جلسه 1: اهمیت تست امنیت (Security Testing)
جلسه 1: اهمیت تست امنیت (Security Testing)
عزیزان به دوره آموزش تست امنیت Security Testing جت آموز خوش آمدید.
نگهداری امن و محرمانه اطلاعات مشتریان از اولویت بالایی در تمامی سازمان ها و شرکت ها برخوردار است. متأسفانه، روزانه آسیب پذیری های جدیدی کشف شده و همگامی نگهداشت امن سازمان در برابر آن ها، تقریباً به امری محال تبدیل شده است. این آسیب پذیری ها در تاروپود زیرساخت IT قرار گرفته و گاهاً به مدت بسیار طولانی کشف نشده باقی می مانند. اگرچه راه های بسیاری برای امن سازی سیستم ها و اپلیکیشن ها در برابر آسیب پذیری ها وجود دارد، اما تنها راه کسب اطمینان واقعی از آن، تست امنیتی بستر IT سازمان به منظور یافتن این حفره های امنیتی است.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده قرار بگیرند و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند. راهکار “تست امنیتی” امکان تکرار حملات بر روی سیستم ها، دستگاه ها و اپلیکیشن ها را به منظور آشکارسازی زنجیره ای از مسیرهای باز و آسیب پذیر بر روی سیستم ها و داده های حساس و حیاتی سازمان، فراهم می آورد. در این جلسه که نخستین جلسه از این دوره است به اهمیت تست امنیت Security Testing می پردازیم.
اهمیت تست امنیت Security Testing چیست؟
تست امنیت برای محافظت از سیستم در برابر فعالیت های مخرب در وب است. تست امنیتی یک روش آزمایش برای تعیین اینکه آیا یک سیستم اطلاعات از داده ها محافظت می کند و عملکرد را همانطور که در نظر گرفته شده است حفظ می نماید. تست امنیت یا Security Testing امنیت کامل سیستم را تضمین نمی کند اما مهم است که شامل تست امنیتی را به عنوان بخشی از فرآیند آزمایش در نظر بگیرید.
تست امنیت Security Testing شش اقدام زیر را روی تأمین یک محیط امن انجام می دهد:
- احراز هویت (Authentication): هویت کاربر را تأیید می کند.
- مجوز (Authorization): حق دسترسی کاربران و منابع را مشخص می کند.
- در دسترس بودن (Availability): آمادگی اطلاعات مورد نیاز را تضمین می کند.
- محرمانه بودن (Confidentiality): در برابر افشای اطلاعات در برابر گیرندگان ناخواسته محافظت می کند.
- یکپارچگی (Integrity): این امکان را می دهد تا اطلاعات دقیق و صحیح مورد نظر را از فرستنده ها به گیرنده های در نظر گرفته شده منتقل کنید.
- عدم پذیرش (Non-repudiation): تضمین می کند که هیچ گونه انکاری از طرف فرستنده یا گیرنده به دلیل ارسال یا دریافت پیام وجود ندارد.
نمونه و مثال عملی
مشاهده نقص امنیتی در یک برنامه مبتنی بر وب شامل مراحل پیچیده ای می شود. در بعضی مواقع، یک آزمایش ساده می تواند شدیدترین خطر امنیتی را ایجاد کند؛ می توانید این تست بسیار اساسی را در هر برنامه وب امتحان کنید:
- از برنامه وب خارج شوید.
- روی دکمه BACK مرورگر کلیک کنید.
- با استفاده از اعتبار معتبر یا valid credentials وارد برنامه وب شوید.
- بررسی کنید که آیا از شما خواسته شده است که دوباره وارد سیستم شوید یا اینکه می توانید دوباره به صفحه ای که وارد شده اید برگردید.
سخن پایانی
تست امنیت برای محافظت از سیستم در برابر فعالیت های مخرب در وب به کار می رود. تست امنیتی یک روش آزمایش برای تعیین اینکه آیا یک سیستم اطلاعات از داده ها محافظت می کند و عملکرد را همانطور که در نظر گرفته شده است حفظ می نماید. این است که نشان می دهد اهمیت تست امنیت Security Testing چیست. در جلسه بعدی در خصوص فرایند آن صحبت خواهیم کرد.
لطفا نظرات خود در رابطه با این دوره را با ما به اشتراک بگذارید.
شاد و موفق باشید.
سرفصل های دوره:
- جلسه ۱: اهمیت تست امنیت (Security Testing)
- جلسه ۲: معرفی فرآیند تست امنیت (Security Testing)
- جلسه ۳: بد افزارها و نحوه مقابله با آن ها در تست امنیت
- جلسه ۴: معرفی HTTP و اهمیتی آن در تست امنیت
- جلسه ۵: نقش HTTP در تست امنیت (Security Testing)
- جلسه ۶: معرفی فرایند رمزگذاری و رمزگشایی در تست امنیت
- جلسه ۷: معرفی فرایند رمزنگاری یا Cryptography در تست امنیت
- جلسه ۸: معرفی مفهوم SOP در تست امنیت (Security Testing)
- جلسه ۹: بررسی انواع کوکی ها و تاثیر آن ها در تست امنیت
- جلسه ۱۰: نحوه هک شدن برنامه های وب در تست امنیت
- جلسه ۱۱: معرفی تکنیک تزریق یا Injection در تست امنیت
- جلسه ۱۲: بررسی آزمایش تأیید هویت شکسته در تست امنیت
- جلسه ۱۳: تاثیر اسکریپت نویسی در تست امنیت (Security Testing)
- جلسه ۱۴: بررسی تاثیر Direct Object References در تست امنیت
- جلسه ۱۵: بررسی تنظیمات نادرست امنیتی در امنیت وب
- جلسه ۱۶: تاثیر داده های حساس بر تست امنیت
- جلسه ۱۷: سطوح دسترسی کاربران و تاثیر آن در تست امنیت
- جلسه ۱۸: تاثیر CSRF در تست امنیت (Security Testing)
- جلسه ۱۹: بررسی مولفه های آسیب پذیر در تست امنیت
- جلسه ۲۰: تاثیر ریدایرکت ها و فورواردهای نامعتبر در تست امنیت
- جلسه ۲۱: بررسی امنیت AJAX در تست امنیت (Security Testing)
- جلسه ۲۲: معرفی سرویس های وب در تست امنیت (Security Testing)
- جلسه ۲۳: بررسی تاثیر Buffer Overflows در تست امنیت
- جلسه ۲۴: بررسی حمله انکار سرویس در تست امنیت
- جلسه ۲۵: بررسی اجرای پرونده مخرب در تست امنیت
- جلسه ۲۶: معرفی ابزارهای اتوماسیون در تست امنیت
1 دیدگاه
به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.
دیدگاهتان را بنویسید لغو پاسخ
برای نوشتن دیدگاه باید وارد بشوید.
لطفا آموزش رو بصورت فایل پی دی اف در سایت قرار دهید باتشکر