکارهای آنلاین باید از داده‌های حساسی مراقبت کنند» تا اعتماد مشتریان به عنوان بزرگ‌ترین سرمایه‌ی آن‌ها در گستره‌ی وب از بین نرود.

خداحافظی با فلش‌پلیر

خداحافظی با فلش‌پلیر

۲۵۰۰۰

اگر شما هم از دسته‌ی بلاگرها یا بلاگ‌خوان‌های قدیمی باشید، احتمالا به یاد دارید که در حدود ده سال اخیر سایت‌ها و بلاگ‌هایی که تا آن زمان از تصاویر ایستا برای جذابیت محیط بلاگ خود استفاده می‌کردند، حالا می‌توانستند از کدهای فلش‌پلیر استفاده کنند و با نمایش تبلیغات یا انیمیشن‌های مختلف در صفحات خود، مخاطب خود را غافل‌گیر کنند. این ارمغانِ گسترش نفوذ فلش‌پلیر، برای اهل بلاگ بود. فلش‌پلیر در مدت‌زمان کوتاهی مورد استقبال بسیاری قرار گرفت. زان پس مهمان هر بلاگ یا سایتی که می‌شدی تصاویر متحرک فلش‌پلیر در گوشه‌ای از آن به چشم می‌خورد. این امکانات گرافیکی برای سایت‌ها و بلاگ‌ها، به وسیله محصول فلش‌پلیر شرکت ادوبی ساخته و در سایت‌هایی توزیع می‌شدند و در دسترس بلاگرها قرار می‌گرفتند تا به بلاگ خود اضافه کنند. Swf پسوند مخصوص فایل‌های ساخته‌‌شده با فلش و امضای فلش در پای خروجی‌هایش بود.

تفاهم‌نامه‌ی اَپی‌اِکو و راورو

تفاهم‌نامه‌ی اَپی‌اِکو و راورو

۲۷۲۰۰

اَپی‌اِکو بازاری‌ست که توسعه‌دهندگان می‌توانند در آن اَپی(API)ها را بیایند، به آن‌ها متصل شوند و مدیریتشان کنند. با استفاده از اپی‌اکو می‌توان اپی‌هایی که برای انجام پروژه نیاز است را یافت و آن‌ها را درون اپلیکیشن خود تعبیه کرد و علاوه‌بر آن از طریق یک صفحه‌ی مدیریتی واحد، بر میزان استفاده از تمامی آن‌ها نظارت داشت. از سوی دیگر، توسعه‌دهنده‌‌ها می‌توانند اپی (API)‌های توسعه‌داده‌شده‌ی خود را، در دسترس سایر برنامه‌نویس‌ها و توسعه‌دهندگانی که برای یافتن و استفاده از اَپی‌های مورد نیاز خود، از خدمات اَپی‌اِکو استفاده می‌کنند نیز قرار دهند.

حمله‌ی HTTP Flooding  در تایید ایمیل برای سوء استفاده بدون دخالت کاربر

حمله‌ی HTTP Flooding در تایید ایمیل برای سوء استفاده بدون دخالت کاربر

۵۷۷۰۰

امروزه بسیاری از سایت‌ها به گونه‌‌ای طراحی شده‌اند که اطلاعات شخصی مانند: شماره تلفن، ایمیل، آدرس، فایل‌های رزومه و ... را دریافت می‌کنند.

اگر هر یک از این ویژگی‌ها در سایت ناکارآمد طراحی گردند باعث نشت و سوءاستفاده از اطلاعات کاربران سامانه می‌شود.

راورو در شماره‌ی ۲۰۲ شنبه

راورو در شماره‌ی ۲۰۲ شنبه

۲۳۲۰۰

این سامانه واسطه‌ای بین متخصصان امنیت و صاحبان کسب‌وکار‌هاست (شرکت‌ها و سازمان‌ها) که در آن هکرهای کلاه‌سفید و متخصصان امنیت تلاش می‌کنند تا باگ‌های امنیتی و حفره‌های آسیب‌پذیری محصولات را به صاحبان کسب‌وکارها گزارش بدهند و به ازای گزارش، پول دریافت کنند. البته بر اساس قوانین و محدوده‌هایی که کسب‌وکار تعریف می‌کند.

باگ‌بانتی؛ به صرفه‌ترین راه ارتقای امنیت

باگ‌بانتی؛ به صرفه‌ترین راه ارتقای امنیت

۲,۷۹۷۰۰

شاید نزدیک به ۴۰ سال پیش، کسی این میزان پیشرفت در دنیای اینترنت را تصور نمی‌کرد اما امروزه اینترنت و خدمات مبتنی بر اینترنت یکی از لوازم مهم و قطعی زندگی روزمره‌ی ما هستند. اگر این فضای ارتباطاتی تا حد قابل اعتمادی امنیت نداشته باشد و اطلاعات شخصی و هویتی افراد جامعه در معرض خطر قرار بگیرد، قطعا اعتبار این خدمات به واسطه عدم وجود امنیت محیط آن خدشه‌دار خواهد شد و زیان بسیاری را متوجه سازمان‌ها و شرکت‌ها خواهد کرد. به همین دلیل، راه‌حل موثری مانند باگ‌بانتی نیازمند است تا این نقطه‌‌ضعف به یک نقطه‌ی قوت برای سازمان‌ها و شرکت‌ها تبدیل شود.

دورکاری راهکاری برای مقابله با کرونا و فرصتی برای باج افزارها!

دورکاری راهکاری برای مقابله با کرونا و فرصتی برای باج افزارها!

۳۲۸۰۰

با توجه به شیوع ویروس کرونا در کشور، خوشبختانه شاهد آن هستیم که دورکاری در برخی از شرکت‌ها، خبرگزاری‌ها و استارتآپ‌ها در دستور کار قرار گرفته است. بررسی رخدادهای باج­ افزاری در سال ۲۰۱۹ حاکی از آن است که نقطه ورود حدود ۶۰ درصد حملات باج ­افزار‌ی از طریق سرویس RDP بوده است. با توجه به افزایش دورکاری در میان کاربران ایرانی در روزهای آتی، نیاز است تا کارمندان، شرکت‌ها و سازمان‌ها با رعایت نکات و موارد امنیتی زیر، تهدیدهای احتمالی را به حداقل برسانند.

در حال بارگذاری اطلاعات بیشتر...