د EITC/IS/WAPT ویب غوښتنلیکونو د ننوتلو ازموینه د ویب غوښتنلیک د ننوتلو ازموینې نظري او عملي اړخونو (سپینې هیکنګ) په اړه د اروپا IT تصدیق کولو برنامه ده ، پشمول د ویب سایټونو سپیډرینګ ، سکین کولو او برید تخنیکونو لپاره مختلف تخنیکونه ، په شمول د ځانګړي ننوتلو ازموینې وسیلې او سویټونه. .
د EITC/IS/WAPT ویب غوښتنلیکونو د ننوتلو ازموینې نصاب د برپ سویټ معرفي کول، ویب سپریډرینګ او DVWA، د برپ سویټ سره د برټ ځواک ازموینه، د WAFW00F سره د ویب اپلیکیشن فایر وال (WAF) کشف، د هدف ساحه او سپیډرینګ، د پټو فایلونو کشف کول شامل دي. ZAP، د ورډپریس زیانمنتیا سکین کول او د کارن نوم شمیرل، د بار بیلنس سکین، کراس سایټ سکریپټینګ، XSS - منعکس شوی، ذخیره شوی او DOM، پراکسي بریدونه، په ZAP کې د پراکسي ترتیب کول، د فایلونو او لارښودونو بریدونه، د DirBuster سره د فایل او لارښود کشف، د ویب بریدونو تمرین , OWASP جوس شاپ، CSRF - د کراس سایټ غوښتنه جعل، د کوکي راټولول او ریورس انجینري، HTTP ځانګړتیاوې - د کوکی غلا کول، SQL انجیکشن، DotDotPwn - ډایرکټر ټراورسل فزینګ، iframe انجیکشن او HTML انجیکشن، د زړه له مینځه وړل - کشف او استحصال، کوډ پی ایچ پی bWAPP – HTML انجیکشن، منعکس شوي POST، د Commix سره د OS کمانډ انجیکشن، د سرور-سایډ شامل دي SSI انجیکشن، په ډاکر کې پینټیسټینګ، OverTheWire Natas، LFI او کمانډ انجیکشن، د پینټیسټینګ لپاره د ګوګل هیک کول، د ننوتلو ازموینې لپاره د ګوګل ډورکس، د اپاچ 2 موډ امنیت، او همدارنګه Nginx ModSecurity، په لاندې جوړښت کې، د دې EITC تصدیق لپاره د حوالې په توګه د جامع ویډیو ډیډاکټیک مینځپانګې شاملې دي.
د ویب اپلیکیشن امنیت (اکثرا د Web AppSec په نوم یادیږي) د ویب سایټونو ډیزاین کولو مفهوم دی ترڅو په نورمال ډول فعالیت وکړي حتی کله چې برید کیږي. مفکوره په ویب اپلیکیشن کې د امنیتي اقداماتو یو سیټ مدغم کوي ترڅو د دښمن اجنټانو څخه د هغې شتمنۍ خوندي کړي. ویب غوښتنلیکونه، لکه د ټولو سافټویرونو په څیر، د نیمګړتیاوو سره مخ دي. د دې نیمګړتیاو څخه ځینې ریښتیني زیان منونکي دي چې ګټه ترې اخیستل کیدی شي ، سوداګرۍ ته خطر رامینځته کوي. دا ډول نیمګړتیاوې د ویب غوښتنلیک امنیت له لارې ساتل کیږي. دا د خوندي پراختیا تګلارې ګمارل او د سافټویر پرمختیا ژوند دورې (SDLC) په اوږدو کې د امنیت کنټرولونو ځای په ځای کول شامل دي ، دا ډاډ ترلاسه کوي چې د ډیزاین نیمګړتیاوې او پلي کولو مسلې په ګوته شوي. د آنلاین ننوتلو ازموینه، چې د متخصصینو لخوا ترسره کیږي چې موخه یې د سپینې هیک کولو طریقې په کارولو سره د ویب اپلیکیشن زیانمننې کشف او استحصال کول دي، د مناسب دفاع وړ کولو لپاره یو اړین عمل دی.
د ویب د ننوتلو ازموینه، چې د ویب قلم ټیسټ په نوم هم پیژندل کیږي، په ویب غوښتنلیک کې د سایبر برید انډول کوي ترڅو د استثمار وړ نیمګړتیاوې ومومي. د ننوتلو ازموینه په مکرر ډول د ویب غوښتنلیک امنیت (WAF) په شرایطو کې د ویب اپلیکیشن فایر وال بشپړولو لپاره کارول کیږي. د قلم ازموینه، په عموم کې، د زیانونو موندلو لپاره د هر ډول غوښتنلیک سیسټمونو (د بیلګې په توګه، APIs، فرنټ اینډ/بیکینډ سرور) ته د ننوتلو هڅه کوي، لکه ناپاک شوي آخذې چې د کوډ انجیکشن بریدونو لپاره زیان منونکي وي.
د آنلاین ننوتلو ازموینې موندنې د WAF امنیتي پالیسیو تنظیم کولو او کشف شوي زیانمننې په نښه کولو لپاره کارول کیدی شي.
د ننوتلو ازموینه پنځه مرحلې لري.
د قلم آزموینې پروسه په پنځو مرحلو ویشل شوې ده.
- پلان جوړونه او څیړنه
د ازموینې ساحې او اهدافو تعریف کول ، پشمول هغه سیسټمونه چې په ګوته کیږي او د ازموینې میتودونه باید وکارول شي ، لومړی مرحله ده.
د دې لپاره چې هدف څنګه کار کوي او د هغې احتمالي ضعفونه ښه پوهه ترلاسه کړي، استخبارات راټول کړئ (د بیلګې په توګه، د شبکې او ډومین نومونه، د میل سرور). - سکیننګ
بله مرحله د دې معلومول دي چې څنګه د هدف غوښتنلیک به د مداخلې مختلف ډولونو ته عکس العمل ښکاره کړي. دا معمولا د لاندې میتودونو په کارولو سره ترسره کیږي:
جامد تحلیل - د غوښتنلیک کوډ معاینه کول ترڅو وړاندوینه وکړي چې دا به څنګه چلند وکړي کله چې دا چلیږي. په یوه پاس کې، دا وسیلې کولی شي ټول کوډ سکین کړي.
متحرک تحلیل د کار کولو پرمهال د غوښتنلیک کوډ معاینه کولو پروسه ده. د سکین کولو دا طریقه خورا عملي ده ځکه چې دا د غوښتنلیک فعالیت ریښتیني وخت لید وړاندې کوي. - د لاسرسي ترلاسه کول
د هدف د ضعفونو موندلو لپاره، دا ګام د ویب غوښتنلیک بریدونه کاروي لکه د کراس سایټ سکریپټینګ، SQL انجیکشن، او شاته دروازې. د هغه زیان د پوهیدو لپاره چې دا زیانونه یې رامینځته کولی شي ، ازموینه کونکي هڅه کوي د امتیازاتو په زیاتولو ، د معلوماتو غلا کولو ، د ترافیک مداخلې او داسې نورو له لارې ګټه پورته کړي. - د لاسرسي ساتل
د دې مرحلې هدف دا دی چې دا ارزونه وکړي چې ایا زیانمنونکي په جوړ شوي سیسټم کې د اوږدمهاله شتون رامینځته کولو لپاره کارول کیدی شي ، او یو بد لوبغاړی ته اجازه ورکوي چې ژور لاسرسی ومومي. هدف د پرمختللي دوامداره ګواښونو تقلید کول دي ، کوم چې د شرکت خورا حساس معلوماتو غلا کولو لپاره د میاشتو لپاره په سیسټم کې پاتې کیدی شي. - تحلیل
د ننوتلو ازموینې پایلې بیا په یو راپور کې اچول کیږي چې معلومات پکې شامل دي لکه:
هغه زیانونه چې په تفصیل سره کارول شوي
هغه معلومات چې ترلاسه شوي حساس وو
د قلم ټیسټر د وخت مقدار په سیسټم کې د پام وړ پاتې کیدو توان درلود.
امنیتي ماهرین دا ډاټا د دې لپاره کاروي چې د تصدۍ د WAF ترتیباتو او نورو غوښتنلیکونو امنیتي حلونو ترتیبولو کې مرسته وکړي ترڅو د زیان مننې او د نورو بریدونو مخه ونیسي.
د ننوتلو ازموینې میتودونه
- د بهرنۍ ننوتلو ازموینه د شرکت په شتمنیو تمرکز کوي چې په انټرنیټ کې لیدل کیږي، لکه ویب اپلیکیشن پخپله، د شرکت ویب پاڼه، او همدارنګه د بریښنالیک او ډومین نوم سرورونه (DNS). موخه دا ده چې ګټورو معلوماتو ته لاسرسی او استخراج کړئ.
- داخلي ازموینې یو ټیسټر ته اړتیا لري چې د شرکت فایر وال شاته غوښتنلیک ته لاسرسی ولري چې د دښمن داخلي برید انډول کوي. دا اړینه نده چې د غلط کارمند سمولیشن. یو کارمند چې اعتبار یې د فشینګ هڅې په پایله کې ترلاسه شوی یو عام پیل ټکی دی.
- ړانده ازموینه هغه وخت ده کله چې ټیسټر په ساده ډول د هغه شرکت نوم ورکړل شي چې ازموینه کیږي. دا امنیتي کارپوهانو ته اجازه ورکوي چې وګوري چې څنګه د ریښتیني غوښتنلیک برید ممکن په ریښتیني وخت کې پلی شي.
- دوه ګونی ړانده ازموینه: په دوه ړندو ازموینه کې، امنیتي متخصصین مخکې له مخکې د سمبال شوي برید څخه خبر نه دي. دوی به وخت ونلري چې د یوې هڅې سرغړونې دمخه د دوی قلعه بنده کړي، لکه په ریښتینې نړۍ کې.
- په نښه شوي ازموینه - پدې سناریو کې، ټیسټر او امنیتي کارمندان د یو بل د حرکتونو تعقیب او ساتنه کوي. دا یو عالي روزنیز تمرین دی چې د هیکر له لید څخه د امنیت ټیم ریښتیني وخت فیډبیک ورکوي.
د ویب غوښتنلیک فائر والونه او د ننوتلو ازموینه
د ننوتلو ازموینه او WAFs دوه جلا مګر بشپړونکي امنیتي تخنیکونه دي. ټیسټر احتمال لري چې د WAF ډیټا څخه ګټه پورته کړي ، لکه لاګونه ، ترڅو د غوښتنلیک ضعیف ساحې په ډیری ډولونو قلم ازموینې کې ومومي او ګټه پورته کړي (د ړندو او دوه ړندو ازموینو استثنا سره).
په بدل کې، د قلم ازموینې ډاټا کولی شي د WAF مدیرانو سره مرسته وکړي. د ازموینې بشپړیدو وروسته ، د WAF تشکیلات د ازموینې پرمهال کشف شوي نیمګړتیاو پروړاندې د ساتنې لپاره تعدیل کیدی شي.
په نهایت کې، د قلم ازموینه د امنیتي پلټنې د میتودونو د موافقت اړتیاوې پوره کوي، لکه PCI DSS او SOC 2. ځینې اړتیاوې، لکه PCI-DSS 6.6، یوازې هغه وخت پوره کیدی شي چې یو تصدیق شوی WAF کارول کیږي. په هرصورت، د پورته ذکر شویو ګټو او د WAF ترتیباتو بدلولو احتمال له امله، دا د قلم ازموینه هیڅ لږ ګټور نه کوي.
د ویب امنیت ازموینې اهمیت څه دی؟
د ویب امنیت ازموینې هدف د ویب غوښتنلیکونو او د دوی تنظیم کولو کې د امنیت نیمګړتیاو پیژندل دي. د غوښتنلیک پرت لومړنی هدف دی (د بیلګې په توګه، هغه څه چې په HTTP پروتوکول کې روان دي). ویب اپلیکیشن ته د مختلف ډولونو ان پټول لیږل ترڅو ستونزې رامینځته کړي او سیسټم په غیر متوقع ډول ځواب ورکړي د دې امنیت ازموینې لپاره یوه عامه لاره ده. دا "منفي ازموینې" ګوري چې ایا سیسټم داسې څه کوي چې د ترسره کولو لپاره یې نه و.
دا د پوهیدو لپاره هم حیاتي ده چې د ویب امنیت ازموینې یوازې د غوښتنلیک د امنیت ب featuresو تصدیق کولو څخه ډیر څه ته اړتیا لري (لکه تصدیق او جواز). دا هم مهمه ده چې ډاډ ترلاسه کړئ چې نور ځانګړتیاوې په خوندي توګه ځای پرځای شوي دي (د بیلګې په توګه، د سوداګرۍ منطق او د مناسب ان پټ تایید او د محصول کوډ کولو کارول). موخه دا ده چې ډاډ ترلاسه کړئ چې د ویب غوښتنلیک فعالیتونه خوندي دي.
د امنیتي ارزونو ډیری ډولونه کوم دي؟
- د متحرک غوښتنلیک امنیت (DAST) لپاره ازموینه. دا د اتوماتیک غوښتنلیک امنیت ازموینه د ټیټ خطر ، داخلي مخ ایپسونو لپاره غوره مناسبه ده چې باید د تنظیمي امنیت اړتیاوې پوره کړي. د عام زیان مننې لپاره د ځینې لارښود آنلاین امنیت ازموینې سره د DAST ترکیب د متوسط خطر ایپسونو او مهم غوښتنلیکونو لپاره غوره ستراتیژي ده چې د کوچني بدلونونو څخه تیریږي.
- د جامد غوښتنلیکونو لپاره امنیت چک (SAST). د دې غوښتنلیک امنیت ستراتیژي دواړه اتومات او لاسي ازموینې میتودونه شامل دي. دا په ژوندی چاپیریال کې د ایپس چلولو پرته د بګونو موندلو لپاره مثالی دی. دا انجینرانو ته هم اجازه ورکوي چې د سرچینې کوډ سکین کړي ترڅو د سافټویر امنیت نیمګړتیاوې په سیستماتیک ډول کشف او حل کړي.
- د ننوتلو ازموینه. د دې لارښود غوښتنلیک امنیت ازموینه د لازمي غوښتنلیکونو لپاره غوره ده ، په ځانګړي توګه هغه چې د پام وړ بدلونونو سره مخ دي. د پرمختللي برید سناریو موندلو لپاره، ارزونه د سوداګرۍ منطق او د مخالف پر بنسټ ازموینې کاروي.
- د چلولو په وخت کې د ځان ساتنې غوښتنلیک (RASP). د دې مخ په زیاتیدونکي غوښتنلیک امنیت میتود د غوښتنلیک وسیله کولو لپاره مختلف ټیکنالوژي تخنیکونه شاملوي ترڅو ګواښونه وڅیړل شي او امید دی چې په ریښتیني وخت کې مخنیوی وشي لکه څنګه چې پیښیږي.
د غوښتنلیک امنیت ازموینه د شرکت خطر کمولو کې کوم رول لوبوي؟
په ویب غوښتنلیکونو کې د بریدونو لوی اکثریت عبارت دي له:
- ایس ایس ایل انجیکشن
- XSS (د کراس سایټ سکریپټینګ)
- د ریموټ کمانډ اجرا کول
- د لارې تیریدونکي برید
- محتوا ته د لاسرسي محدودیت
- د کارونکي حسابونه جوړ شوي
- د ناوړه کوډ نصب کول
- د پلور عاید له لاسه ورکړ
- د پیرودونکو باور له مینځه وړل
- د برانډ شهرت ته زیان رسوي
- او ډیر نور بریدونه
د نن ورځې انټرنیټ چاپیریال کې، یو ویب غوښتنلیک ممکن د مختلفو ننګونو لخوا زیانمن شي. پورته ګرافیک د برید کونکو لخوا ترسره شوي یو څو خورا عام بریدونه ښیې چې هر یو کولی شي یو انفرادي غوښتنلیک یا ټول سوداګرۍ ته د پام وړ زیان ورسوي. د ډیری بریدونو پوهیدل چې غوښتنلیک زیانمنونکي وړاندې کوي، او همدارنګه د برید احتمالي پایلې، شرکت ته اجازه ورکوي چې د وخت څخه مخکې زیانونه حل کړي او په اغیزمنه توګه د دوی لپاره ازموینه وکړي.
د کمولو کنټرولونه د SDLC په لومړیو مرحلو کې رامینځته کیدی شي ترڅو د زیان مننې اصلي لامل په ګوته کولو سره د هرې ستونزې مخه ونیسي. د ویب اپلیکیشن امنیت ازموینې په جریان کې ، پدې پوهه چې دا ګواښونه څنګه کار کوي د ګټو پیژندل شوي ځایونو په نښه کولو لپاره هم کارول کیدی شي.
د برید د اغیزو پیژندل هم د شرکت د خطر اداره کولو لپاره خورا مهم دي، ځکه چې د بریالي برید اغیزې کیدای شي د زیانمننې شدت معلومولو لپاره وکارول شي. که چیرې زیانمنتیاوې د امنیتي ازموینې په جریان کې وموندل شي، د دوی شدت معلومول شرکت ته اجازه ورکوي چې د درملنې هڅو ته په اغیزمنه توګه لومړیتوب ورکړي. د شرکت لپاره د خطر کمولو لپاره، د جدي شدت مسلو سره پیل کړئ او د ټیټ اغیزو لپاره یو له بل سره کار وکړئ.
د یوې مسلې پیژندلو دمخه ، د شرکت غوښتنلیک کتابتون کې د هر برنامې احتمالي اغیزې ارزونه به تاسو سره د غوښتنلیک امنیت ازموینې لومړیتوب کې مرسته وکړي. د وینب امنیت ازموینې ټاکل کیدی شي لومړی د شرکت مهم غوښتنلیکونه په نښه کړي ، د سوداګرۍ پروړاندې خطر کمولو لپاره د نورو هدف شوي ازموینې سره. د لوړ پروفایل غوښتنلیکونو رامینځته شوي لیست سره ، د وینب امنیت ازموینې ټاکل کیدی شي لومړی د فرم مهم غوښتنلیکونه په نښه کړي ، د سوداګرۍ پروړاندې خطر کمولو لپاره د نورو هدف شوي ازموینې سره.
د ویب غوښتنلیک امنیت ازموینې په جریان کې ، کوم ځانګړتیاوې باید معاینه شي؟
د ویب غوښتنلیک امنیت ازموینې په جریان کې ، د ځانګړتیاو لاندې غیر بشپړ لیست په پام کې ونیسئ. د هر یو غیر موثر تطبیق کولی شي د ضعف لامل شي او شرکت په خطر کې واچوي.
- د غوښتنلیک او سرور ترتیب کول. کوډ کول/کریپټوګرافیک ترتیبونه، د ویب سرور ترتیبونه، او داسې نور د احتمالي نیمګړتیاو ټول مثالونه دي.
- د ننوتلو اعتبار او د غلطۍ اداره کول ضعیف ان پټ او آوټ پټ پروسس کول د SQL انجیکشن ، کراس سایټ سکریپټینګ (XSS) ، او نورو عادي انجیکشن مسلو لامل کیږي.
- د غونډو تصدیق او ساتنه. هغه زیانونه چې کولی شي د کارونکي تقلید لامل شي. د اعتبار ځواک او محافظت باید په پام کې ونیول شي.
- واک ورکول. د عمودی او افقی امتیازاتو زیاتوالی په وړاندې د ساتنې لپاره د غوښتنلیک ظرفیت ازمول کیږي.
- په سوداګرۍ کې منطق. ډیری برنامې چې د سوداګرۍ فعالیت چمتو کوي پدې تکیه کوي.
- د پیرودونکي په پای کې منطق. دا ډول خصوصیت د عصري، جاوا سکریپټ - درنو ویب پاڼو، او همدارنګه د نورو ډوله مراجعینو ټیکنالوژیو (د بیلګې په توګه، سلور لائټ، فلش، جاوا اپلیټ) کارولو ویب پاڼې سره ډیر عام کیږي.
د تصدیق کولو نصاب سره په تفصیل سره د ځان پیژندلو لپاره تاسو کولی شئ لاندې جدول پراخه او تحلیل کړئ.
د EITC/IS/WAPT ویب غوښتنلیکونو د ننوتلو ازموینې تصدیق نصاب په ویډیو فارم کې د خلاص لاسرسي درسي موادو ته اشاره کوي. د زده کړې پروسه په مرحله وار جوړښت ویشل شوې ده (پروګرامونه -> درسونه -> موضوعات) چې د نصاب اړوند برخې پوښي. د ډومین متخصصینو سره لامحدود مشوره هم چمتو کیږي.
د تصدیق پروسې په اړه د جزیاتو لپاره چیک کړئ څنګه کار کوي.
د EITC/IS/WAPT ویب غوښتنلیکونو د ننوتلو ازموینې برنامې لپاره بشپړ آفلاین د ځان زده کړې چمتو کونکي توکي په PDF فایل کې ډاونلوډ کړئ