با افزایش اتکای سازمانها و کسبوکارها به فناوری، نیاز به بهرهمندی از متخصصان امنیت شبکه افزایشیافته است. متخصصان امنیت شبکه، مسئول محافظت از شبکههای رایانهای در برابر هر نوع دسترسی تائید نشده، سرقت و خرابی هستند. آنها نقش مهمی را در تضمین محرمانگی، صحت و قابلیت دسترسی به دادهها و سیستمها ایفا میکنند. متخصص امنیت شبکه جهت تأثیرگذاری هر چه بیشتر بر امنیت شبکه، باید دارای مجموعهای از مهارتها و دانش کافی باشد. در این مقاله قصد داریم تا در مورد مهارتهای لازم برای متخصصان امنیت شبکه بحث کنیم. کارشناس و متخصص امنیت شبکه کیست؟ متخصص امنیت شبکه، کارشناسی است که تخصص او، تأمین امنیت شبکههای رایانه در برابر دسترسی غیرمجاز، حملات و تهدیدات امنیتی دیگر است. او مسئول حفاظت از دادههای حساس، حفظ محرمانگی، صحت و دسترسی به منابع شبکه و اطمینان از امنیت سیستمها و برنامههای شبکه است. یک متخصص امنیت شبکه، سابقه قابلتوجهی در حوزه فناوری اطلاعات داشته و دانش بالایی در مورد بهترین رویههای تطبیقی و قانونی دارد. در قسمت بعد به مهمترین مهارتهای لازم برای یک متخصص امنیت شبکه، اشاره کردهایم. مهارتهای فنی 1. معماری شبکه یک متخصص امنیت شبکه باید دارای شناخت کافی از معماری شبکه شامل چگونگی جریان یافتن دادهها در شبکه، انواع متفاوت شبکهها و اجزاء شبکهها باشد. او باید با نحوه طراحی و پیادهسازی معماریهای شبکه امن جهت برآورده کردن نیازهای سازمان آشنا باشد. 2. پروتکلهای شبکه متخصصان امنیت شبکه باید با پروتکلهای شبکه نظیر TCP/IP، HTTP و DNS آشنا باشند. آنها باید با نحوه تحلیل ترافیک شبکه جهت شناسایی رفتار غیرعادی و تهدیدات امنیتی بالقوه، آشنا باشند. 3. سیستمهای عامل متخصصان امن, ...ادامه مطلب
تابحال مطالب زیادی را در مورد تمیزکردن ورودیهای کاربران، توسط ابزارهای Anti-XSS مطالعه کردهاید: - «ایجاد یک ActionFilter جهت تمیز کردن اطلاعات ورودی در ASP.NET Core» هدف تمام آنها این است که اگر اطلاعاتی از کاربر دریافت شد، پس از تمیز شدن، مشکلی با نمایش آنها نداشته باشیم و به محض نمایش یک صفحه، قطعه کد جاوااسکریپتی موجود در ورودی اولیهی کاربر، در پشت صحنه به صورت خودکار اجرا نشود. اما ... هرچقدر هم سعی کنیم، به مواردی خواهیم رسید که ممکن است توسط این «تمیز کنندههای ورودی» پوشش داده نشوند و دست آخر، قابلیت اجرایی داشته باشند. در این حالت به مفهوم دیگری میرسیم به نام Content security policy headers و یا به اختصار CSP که اساسا اجرای هر نوع اسکریپت تزریق شدهای را در صفحه، ممنوع میکند: - «افزودن هدرهای Content Security Policy به برنامههای ASP.NET» - «تولید هدرهای Content Security Policy توسط ASP.NET Core برای برنامههای Angular» برای مثال زمانیکه تنظیم CSP ابتدایی زیر را داریم: Content-Security-Policy: default-src 'self' یعنی مرورگر فقط در این صفحه، اطلاعاتی را که متعلق به سایت و دومین جاری است، بارگذاری میکند. در این حالت دیگر ویدیوهای یوتیوب معرفی شده، فایلهای CSS و یا جاوااسکریپتی دریافتی از یک CDN دیگر اجرا نمیشوند؛ چون بارگذاری نخواهند شد. همچنین دیگر نمیتوان یک قطعهی اسکریپتی را هم داخل صفحه به صورت inline تعریف و اجرا کرد. یعنی حداقل اسکریپتهای داخل صفحهای Google analytics هم از کار خواهند افتاد. که این رفتار دقیقا مطلوب ما است؛ , ...ادامه مطلب