آموزش تست امنیت برنامه آفلاین

مقدمه Introduction

• اهمیت تست آفلاین The importance of offline testing

• آنچه باید بدانید What you should know

1. تمرینهای پیشرو 1. Leading Practices

• امنیت در SDLC Security in the SDLC

• روش های توسعه Development methodologies

• زبانهای برنامه نویسی Programming languages

• چارچوب های امنیتی Security frameworks

• معرفی به ده برتر OWASP Intro to the OWASP Top Ten

• سایر پروژه های قابل توجه OWASP Other notable OWASP projects

• 25 خطای برتر نرم افزار Top 25 Software Errors

• BSIMM BSIMM

• آزمایشگاه آزمایش خود را بسازید Building your test lab

• تهیه لیست چک Preparing your checklist

2. مستندات امنیتی 2. Security Documentation

• برنامه های پروژه داخلی Internal project plans

• برنامه ریزی ارتباطات Communication planning

• سیاست کنترل را تغییر دهید Change control policy

• سیاست پاسخ حادثه امنیتی Security incident response policy

• سیاست ورود به سیستم و نظارت Logging and monitoring policy

• توافق نامه های شخص ثالث Third-party agreements

• OWASP ASVS OWASP ASVS

3. بررسیهای امنیتی کد منبع 3. Source Code Security Reviews

• چالش های ارزیابی کد منبع Challenges of assessing source code

• پروژه نقد و بررسی کد OWASP OWASP Code Review Project

• اسکنرهای بایکد Bytecode scanners

• اسکنر کد باینری Binary code scanners

• مدل های بررسی کد Code review models

• مدل سازی تهدید برنامه Application threat modeling

• معیارهای مرور کد Code review metrics

• نسخه ی نمایشی: کدگذاری Demo: Codacy

• نسخه ی نمایشی: SonarQube Demo: SonarQube

4. تست آفلاین برای ده برتر OWASP (2017) 4. Offline Testing for the OWASP Top Ten (2017)

• ده نفر برتر OWASP The OWASP Top Ten

• A1: تزریق A1: Injection

• A2: تأیید اعتبار A2: Broken authentication

• A3: قرار گرفتن در معرض داده های حساس A3: Sensitive data exposure

• A4: اشخاص خارجی XML (XXE) A4: XML external entities (XXE)

• A5: کنترل دسترسی شکسته A5: Broken access control

• A6: تنظیم نادرست امنیتی A6: Security misconfiguration

• A7: برنامه نویسی متقاطع (XSS) A7: Cross-site scripting (XSS)

• A8: محاصره ناامن A8: Insecure deserialization

• A9: استفاده از مؤلفه هایی با آسیب پذیریهای شناخته شده A9: Using components with known vulnerabilities

• A10: ورود به سیستم و نظارت کافی A10: Insufficient logging and monitoring

نتیجه Conclusion

• مراحل بعدی Next steps