امنیت اپلیکیشنِ کَم‌کُد و بی‌کُد

13 تیر 1402 امنیت اپلیکیشنِ کَم‌کُد و بی‌کُد

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در جهان اپ‌های تجاری، کم‌کد[1]، بی‌کد[2] و صفرکد[3] واژگان باب روز هستند. در این اپ‌ها اموری که زمانی نیازمند مهارت برنامه‌نویسان بود اکنون به کاربران معمولی محول شده است. عملکرد مورد نیاز از قالب‌های از پیش آماده جمع‌آوری شده، رابط را –در صورت لزوم- از ادیتور  WYSIWYG گرفته و منطق برنامه هم با جداول ساده یا تکه‌های بسیار کوتاه کد شرح داده می‌شود. همه اینها را یک کاربر لایق پی‌سی بدون آموزش خاصی می‌تواند انجام دهد. اپ کم‌کد به کاهش زمان توسعه کمک می‌کند. این زمان برای یک اپ ساده موبایل می‌تواند از شش ماه به چند هفته تقلیل یابد و این درحالی است که یک آگهی تبلیغاتی برای فروشگاه آنلاین یا گزارش جدید می‌تواند ظرف چند ساعت ارسال گردد. پلت‌فرم‌های بی‌کد زیادی در بازار وجود دارد: Bubble برای توسعه اپ‌های موبایل، Webflow برای طراحی وبسایت‌ها و Parabola و  Airtable برای تحلیل‌ها و دانش داده. همه این سیستم‌ها به شرکت‌ها در کاهش هزینه‌های آی‌تی و افزایش سرعت توسعه عملکردهای تجاری کمک می‌کنند. مطمئناً معایبی هم وجود دارد –مخصوصاً از منظر خطرات سایبری- که در این مقاله قصد داریم بدان‌ها بپردازیم. با ما همراه بمانید.

برای امنیت‌بخشی به داده‌ها و فرآیندهای یک شرکت، این ریسک‌ها را باید درست در مرحله‌ی پیاده‌سازی پلت‌فرم کم‌کد به حداقل رساند:

اکانت‌هایی با مزیت

یک مینی‌اپ توسعه‌داده‌شده توسط شرکت شما روی پلت‌فرم کم‌کد یا بی‌کد اغلب به دسترسی به پایگاه‌های داده مختلف و منابع رایانشی نیاز دارد. معمولاً با مزیت‌های خالقش اجرا شده و همه کاربران بعدی این اپ با همین سطح از دسترسی اقدامات را انجام خواهند داد. از همینجا شمار حملات مربوط به حقوق دسترسی افزایش می‌یابد و پیدا کردن اینکه چه کسی مسئول فعالیت مخرب است مشکل‌ساز خواهد بود.

به حداقل رساندن ریسک

  •         پیاده‌سازی اصل اقل مزیت برای همه پایگاه‌های داده و کانکشن‌های API از سیستم بی‌کد.
  •         استفاده از اکانت‌های جداگانه برای کاربران مینی‌اپ (با استفاده از اطلاعات محرمانه توسعه‌دهنده اپ پذیرفتنی نیست).
  •         معرفی اقدامات ویژه لاگ برای ردیابی اینکه در واقع چه کسی از مینی‌اپ‌ها وقتی در پایگاه‌های اطلاعاتی و API جستجو می‌کنند استفاده می‌کند.

مجوز نادرست

تقریباً همه پلت‌فرم‌های کم‌کد از مفهوم کانتکتور/کانکشن استفاده می‌کنند که به آن‌ها اجازه می‌دهد به پایگاه‌های اطلاعاتی و سایر اپ‌های داخل شرکت استفاده کنند. معماری این سیستم‌ها طوری است که به کاربر کنترل مستقیم روی کانکشن را بعد از اینکه مجوز راه‌اندازی داده شده است نمی‌دهد. این کانکشن می‌تواند از نو استفاده شود تا سایر درخواست‌ها را برای همان داده بسازد- مثلاً از یک مینی‌اپ دیگر یا حتی کاربری متفاوت.

به حداقل رساندن ریسک

  •         رفرش مدامِ توکن‌های مجوز در سیستم‌های متصل به پلت‌فرم بی‌کد.
  •         نظارت کانکشن‌هایی که به طور فعالانه استفاده می‌شوند.
  •         از نو نویسیِ مینی‌اپ‌های ناصحیح برنامه‌نویسی‌شده که از کانکشن‌های قرضی استفاده می‌کنند. غیرفعالسازی کانکشن‌های غیرضروری.
  •         باری دیگر، استفاده از اصل اقل مزیت.
  •         آموزش به کاربران تجاری برای درک ریسک‌های دسترسی باز به داده‌های اپ.

نشت داده یا دستکاری آن

با توجه به این حقیقت که پلت‌فرم‌های بی‌کد دسترسی بازی به داده‌ها دارند، مینی‌اپ‌های برنامه‌نویسی‌شده توسط غیرمتخصصین می‌توانند در مقایسه با توسعه‌دهنده مورد نظر داده‌های بیشتری را بازگردانند. و خطا در این پروسه‌های داده یا همگام‌سازی بین سیستم‌ها می‌تواند به خرابی شایع و غیرعمدی داده و یا کپی یرقانونی منجر شود.

به حداقل رساندن ریسک

  •         محدود کردن دسترسی به داده‌ها، کاهش مجوزهای نوشتن و پاک کردن.
  •         به حداقل رساندن فهرست کارمندان مجاز برای ساخت و اصلاح کانکشن‌ها و تنظیمات دسترسی قوانینِ آن‌ها.
  •         نظارت داده‌ انتقال‌داده‌شده توسط پلت‌فرم بی‌کد برای شناسایی به جا و به موقعِ مقادیر بیش از حد آن‌ها.

تنظیمات اشتباه امنیت

اشکالات خطرناک و پیکربندی‌های نادرست ممکن است در کدهای مینی‌اپ‌ها رخ دهد، مانند: دسترسی به ذخیره‌سازی فایل بدون رمزگذاری. ذخیره کلیدهای API یا اسرار دیگر درست در کد برنامه؛ دسترسی به سیستم های شرکتی بدون احراز هویت مناسب. به دلیل اینکه بسیاری از برنامه‌های کم‌کد به راحتی قابل تجزیه و تحلیل هستند، مهاجمین می‌توانند به سرعت تمام این اطلاعات را استخراج کرده و از آن برای حملات سایبری و سرقت اطلاعات بیشتر استفاده کنند.

به حداقل رسادن ریسک

  •         حصول اطمینان از انطباق با بهترین شیوه‌های صنعتی تنظیمات اپ‌ها و نیز حفظ داده‌های محرمانه.
  •         آموزش به کاربران تجاری که برای پایبندی به این تمارین اپ‌های بی‌کد می‌سازند.
  •         معرفی اقدامات اضافی امنیتی در سطح زیرساخت. محدود کردن متودهای ناامن دسترسی و نظارت درخواست‌های ناهنجار از سیستم‌های بی کد.

بهداشت ضعیف ورودی

اکثر برنامه‌های کم کد دارای نوعی رابط هستند که به شما امکان می‌دهد داده‌ها را وارد کنید. به عنوان مثال - جزئیات تماس در یک فرم در وبسایت جدید ساخته شده است. راستی‌آزمایی فرم‌های ورودی اغلب کافی نیست یا وجود ندارد، و آنها را برای حملات کلاسیک تزریق SQL باز می‌گذارد.

به حداقل رساندن ریسک

  •         آموزش به کاربران تجاری: مینی‌اپ‌هایی که می‌سازند باید هر اطلاعات دریافتی را اعتبارسنجی و بهداشتی کنند- خواه متن باشد خواه فایل CSV خواه هر چیز دیگری.
  •         استفاده از ابزارهای اضافی پاکسازی داده- برای مثال موقع گذار از جستجوهای SQL از پلت‌فرم کم‌کد به پایگاه داده.

آسیب‌پذیری‌هایی در ماژول‌ها

بسیاری از پلتفرم‌های بی‌کد دارای معماری ماژولار با فروشگاه‌های اجزای خاص خود برای پروژه‌های کاربر هستند. آسیب‌پذیری‌ها در این مؤلفه‌ها اغلب بسیار جدی هستند و اینکه نمی‌توان آنها را ردیابی کرد و با استفاده از ابزارهای استاندارد به‌سرعت به‌روزرسانی نمود اوضاع را بدتر می‌کند. چنین ماژول هایی حتی می‌توانند در صورت هک شدن توسعه دهنده آنها تروجان شوند.

به حداقل رساندن ریسک

  •         پاکسازی مرتب پلت‌فرم. پلاگین‌های بلااستفاده، ماژول‌ها و سایر اجزا باید حذف شوند.
  •         محدود کردن لیست اجزای موجود نزد کاربران.
  •         رصد همه اجزای در حال استفاده و نظارت آسیب‌پذیری‌ها و عرضه نسخه‌های جدید.
  •         استفاده از سیستم‌های محافظتی که مشخصاً برای پلت‌فرم کم‌کد شما طراحی شده‌اند (برای مثال Wordfence برای WordPress).

پردازش غیرقانونی داده

پایگاه‌های داده ذخیره‌شده توسط مینی‌اپ‌ها گاهی اوقات تابع قوانین کلی یک پلت‌فرم کم‌کد خاص هستند، به این معنی که ادمین‌های شرکت کنترل کاملی بر مکان و محتوای آنها ندارند. این ممکن است منجر به نقض قوانین محلی، مانند GDPR، در مورد ذخیره انواع خاصی از داده ها شود.

به حداقل رساندن ریسک

  •         آموزش به کاربران تجاری در خصوص قوانین اولیه پردازش داده.
  •         همه اپ‌هایی که بالقوه به داده‌های حساس دسترسی دارند باید توسط تیم امنیت اطلاعات بررسی شوند.

اپ‌های فراموش‌شده

به دلیل ماهیت خود، برنامه های بی‌کد به راحتی ایجاد شده و به راحتی قابل اجرا هستند. به عنوان مثال، اگر یک کارمند شرکت را ترک کند، مینی‌اپ او ممکن است به اجرا و ایجاد گزارش های روزانه ادامه دهد. یا ممکن است یکی از همکاران بدون اطلاع تیم IT و infosec از آن استفاده کند.

به حداقل رساندن ریسک

  •         حفظ کاتالوگ پرجزئیاتِ مینی‌اپ‌ها، دارندگان آن‌ها و کاربران نهایی.
  •         حذف اپ‌ها و کانکشن‌های غیرضروری. بررسی لیست‌های کاربران مجاز و حذف هر کسی که دیگر به اپ نیازی ندارد.

 

[1] Low code

[2] no code

[3]  zero code

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد