سلام
تحقیقات و آزمایش هایی رو انجام دادم،که حاکی از حفره های امنیتی بود.توی این حفره ها که هر پروژه و نرم افزاری هم داره یکسری اطلاعات به بیرون درز پیدا میکنه.حتی با رفع کردن اونها نمیشه گفت که ۱۰۰ درصد بی نقصه و هیچ حفره امنیتی نداره.اما چیزی که میتونه خوب باشه اینه که(البته این مورد برای پروژه ها و نرم افزار هایی که طراحی می کنید صادق هست) فرایند رو جوری طراحی کنیم که بتونه حفره های امنیتی رو پشت سر بذاره.
مثلا من یک پایگاه داده دارم روی یک سرور که حفره امنیتی داره و اطلاعاتش درز پیدا میکنه اگر داده ها رمزنگاری شده باشند حتی با درز اون اطلاعات ارزشی ندارن به شرطی که الگوریتم رمزنگاری مخفی باشه.
نمیشه تضمین امنیت ۱۰۰ درصد داد ولی میشه راهکار هایی رو برای جلوگیری از هک و . . در نظر گرفت.
یک نمونه آزمایش:
من داخل کامپایلر و مفسر زبان پی اچ پی تعدادی ویرایش هایی انجام دادم برای تست امنیت یون کیوب که آیا سورس کد موجود در یون کیوب نشتی یا حفره امنیتی داره یا نه؟
پاسخی که گرفتم مثبت بود و بخشی از سورس کد نشت پیدا کرد.جایی که نشت پیدا کرد جایی بود که برنامه به اتمام رسیده بود و میخواست از حافظه رم خارج بشه.ویرایشی که من زده بودم این بود که هنگام خارج شدن از حافظه رم اون اطلاعات نمایش داده بشه که دقیقا همین اتفاق افتاد.داده های دریافتی انکد نشده بودند و قابل استفاده بودند.
امیدوارم مفید واقع شده باشه
