آموزش تست امنیت برنامه آنلاین

مقدمه Introduction

• اهمیت تست آنلاین The importance of online testing

• آنچه باید بدانید What you should know

1. تست امنیتی در QA 1. Security Testing in QA

• فرآیند تضمین کیفیت نرم افزار Software quality assurance process

• آزمایش مثبت Positive testing

• تست منفی Negative testing

• معیارهای SQA SQA metrics

• راهنمای آزمون OWASP OWASP Testing Guide

• نسخه ی نمایشی: OWASP ZAP Demo: OWASP ZAP

2. ارزیابی برنامه های مستقر 2. Assessing Deployed Apps

• تست دستی در مقابل تست خودکار Manual vs. automated testing

• اسکن در مقابل آزمایش قلم Scanning vs. pen testing

• تست در غیر تولید Testing in non-production

• آزمایش در تولید Testing in production

• جمع آوری OSINT OSINT gathering

• پراکسی های برنامه وب Web app proxies

• نسخه ی نمایشی: Fiddler2 Demo: Fiddler2

• نسخه ی نمایشی: Burp Suite Demo: Burp Suite

• نسخه ی نمایشی: چارچوب تست وب سامورایی (WTF) Demo: Samurai Web Testing Framework (WTF)

3. تست قلم برنامه وب 3. Web App Pen Testing

• آزمایش قلم برنامه وب Scoping a web app pen test

• جلوگیری از اثرات تولید Avoiding production impacts

• استاندارد اجرای تست نفوذ The penetration testing execution standard

• انواع تست قلم Types of pen tests

• فایروال های برنامه وب Web application firewalls

• SIEMs SIEMs

• تیمی بنفش Purple teaming

• نسخه ی نمایشی: OWASP OWTF Demo: OWASP OWTF

4- تست ده نفر برتر OWASP (2017) 4. Testing for the OWASP Top Ten (2017)

• ده نفر برتر OWASP The OWASP Top Ten

• A1: تزریق A1: Injection

• A2: تأیید اعتبار A2: Broken authentication

• A3: قرار گرفتن در معرض داده های حساس A3: Sensitive data exposure

• A4: اشخاص خارجی XML (XXE) A4: XML external entities (XXE)

• A5: کنترل دسترسی شکسته A5: Broken access control

• A6: تنظیم نادرست امنیتی A6: Security misconfiguration

• A7: برنامه نویسی متقاطع (XSS) A7: Cross-site scripting (XSS)

• A8: محاصره ناامن A8: Insecure deserialization

• A9: استفاده از مؤلفه هایی با آسیب پذیریهای شناخته شده A9: Using components with known vulnerabilities

• A10: ورود به سیستم و نظارت کافی A10: Insufficient logging and monitoring

نتیجه Conclusion

• مراحل بعدی Next steps