مشاوره پایان نامه و مقاله حسابداری، ارائه مقالات روز حسابداری از نشریات معتبر، ارائه ترجمه تخصصی حسابداری و مالی، ارائه اطلاعات صورتهای مالی شرکتهای بورسی، تحلیل آماری تخصصی پژوهش های حسابداری و مالی، ارائه پیش پروپزال تلفن: 09146622440 (برای مدت زمان محدود، مقالات انگلیسی به صورت رایگان قابل دانلود می باشد)

آیا اپلیکیشن‌های شما امن هستند؟ نرم افزار مالی شما ممکن است در معرض ریسک باشد

آیا اپلیکیشن‌های شما امن هستند؟ نرم افزار مالی شما ممکن است در معرض ریسک باشد

آیا اپلیکیشن‌های شما امن هستند؟ نرم افزار مالی شما ممکن است در معرض ریسک باشد


چکیده:

آیا اپلیکیشن‌های شما امن هستند؟ نرم افزار مالی شما ممکن است در معرض ریسک باشد

بنابر تحقیق انجام‌گرفته توسط Veracode Inc. ، شکاف‌های امنیتی قابل توجهی در سرویس‌های نرم افزار مالی مورد استفاده در بین صنعت خدمات مالی وجود دارد. طی مطالعه 18 ماهه که در آن تقریبا سه هزار اپلیکیشن نرم افزار از صنایع مختلف مورد بررسی قرار گرفت و 38% از آن‌ها در ارتباط با امور مالی بود با شگفتی معلوم شد که امنیت56% از این نرم افزار‌ها از سطح قابل قبول پایین‌تر است. شرکت‌های خدمات مالی خط مقدم این تهدید قرار دارند، با وجود این نرم افزار حسابداری و مالی هنوز هم شکاف‌های امنیتی جدی دارد. اگر کسب و کار شما از نرم افزار مالی استفاده می کند بایستی از این ریسک بالقوه آگاه باشید.

خطری در نرم افزار مالی: تزریق اسکریپت از طریق وب‌گاه

خطر اصلی که امنیت نرم افزار مالی‌اتان را تهدید می کند، تزریق اسکریپت از طریق وب‌گاه است. شرکت‌های بانکداری و بیمه به نظر می رسد که از همه بیشتر در معرض خطر هستند. بیش از 70% از آسیب‌پذیری‌های کشف‌شده در نرم افزارهای مالی مرتبط با بانکداری و بیمه جزو آسیب‌پذیری‌های تزریق اسکریپت از طریق وب‌گاه است. آمار آسیب پذیری ناشی از تزریق اسکریپت در تمام سرویس‌های مالی دیگر نظیر بانک‌ها و کارگزاری‌ها و پردازنده‌های پرداخت، 33% بوده است.

تزریق اسکریپت از طریق وب‌گاه یک حمله امنیتی است که از ضعف برنامه اپلیکیشن شما بهره می گیرد. مهاجم با وارد کردن کدی که مرورگر آن را متعلق به وب‌گاه تصور می کند، نفوذ می کند. اکثر مواقع به شکل تزریق SQL است. SQL به معنی زبان ساختارمند پرسش‌ها است. مهاجم از فرم وب که برای اسکرین کردن دسترس طراحی شده، استفاده خواهد کرد. این فرم‌ها معمولا از کاربر درخواست می کنند که برای ورود، نام و پسورد خود را در کادر متنی وارد کند. دسترسی بسته به اینکه مقادیر وارد شده در کادر شناسایی شده یا نشده باشد، مورد پذیرش قرار گرفته یا مردود خواهد شد.

نیاز به ساختار ایمن‌تر

متاسفانه بسیاری از این فرم‌های پویا از ساختار امنیتی کافی برای مسدود سازی اطلاعاتی غیر از اطلاعات مورد انتظار (برای مثال، نام و پسورد) برخوردار نیستند. این یعنی اینکه مهاجم می تواند از کادر متنی شما برای تزریق درخواستی که در اصل موجب تغییر کارکرد فرم می شود استفاده کند. مهاجمان ممکن است هر نوع اطلاعات "ایمن" را درخواست کنند و کل بانک اطلاعاتی شمارا دانلود کنند. هر یک از اپلیکیشن‌های وب شما که بطور پویا ایجاد صفحه می کند بطور خاص می تواند نسبت به این ورود شیطنت‌آمیز آسیب‌پذیر باشد. به این ضعف یا آسیب‌پذیری گاهی حفره XSS گفته می شود. افزایش استفاده از ابزارهای خودکار به همان میزان با افزایش تزریق SQL همراه شده است. برآورد می شود که احتمالا 60 % از اپلیکیشن‌های وب که فرم‌های پویا تولید می‌کنند در معرض ریسک باشند. نرم افزار حسابداری و مالی شما معمولا تا میزان زیادی وابسته به این نوع محتوای پویا خواهد بود.

نرم افزار مالی در معرض ریسک

با آنکه آزمون امنیت اپلیکیشن Veracode کشف کرد که 57% از کل اپلیکیشن‌ها در معرض ریسک نقض امنیت قرار دارند، ولی تفاوت بارزی میان نرم افزارهای توسعه یافته در شرکت و نرم افزار‌هایی که از اپلیکیشن‌های طرف ثالث استفاده می کنند وجود دارد. از میان اپلیکیشن‌های طرف ثالث 81% غیر ایمن تشخیص داده شدند. این یافته موجب افزایش مطالبات مصرف کنندگان نرم افزارهای مالی برای انجام ممیزی امنیتی سفت و سخت ارائه دهندگان طرف ثالث شده است. بیش از 50 درصد از کل ارائه دهندگان طرف ثالث به اپلیکیشن‌های وب تعلق دارد.

اگر کسب و کار شما از نرم افزار مالی استفاده می‌کند، در آنصورت لازم است از ریسک احتمالی آن آگاه باشید. اطمینان یابید که سیستم نرم افزار مالی‌اتان مجهز به ابزار امنیتی ضوری برای مسدود کردن تزریق اسکریپت وب‌گاه و تزریق SQL باشد. فرقی نمی کند که شما سرورهای درون‌سازمانی یا طرف ثالث را بکارگرفته باشید، این سرورها بایستی برای اعتبار سنجی ورودی تولید شده در فرم‌های پویا مجهز به پروتکل باشند.


حمایت از ما