پیشرفت و توسعه روز افزون تکنولوژی و استفاده از فناوری های نوین، باعث
افزایش هر چه بیشتر حجم داده ها و اطلاعات شده است. در میان انبوه اطلاعات
موجود در دنیای فناوری و تکنولوژی برخی اطلاعات افراد و سازمان ها حیاتی
بوده و امنیت و محافظت از چنین داده هایی یکی از چالش های اساسی امروز می
باشد. حوزه امنیت اطلاعات تنها شامل نام کاربری و رمز عبور نیست. ویروس ها و
Trojanها و Fisherها و حملات هکرها تهدیدهای جدی برای افراد و سازمان ها
هستند که می توانند باعث صدمات و خسارات به قربانی شود. از آن جا که داده
های کاربران در شبکه منتقل شده و استفاده از سرویس ها مختلف در بستر شبکه
فراهم شده و دسترسی هکرها به شبکه آسان تر است، مبحث امنیت در بستر شبکه و
اینترنت اهمیت ویژه ای پیدا می کند.
به همین منظور پروتکل ها و استانداردهای مختلفی تدوین شده است و ابزارهای
مختلفی در این رابطه توسعه داده شده است. معمولا سازمان های مختلف برای
تامین امنیت خود از یک سیستم مدیریت امنیت اطلاعات یا به اختصار ISMS
استفاده می نمایند.
بر اساس گزارش های کنسرسیوم بین المللی امنیت نرم افزار های تحت وب،
بیشترین حملات به نرم افزار های تحت وب SQL Injection و Cross Site
Scripting و Denial of Service می باشد.
نرم افزار های تحت وب از پروتکل http به عنوان ورودی استفاده می کنند و
تعداد حملات به آن ها رو به افزایش است. به صورت کلی امنیت نرم افزار های
تحت وب در سه لایه شبکه و میزبان و برنامه های کاربردی می باشد. به این
منظور در درجه اول باید امنیت در بستر و زیرساخت شبکه موجود برقرار شود سپس
توسعه و پیاده سازی نرم افزار ها با استفاده از مدل ها و طراحی و اصول
ایمن انجام شود. در نهایت می توان برای تست نرم افزار و یافتن حفره های
امنیتی از ابزارها و آزمون های امنیتی بر اساس استانداردهای بین المللی
استفاده نمود و تست نفوذ و امنیت در سطوح مختلف را برای نرم افزار انجام
داد به نرم افزار مربوطه گواهینامه معتبر امنیت اعطا نمود.
در مقاله پیوست اصول امنیتی و راهکار های امنیت در نرم افزار های تحت وب
شرح داده خواهد شد. استاندارد OWASP معرفی شده و در نهایت برخی از Check
List های استانداردهای امنیتی معرفی می شود.