آموزش تست امنیت برنامه پویا

معرفی Introduction

• اهمیت تست پویا (در حال انجام) The importance of dynamic testing (In progress)

• آنچه شما باید بدانید What you should know

1. تست امنیت در QA 1. Security Testing in QA

• فرآیند تضمین کیفیت نرم افزار Software quality assurance process

• تست مثبت Positive testing

• تست منفی Negative testing

• معیارهای SQA SQA metrics

• راهنمای تست OWASP OWASP Testing Guide

• نسخه ی نمایشی: OWASP ZAP Demo: OWASP ZAP

2. ارزیابی برنامه های مستقر شده 2. Assessing Deployed Apps

• تست دستی در مقابل خودکار Manual vs. automated testing

• اسکن در مقابل تست قلم Scanning vs. pen testing

• تست در غیر تولید Testing in non-production

• تست در تولید Testing in production

• گردهمایی OSINT OSINT gathering

• پروکسی های برنامه وب Web app proxies

• DevSecOps DevSecOps

• نسخه ی نمایشی: Burp Suite Demo: Burp Suite

3. Web App Pen Testing 3. Web App Pen Testing

• محدوده آزمایش قلم برنامه وب Scoping a web app pen test

• جلوگیری از اثرات تولید Avoiding production impacts

• استاندارد اجرای تست نفوذ Penetration testing execution standard

• انواع تست قلم Types of pen tests

• فایروال برنامه های وب Web application firewalls

• SIEM ها SIEMs

• تیم بنفش Purple teaming

• نسخه ی نمایشی: کالی لینوکس Demo: Kali Linux

4. آزمایش برای ده برتر OWASP (2021) 4. Testing for the OWASP Top Ten (2021)

• ده برتر OWASP The OWASP Top Ten

• A1: کنترل دسترسی خراب A1: Broken access control

• A2: خرابی های رمزنگاری A2: Cryptographic failures

• A3: تزریق A3: Injection

• A4: طراحی ناامن A4: Insecure design

• A5: پیکربندی اشتباه امنیتی A5: Security misconfiguration

• A6: اجزای آسیب پذیر و قدیمی A6: Vulnerable and outdated components

• A7: خرابی در شناسایی و احراز هویت A7: Identification and authentication failures

• A8: نقص نرم افزار و یکپارچگی داده ها A8: Software and data integrity failures

• A9: خرابی های ثبت و نظارت بر امنیت A9: Security Logging and monitoring failures

• A10: جعل درخواست سمت سرور (SSRF) A10: Server-side request forgery (SSRF)

نتیجه Conclusion

• مراحل بعدی Next steps