در چشم انداز دیجیتالی امروزی، جایی که نقض داده ها و حملات سایبری به طور فزاینده ای رایج شده است، اطمینان از امنیت برنامه های کاربردی وب و API ها بسیار مهم است. در حالی که اکثر توسعه دهندگان با مفهوم احراز هویت آشنا هستند، یک جنبه مهم که اغلب نادیده گرفته می شود یا اشتباه درک می شود، مجوز است. ما یک سناریوی واقعی را بررسی می کنیم، خطرات امنیتی رایج را شناسایی می کنیم و در مورد استراتژی های کاهش بحث خواهیم کرد. پس بیایید شروع کنیم!
مجوز در مقابل احراز هویت: شفاف سازی اصطلاحات
قبل از اینکه به جزئیات بپردازیم، اجازه دهید تفاوت بین مجوز و احراز هویت را روشن کنیم. مجوز فرآیند تعیین منابع یا عملکردهایی است که کاربر می تواند در یک برنامه کاربردی به آن دسترسی داشته باشد. حول محور شناسایی و اعطای مجوزهای مناسب می چرخد. از سوی دیگر، احراز هویت شامل تأیید هویت یک کاربر و اطمینان از اینکه آنها همان چیزی هستند که ادعا می کنند هستند. بنابراین منطقی است که نخواهید به کسی اجازه دسترسی به چیزها را بدهید، قبل از اینکه بدانید او کیست.
رونمایی از ریسک های امنیتی در محیط های توسعه
برای درک بهتر این موضوع یک مثال کاربردی را بررسی می کنیم. یک فروشگاه تجارت الکترونیکی را در نظر بگیرید که بر روی چارچوب Ruby on Rails ساخته شده است، یک شاخه از پلت فرم تجارت الکترونیک Spree.
هنگامی که به نمودار توالی تعامل سبد خرید نگاه می کنید، متوجه خواهید شد که هنگام دسترسی به عملکرد سبد خرید، مرحله احراز هویت از بین رفته است. با کلیک بر روی سبد خرید کالایی که قبلاً به آن اضافه شده است، کاربر را مجبور به ورود به سیستم نمی کند.
در حالی که این ممکن است بر اساس طراحی باشد، زیرا سبد خرید حاوی هیچ گونه اطلاعات قابل شناسایی شخصی نیست، مرحله بعدی در فرآیند خرید اینگونه است.
برنامه آدرس حمل و نقل را می خواهد. به نظر من، یک قانون سرانگشتی خوب این است که هر زمانی که ما اطلاعات شناسایی شخصی را پس از ارسال اطلاعات دریافت میکنیم، برنامه باید احراز هویت آن کاربر باشد. هر زمان که آن نوع اطلاعات ارائه می شود، کاربر باید قبل از مشاهده یا به روز رسانی، احراز هویت شده و مجاز باشد.
AppMap: یک ابزار قدرتمند تجزیه و تحلیل زمان اجرا
کشف و رسیدگی به این نگرانی های امنیتی می تواند چالش برانگیز و زمان بر باشد. اغلب اوقات تیمهای نرمافزار به ابزارها یا ممیزیها نگاه میکنند تا راهنماییهایی را در مورد علت این مشکل به ما ارائه دهند، که میتواند پیچیده باشد و نیاز به ساعتها بررسی دارد. ابزار تجزیه و تحلیل زمان اجرا AppMap می تواند در عرض چند دقیقه نگاهی جامع به مشکل، علت آن و از کجا به ما ارائه دهد. AppMap بینش هایی در مورد نحوه عملکرد برنامه های ما در زمان اجرا ارائه می دهد و به ما امکان می دهد جریان های اجرای آنها را تجزیه و تحلیل کنیم و مشکلات احتمالی را شناسایی کنیم. با AppMap میتوانیم آسیبپذیریهای امنیتی مانند مشکلات مجوز قبل از احراز هویت را شناسایی کرده و به طور بالقوه برطرف کنیم.
در حال تجزیه و تحلیل
با تجزیه و تحلیل کد با استفاده از AppMap، متوجه میشویم که نقض مجوز قبل از احراز هویت در چندین نمونه در برنامه رخ میدهد. به طور خاص، ما استفاده از CanCan را مشاهده میکنیم، کتابخانهای برای مجوز، که قبل از هر بررسی احراز هویت، مجوز را انجام میدهد.
با بررسی نمای ردیابی و نمودار توالی در AppMap، جریان رویدادهایی که منجر به نقض می شود را ردیابی می کنیم. متوجه شدیم که فرآیند «سبد خرید» بدون احراز هویت کاربر، مرحله مجوز را راهاندازی میکند. این نوع رفتار می تواند به کاربران احراز هویت نشده اجازه دسترسی به منابع محدود را بدهد.
همانطور که نقشه وابستگی را بررسی می کنیم، متوجه می شویم که تماس مجوز به کنترل کننده Spree Order ارسال می شود که خارج از پایگاه کد برنامه ما قرار دارد. این یک چالش است زیرا ما کنترل مستقیمی بر فرآیند احراز هویت Spree نداریم.
برای مقابله با این خطر امنیتی، باید ترتیب عملیات را اصلاح کنیم و اطمینان حاصل کنیم که احراز هویت قبل از مجوز انجام می شود. در این مورد خاص، README برنامه بیان میکند که فرض میشود هر درخواستی از یک کاربر مدیر است که یک پرچم قرمز اصلی است. برای کاهش این امر میتوانیم استراتژیهای زیر را اجرا کنیم:
- قبل از تأیید اعتبار: ترتیب احراز هویت و مجوز را برگردانید تا اطمینان حاصل کنید که کاربران قبل از دسترسی به منابع محدود، احراز هویت شده اند. در مورد ما، ممکن است بخواهیم بدانیم یک کاربر کیست یا قبل از افزودن چیزی به سبد خرید، یک احراز هویت اولیه را انجام دهیم، در صورتی که کاربر بخواهد آن سبد را برای بعداً ذخیره کند یا از سوء استفاده از سیستم سبد خرید به صورت محدود انحصاری جلوگیری کند. انتشار آیتمها (من فقط در اینجا دارم به این موضوع اشاره میکنم دلایل زیادی وجود دارد که ممکن است ایده خوبی باشد که هویت کاربر را قبل از انجام یک عمل مشخص کنید).
- اعتبار سنجی در محیط های توسعه: حتی در محیطهای توسعه یا QA، احراز هویت را برای تکرار سناریوهای دنیای واقعی و شناسایی آسیبپذیریهای احتمالی در مراحل اولیه اجرا کنید.
- از تشخیص ناهنجاری و کنترل دسترسی تطبیقی استفاده کنید: از تکنیکهای هوش مصنوعی یا یادگیری ماشین برای ایجاد سیستمهای تشخیص ناهنجاری، مکانیسمهای حفاظت از تهدید و کنترل دسترسی تطبیقی استفاده کنید. این رویکرد ترکیبی به انعطاف پذیری در محیط های توسعه اجازه می دهد در حالی که کنترل های امنیتی قوی در تولید را فراهم می کند.
با اتخاذ این استراتژی ها می توانید امنیت API های وب خود را تقویت کرده و از دسترسی غیرمجاز به منابع حساس جلوگیری کنید. برای جلوگیری از به خطر انداختن داده های کاربر و حفظ اعتماد کاربران، اولویت بندی امنیت در طول چرخه عمر توسعه بسیار مهم است.
خلاصه
مجوز قبل از احراز هویت یک اصل امنیتی حیاتی است که تضمین می کند کاربران به درستی شناسایی شده و به منابع دسترسی دارند. با استفاده از ابزارهایی مانند AppMap و پیروی از بهترین شیوهها، میتوانیم به طور فعال آسیبپذیریهای امنیتی را در مراحل اولیه شناسایی و برطرف کنیم و در نهایت برنامههای کاربردی وب امنتر و قابل اعتمادتری بسازیم.
از اینکه به من در این کاوش مجوز قبل از احراز هویت در امنیت وب API ملحق شدید متشکریم. منتظر مقالات بیشتر باشید، و اگر سوال یا پیشنهادی دارید، در زیر نظر دهید!
