logo armandadeh
  • خانه
  • محصولات
    • مدیریت و امنیت شبکه
      • ّFortinet
        • FortiGate
        • FortiManager
      • F5 BIG-IP
        • F5 BIG-IP LTM
        • F5 BIG-IP APM
      • Spectra PAM Sectona
      • ManageEngine Desktop Central
    • امنیت وب وبرنامه‌های وب بنیان
      • FortiWeb
      • F5 BIG-IP-ASM
    • دیده‌بانی و نظارت شبکه
      • PRTG Network Monitor
      • Safetica DLP
    • سنجش آسیب‌پذیری
      • Nessus
      • GFI LanGuard
      • Acunetix
    • مرکز عملیات امنیت
      • Splunk
      • FortiAnalyzer
      • Threat Data Feeds
    • امنیت ایستگاه‌های کاری
      • Kaspersky
  • خدمات
    • تست نفوذ
    • راه اندازی SOC
    • مشاوره امنیت اطلاعات
    • آگاهی رسانی اختصاصی امنیتی
    • مهندسی نرم افزار
  • آموزش
  • آگاهی رسانی امنیتی
    • اخبار آسیب‌پذیری
    • پادکست‌ها
    • اخبار امنیت و فناوری
    • داشبورد امنیتی
    • گزارش‌های امنیتی
  • آرمان داده پویان
    • تماس با ما
    • فرصت های شغلی
    • اخبار آرمان داده پویان
    • درباره ما

تست نفوذ و سنجش آسیب‌پذیری

مشاهده مجوز افتا

تست نفوذ وب اپلیکیشن

(برنامه‌های کاربردی وب بنیان)

تست نفوذ وب اپلیکیشن (برنامه‌های کاربردی وب بنیان) را می‌توان یافتن هرگونه نقطه ضعف، آسیب‌پذیری، ایراد فنی و ارائه گزارش کاملی از این آسیب‌پذیری‌ها و آثار آن دانست. بعد از آن هم ارائه طرح‌های پیشنهادی برای برطرف نمودن این نقاط آسیب‌پذیری. اگر سازمانی نسبت به امنیت وب اپلیکیشن‌ها خود بی‌توجه باشد خودش را در معرض آسیب‌پذیری و حملات موفقیت آمیز مهاجمان قرار داده که بعد از آن برای جبران خسارت وارده بایستی چندین برابر هزینه‌ی لازم برای تست نفوذ وب اپلیکیشن‌ها را برای رویارویی با این حملات بپردازد. در زمینه بررسی امنیت وب اپلیکیشن‌ها یک تیم متشکل از متخصصان تست نفوذ و برنامه‌نویسی هم با استفاده از ابزارهای خودکار و هم روش‌های دستی آسیب‌پذیری‌های امنیتی را در برنامه‌های کاربردی وب بنیان یافته و تمامی اجزای مرتبط با آن اعم از کد منبع، پایگاه داده و back-end را بررسی می‌نمایند. همچنین بعد از شناسایی آسیب‌پذیری‌های کشف شده در گزارشات خود آن‌ها را الویت بندی نموده و راهکارهای مربوطه را ارائه می‌دهند.

متدولوژی‌های تست نفوذ وب اپلیکیشن

(برنامه‌های کاربردی وب بنیان)

در حوزه بررسی امنیت وب اپلیکیشن‌ها یکی از متدولوژی‌های معروف  OWASP TOP 10 می‌باشد. مطابق با OWASP آسیب‌پذیری‌های بوب اپلیکیشن‌ها در ده حوزه طبقه‌بندی می‌گردند.

  • تزریق
  • احراز هویت شکسته
  • لو رفتن اطلاعات حساس
  • (XML External Entities(XXE
  • کنترل دسترسی شکسته
  • عدم پیکربندی درست امنیت
  • (Cross-Site Scripting (XSS
  • Insecure Deserialization
  • استفاده از اجزایی با آسیب‌پذیری‌های شناخته شده
  • لاگین و پایش ناکافی

همانطور که گفتیم یکی از متدولوژی‌های معروف در ارتباط با تست نفوذ وب اپلیکیشن‌ها OWASP TOP 10 می‌باشد، متدولوژی‌های روز دیگری نیز وجود دارند که همراه با OWASP می‌توانند به کار روند. در فرآیند تست نفوذ، تیم متخصص تمامی آسیب‌پذیری‌های مشخص شده در این متدولوژی‌ها را چه به صورت خودکار و چه دستی مشخص می‌نمایند. از دیگر متدولوژی‌ها می‌توان از Web Application Security Consurtium نام برد. در ارتباط با بررسی امنیت سامانه‌هایی که در پشت WAF قرار گرفته‌اند نیز متدولوژی‌هایی مختلفی وجود دارد که بر اساس آن آسیب‌پذیری‌های مشخص شده بایستی توسط تیم متخصص تست نفوذ بررسی گردند.

تست نفوذ وب اپلیکیشن

فازهای تست نفوذ وب اپلیکیشن

(برنامه‌های کابردی وب بنیان)

زمانی که تیم تست نفوذ متدولوژی مورد استفاده در انجام آزمون نفوذ پذیری برنامه وب بنیان را انتخاب نموده و مطابق آن آسیب پذیری‌هایی که بایستی بررسی نماید را مشخص می‌کند دو مرحله پیش رو دارد. مرحله فعال یا همان Active و دیگری منفعل یا همان Passive. مرحله منفعل را در واقع می‌توان فاز جمع‌آوری اطلاعات نیز دانست.

  • اسپایدرها، ربات‌ها و خزندگان
  • شناسایی/ جست و جو و کسب اطلاعات از طریق موتورهای جست و جو
  • شناسایی نقاط ورودی برنامه‌های کاربردی
  • سنجش اثر انگشت برنامه کاربردی
  • آنالیز کدهای خطا برنامه کاربردی

تیم تست نفوذ بعد از طی مرحلع منفعل و جمع آوری اطلاعات مورد نیازشان به سمت مرحله فعال رفته و در ۹ حوزه می‌توانند به کشف آسیب‌پذیری و خطاهای موجود بپردازند.

  • سنجش پیکربندی مدیریتی
  • سنجش احراز هویت
  • سنجش مدیریت جلسات
  • سنجش منطق تجارت (business logic)
  • سنجش کنترل دسترسی
  • سنجش اعتبار سنجی داده‌ها
  • سنجش انکار سرویس
  • سنجش سرویس‌های وب
  • سنجش Ajax

در آخر هم اگر از WAF یا همان دیواره‌های آتش وب بنیان در شبکه استفاده شده باشد بایستی بررسی‌های امنیتی لازم نیز بر روی آن انجام پذیرد. با توجه به متدولوژی انتخاب شده توسط شرکت ارائه دهنده تست نفوذ، آسیب‌پذیری‌هایی که بایستی مورد بررسی قرار گیرند فهرست شده و بررسی‌های امنیتی با استفاده از ابزار و همچنین به صورت دستی صورت می‌پذیرد.

آرمان داده پویان با یک دهه تجربه در زمینه انجام انواع تست نفوذ و با بهره‌گیری از تیم متخصص برنامه نویسی و امنیت آماده ارائه انواع تست نفوذ می‌باشد.

برای مشاوره و کسب اطلاعات بیشتر با کارشناسان ما تماس بگیرید

تماس با ما

۲۲۹۱۰۱۷۷ - ۰۲۱

۲۲۹۱۰۱۴۶ - ۰۲۱

شنبه تا چهارشنبه ۸:۳۰ الی ۱۷:۳۰

بلوار میرداماد، میدان محسنی، خیابان آزیتا، جنب کوچه چهارم، پلاک ۱۳ واحد ۱۰

خبرنامه

جهت آگاهی از آخرین اخبار و مقالات، نشانی رایانامه و حوزه علاقمندی خود را ثبت نمایید

موضوع مورد علاقه خود را انتخاب کنید

دسترسی سریع

برای دسترسی سریع به اطلاعات تماس کد زیر را اسکن کنید

qrcode arman dadeh pouyan

شبکه های اجتماعی

© ۱۳۹۹ تمامی حقوق این وب سایت محفوظ و در اختیار شرکت آرمان داده پویان می باشد

تماس با ما

تلفن: 22910177-021
فکس: 22910146-021
آدرس: بلوار میرداماد، میدان محسنی، خیابان آزیتا، جنب کوچه چهارم، پلاک۱۳ واحد۱۰

ما را در شبکه های اجتماعی دنبال کنید

موقعیت ما بر روی نقشه

عضویت در خبرنامه

با عضویت در خبرنامه از آخرین اخبار و مقالات دنیای فناوری اطلاعات با خبر شوید.

موضوع مورد علاقه خود رو انتخاب نمایید

برای دسترسی سریع به اطلاعات تماس این کد را اسکن کنید

© ۱۳۹۹ تمامی حقوق این وب سایت محفوظ و در اختیار شرکت آرمان داده پویان می باشد