سلام به همه پی وی لرنی های عزیز!
به دوره آموزش تست امنیت Security Testing خوش آمدید.
امروزه به صورت گسترده ای از اینترنت و دنیای وب استفاده می شود و جهان ما اکنون یک جهان آنلاین است که در آن بسیاری از مشاغل به سمت اینترنتی شدن پیش می روند. امروزه ما با پدیده های گسترده خرید و فروش در بستر اینترنت رو به رو هستیم؛ نمونه جهانی آن سایت آمازون است و نمونه ایرانی آن هم سایت دیجیکالا است.
خطرات و تهدید های زیادی در اینترنت وجود دارد؛ از هکر هایی که سعی می کنند از طریق روش های گوناگون از جمله فیشینگ اطلاعات کارت بانکی شما را سرقت کنند تا بد افزار هایی که قصد اختلال در سیستم کامپیوتری شما را دارند و البته ویروس های کامپیوتری و تروجان ها و غیره و غیره.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده قرار بگیرند و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند.
در جلسه گذشته به بررسی اجرای پرونده مخرب در تست امنیت پرداختیم. این جلسه آخرین جلسه از این دوره آموزشی خواهد بود و قرار است که در آن به آشنایی با ابزارهای اتوماسیون در تست امنیت پردازیم.
ابزارهای مختلفی برای انجام تست امنیتی یک برنامه موجود است اما ابزارهای معدودی وجود دارند که می توانند آزمایشات امنیتی end-to-end را انجام دهند و بعضی از ابزار ها نیز اختصاص به نوع خاصی از نقص در سیستم دارند.
در جدول زیر برخی از ابزارهای تست امنیتی منبع باز در تست امنیت را معرفی کرده ایم.
شماره | نام ابزار |
---|---|
۱ | Zed Attack Proxy اسکنرهای خودکار و ابزارهای دیگر را برای ردیابی نقص امنیتی فراهم می کند. |
۲ | OWASP WebScarab در جاوا برای تجزیه و تحلیل درخواستهای Http و Https توسعه داده شده است. |
۳ | OWASP Mantra فریم ورک تست امنیتی چند زبانه را پشتیبانی می کند. https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
۴ | Burp Proxy ابزاری برای رهگیری و Modyfying ترافیک و کار با گواهی های سفارشی SSL. |
۵ | Firefox Tamper Data کمک می کند از tamperdata برای مشاهده و تغییر هدرهای HTTP / HTTPS و پارامترهای ارسال استفاده کنید. |
۶ | Firefox Web Developer Tools برنامه Web Developer ابزارهای مختلف توسعه دهنده وب را به مرورگر اضافه می کند. |
۷ | Cookie Editor به کاربر اجازه می دهد کوکی ها را اضافه، حذف، ویرایش، جستجو، محافظت و مسدود کردن کند. |
ابزارهای زیر می توانند در تشخیص نوع خاصی از آسیب پذیری در سیستم کمک کنند.
شماره | لینک |
---|---|
۱ | DOMinator Pro − Testing for DOM XSS |
۲ | OWASP SQLiX − SQL Injection |
۳ | Sqlninja − SQL Injection |
۴ | SQLInjector − SQL Injection |
۵ | sqlpowerinjector − SQL Injection |
۶ | SSL Digger − Testing SSL |
۷ | THC-Hydra − Brute Force Password |
۸ | Brutus − Brute Force Password |
۹ | Ncat − Brute Force Password |
۱۰ | OllyDbg − Testing Buffer Overflow |
۱۱ | Spike − Testing Buffer Overflow |
۱۲ | Metasploit − Testing Buffer Overflow |
در ادامه برخی از ابزارهای آزمایش جعبه سیاه آورده شده است که به ما کمک می کنند در برنامه هایی که آن ها را توسعه می دهیم، مشکلات امنیتی را بیابیم.
شماره | ابزار |
---|---|
۱ | NGSSQuirreL |
۲ | IBM AppScan |
۳ | Acunetix Web Vulnerability Scanner |
۴ | NTOSpider |
۵ | SOAP UI |
۶ | Netsparker |
۷ | HP WebInspect |
در ادامه آشنایی با ابزارهای اتوماسیون در تست امنیت شما با ابزارهایی که به کمک آن ها می توانید کدهای منبع را به رایگان آنالیز کنید را معرفی کرده ایم.
شماره | ابزار |
---|---|
۱ | OWASP Orizon |
۲ | OWASP O2 |
۳ | SearchDiggity |
۴ | FXCOP |
۵ | Splint |
۶ | Boon |
۷ | W3af |
۸ | FlawFinder |
۹ | FindBugs |
به عنوان آخرین مطلب در آشنایی با ابزارهای اتوماسیون در تست امنیت بیایید با ابزارهای زیر نیز آشنا شویم؛ این ابزارها نقاط ضعف موجود در کد منبع را که مستعد آسیب پذیری هستند بررسی، کشف و گزارش می کنند.
شماره | ابزار |
---|---|
۱ | Parasoft C/C++ test |
۲ | HP Fortify |
۳ | Appscan |
۴ | Veracode |
۵ | Armorize CodeSecure |
۶ | GrammaTech |
در این جلسه به آشنایی با ابزارهای اتوماسیون در تست امنیت پرداختیم و ده ها مورد از مهم ترین و کاربردی ترین ابزارهایی که می توانید به کمک آن ها تست امیت را انجام داده و امنیت وبسایت خود را بسنحید را معرفی کردیم.
به پایان این دوره آموزشی رسیده ایم اما یادگیری همچنان ادامه دارد.
با سایر دوره های آموزشی پی وی لرن همراه باشید.