Veb tətbiqinin nüfuzunun yoxlanılması prosesi veb proqramda mövcud zəiflikləri aşkar etmək və bildirmək üçün həyata keçirilir. Daxiletmənin yoxlanılması, kodun icrası, SQL inyeksiyası və CSRF daxil olmaqla, tətbiqdəki mövcud problemləri təhlil edərək və hesabat verməklə həyata keçirilə bilər.
Bu ən yaxşı QA şirkəticiddi proseslə veb proqramlarını sınaqdan keçirmək və qorumaq üçün ən təsirli yollardan birinə malikdir. Buraya müxtəlif növ zəifliklər üzrə çoxsaylı testlərin aparılması daxildir.
Veb Tətbiqinin nüfuz sınağı işin keyfiyyətini təmin etmək üçün istənilən rəqəmsal layihənin vacib elementidir.
Məlumatların toplanması
Bu mərhələdə siz ictimaiyyətə açıq mənbələrdən istifadə edərək məqsədləriniz haqqında məlumat toplayırsınız. Bunlara vebsaytlar, verilənlər bazası və sınaqdan keçirdiyiniz port və xidmətlərdən asılı olan proqramlar daxildir. Bütün bu məlumatları topladıqdan sonra, bütün əməkdaşlarımızın adları və fiziki yerləri daxil olmaqla, hədəflərinizin hərtərəfli siyahısı olacaq.
Nəzərə alınmalı vacib məqamlar
GNU Wget kimi tanınan alətdən istifadə edin; Bu alət robot.txt fayllarını bərpa etmək və şərh etmək məqsədi daşıyır.
Proqram təminatı ən son versiya üçün yoxlanılmalıdır. Verilənlər bazası təfərrüatları kimi müxtəlif texniki komponentlər bu problemdən təsirlənə bilər.
Digər üsullara zona köçürmələri və əks DNS sorğuları daxildir. Siz həmçinin DNS sorğularını həll etmək və tapmaq üçün veb-əsaslı axtarışlardan istifadə edə bilərsiniz.
Bu prosesin məqsədi ərizənin giriş nöqtəsini müəyyən etməkdir. Bu, WebscarabTemper Data, OWSAP ZAP və Burp Proxy kimi müxtəlif alətlərdən istifadə etməklə həyata keçirilə bilər.
Zəifliklər üçün kataloqların axtarışı və skan edilməsi daxil olmaqla, müxtəlif tapşırıqları yerinə yetirmək üçün Nessus və NMAP kimi alətlərdən istifadə edin.
Amap, Nmap və ya TCP/ICMP kimi ənənəvi Barmaq İzi Alətindən istifadə edərək, proqramın autentifikasiyası ilə bağlı müxtəlif tapşırıqları yerinə yetirə bilərsiniz. Bunlara proqramın brauzeri tərəfindən tanınan uzantıların və qovluqların yoxlanılması daxildir.
Avtorizasiya testi
Bu prosesin məqsədi veb tətbiqinin resurslarına daxil olmaq üçün rol və imtiyaz manipulyasiyasını sınaqdan keçirməkdir. Veb proqramda girişin doğrulanması funksiyalarının təhlili sizə yol keçidlərini həyata keçirməyə imkan verir.
Məsələn, veb hörümçək Kukilərin və parametrlərin alətlərində düzgün qurulduğunu yoxlayın. Həmçinin, qorunan resurslara icazəsiz girişə icazə verilib-verilmədiyini yoxlayın.
Doğrulama Testi
Əgər proqram müəyyən müddətdən sonra sistemdən çıxsa, sessiyadan yenidən istifadə etmək mümkündür. Tətbiqin istifadəçini avtomatik olaraq boş vəziyyətdən çıxarması da mümkündür.
Sosial mühəndislik üsulları giriş səhifəsinin kodunu sındıraraq parolu sınamaq və sıfırlamaq üçün istifadə edilə bilər. Əgər “parolumu yadda saxla” mexanizmi tətbiq edilibsə, bu üsul parolunuzu asanlıqla yadda saxlamağa imkan verəcək.
Aparat qurğuları xarici rabitə kanalına qoşulubsa, onlar autentifikasiya infrastrukturu ilə müstəqil əlaqə saxlaya bilərlər. Həmçinin, təqdim olunan təhlükəsizlik suallarının və cavablarının düzgün olub olmadığını yoxlayın.
Uğurlu SQL inyeksiyasımüştəri etibarının itirilməsi ilə nəticələnə bilər. Bu, həmçinin kredit kartı məlumatları kimi həssas məlumatların oğurlanmasına səbəb ola bilər. Bunun qarşısını almaq üçün təhlükəsiz şəbəkəyə veb proqram firewall yerləşdirilməlidir.
Doğrulama Məlumat Testi
JavaScript kodu təhlili mənbə kodundakı səhvləri aşkar etmək üçün müxtəlif testlər həyata keçirməklə həyata keçirilir. Bunlara kor SQL injection testi və Union Query testi daxildir. Bu testləri yerinə yetirmək üçün sqldumper, power injector və sqlninja kimi alətlərdən də istifadə edə bilərsiniz.
Saxlanılan XSS-i təhlil etmək və sınamaq üçün Backframe, ZAP və XSS Helper kimi alətlərdən istifadə edin. Həmçinin, müxtəlif üsullardan istifadə edərək həssas məlumatları yoxlayın.
Onboarding texnikasından istifadə edərək Backend Mail serverini idarə edin. Serverdə saxlanılan məxfi məlumatlara daxil olmaq üçün XPath və SMTP inyeksiya üsullarını sınaqdan keçirin. Həmçinin, girişin yoxlanılmasında səhvləri müəyyən etmək üçün kodun yerləşdirilməsi testini edin.
Tətbiqə nəzarət axınının müxtəlif aspektlərini sınaqdan keçirin və bufer daşmasından istifadə edərək yaddaş məlumatlarını yığın. Məsələn, kukiləri bölmək və veb trafikini qaçırmaq.
İdarəetmə Konfiqurasiyası Testi
Tətbiqiniz və serveriniz üçün sənədlərə baxın. Həmçinin infrastrukturun və admin interfeyslərinin düzgün işlədiyinə əmin olun. Sənədlərin köhnə versiyalarının hələ də mövcud olduğuna və proqram təminatının mənbə kodlarına, parollarına və quraşdırma yollarına malik olduğundan əmin olun.
Netcat və Telnet istifadə HTTP Metodları həyata keçirmək üçün variantları yoxlayın. Həmçinin, bu üsullardan istifadə etmək icazəsi olanlar üçün istifadəçilərin etimadnaməsini yoxlayın. Mənbə kodunu və log fayllarını nəzərdən keçirmək üçün konfiqurasiya idarəetmə testini həyata keçirin.
həll
Süni intellektin (AI) qələm sınayıcılarına daha effektiv qiymətləndirmələr aparmağa imkan verməklə, nüfuzetmə testinin səmərəliliyinin və dəqiqliyinin artırılmasında mühüm rol oynayacağı gözlənilir. Bununla belə, yadda saxlamaq lazımdır ki, onlar hələ də əsaslandırılmış qərarlar qəbul etmək üçün öz bilik və təcrübələrinə güvənməlidirlər.
Şərh yazan ilk kişi olun