انسانیت

باید متاسف بود که در شرایط کنونی از نماز، و دین ، تنها اعمال بدون ماهیت و معنایی مانده است. ملا محسن فیض کاشانی در در کتاب «اَلْمَحَجَّةُ الْبَیْضاء فی تَهْذیبِ الْاِحْیاء» (جلد اول صفحه ۳۷۸) چنین نقل کرده است که چون وقت نماز فرا می رسید، علی، که درود خداوند بر او یاد، بر خود می لرزید. می فرمود: وقت ادای امانتی رسیده است که خداوند آن را بر آسمان ها، زمین و کوه ها عرضه کرد، آنها از قبول آن ابا کردند و از آن بیمناک شدند در چهل و پنجمین آیه از سوره مبارکه بقره نیز فرموده است: « وَاسْتَعِينُوا بِ...

لینک مخزن پروژه در Github معرفی راهنمای آزمایش امنیت وب OWASP، یک راهنمای جامع برای آزمایش امنیت برنامه ها و سرویس های وب است. OWASP-WSTG یک راهنمای کاربردی بسیار جامع است که بهترین شیوه های هکر ها و سازمان ها در سراسر جهان را ارائه میدهد. سرفصل ها Web Application Security Testing (آزمایش امنیت برنامه وب) 4.0 Introduction and Objectives (مقدمه و اهداف) 4.1 Information Gathering (جمع آوری اطلاعات) 4.1.1 Conduct Search Engine Discovery Reconnaissance for Information Leakage (شناسایی و کشف...

OWASP Top 10 (fa-IR) 10 مورد برتر OWASP (فارسی) مقدمه و اهداف 10 مورد برتر OWASP، یک سند استاندارد آگاهی برای توسعه دهندگان و امنیت برنامه های وب است. این یک توافق گسترده در مورد حیاتی ترین خطرات امنیتی برای برنامه های وب را نشان می دهد. شرکت ها باید این سند را بپذیرند و فرآیند اطمینان از اینکه برنامه های وب آنها این خطرات را به حداقل می رساند، آغاز کنند. استفاده از OWASP Top 10 شاید موثرترین قدم اول برای تغییر فرهنگ توسعه نرم افزار در سازمان شما باشد تا بتوانید کد ایمن تری تولید کنید. آنچه ...

4.4 Authentication Testing (fa-IR) آزمایش احراز هویت (فارسی) 4.4.1 Testing for Credentials Transported over an Encrypted Channel (آزمایش برای اعتبارنامه های منتقل شده از طریق یک کانال رمزگذاری شده) ...

Testing for Credentials Transported over an Encrypted Channel (fa-IR) آزمایش برای اعتبارنامه های منتقل شده از طریق یک کانال رمزگذاری شده (فارسی) شناسه WSTG-ATHN-01 این محتوا در آزمایش برای اطلاعات حساس ارسال شده از طریق کانال های رمزگذاری نشده ادغام شده است. ...

4.4 Authentication Testing (fa-IR) آزمایش احراز هویت (فارسی) 4.4.1 Testing for Credentials Transported over an Encrypted Channel (آزمایش برای اعتبارنامه های منتقل شده از طریق یک کانال رمزگذاری شده) ...

Testing for Weak or Unenforced Username Policy (fa-IR) آزمایش برای سیاست نام کاربری ضعیف یا غیرقابل اجرا (فارسی) شناسه WSTG-IDNT-05 خلاصه نام‌های حساب کاربری اغلب ساختار بالایی دارند (مثلاً نام حساب Joe Bloggs ء jbloggs و نام حساب کاربری Fred Nurks ء fnurks است) و نام حساب‌های معتبر را به راحتی می‌توان حدس زد. اهداف آزمایش تعیین کنید که آیا ساختار نام حساب سازگار، برنامه را در برابر شمارش حساب آسیب پذیر می کند یا خیر. تعیین کنید که آیا پیام های خطای برنامه اجازه شمارش حساب را می ده...

Testing for Account Enumeration and Guessable User Account (fa-IR) آزمایش برای شمارش حساب و حساب کاربری قابل حدس زدن (فارسی) شناسه WSTG-IDNT-04 خلاصه دامنه این آزمایش بررسی این است که آیا امکان جمع آوری مجموعه ای از نام های کاربری معتبر با تعامل با مکانیسم احراز هویت برنامه وجود دارد یا خیر. این آزمایش برای آزمایش brute force مفید خواهد بود، که در آن آزمایش کننده بررسی می کند که آیا با دادن یک نام کاربری معتبر، امکان یافتن رمز عبور مربوطه وجود دارد یا خیر. اغلب، برنامه های وب زمانی ک...

Test Account Provisioning Process (fa-IR) آزمایش فرآیند ارائه حساب (فارسی) شناسه WSTG-IDNT-03 خلاصه ارائه حساب‌ها فرصتی را برای مهاجم فراهم می‌کند تا یک حساب معتبر بدون استفاده از فرآیند شناسایی و مجوز مناسب ایجاد کند. اهداف آزمایش بررسی کنید که کدام حساب‌ها ممکن است حساب‌های دیگری و از چه نوع ارائه کنند. چگونه آزمایش کنیم تعیین کنید کدام نقش‌ها می‌توانند کاربران را ارائه (provision) کنند و چه نوع حساب‌هایی را می‌توانند ارائه کنند. آیا تأیید، بررسی و تأیید درخواست‌های ارائه وج...

Test User Registration Process (fa-IR) آزمایش فرآیند ثبت نام کاربر (فارسی) شناسه WSTG-IDNT-02 خلاصه برخی از وب‌سایت‌ها فرآیند ثبت نام کاربر را ارائه می‌کنند که دسترسی به سیستم را برای کاربران خودکار (یا نیمه خودکار) می‌کند. الزامات هویت برای دسترسی بسته به الزامات امنیتی سیستم، از شناسایی مثبت تا عدم وجود متفاوت است. بسیاری از برنامه های عمومی فرآیند ثبت نام و تهیه را کاملاً خودکار می کنند زیرا اندازه پایگاه کاربر مدیریت دستی را غیرممکن می کند. با این حال، بسیاری از برنامه های شرکتی ک...

Test Role Definitions (fa-IR) آزمایش تعاریف نقش (فارسی) شناسه WSTG-IDNT-01 خلاصه برنامه ها انواع مختلفی از عملکردها و خدمات دارند و آن ها بر اساس نیاز کاربر به مجوزهای دسترسی نیاز دارند. آن کاربر می تواند: یک مدیر (administrator)، جایی که آنها عملکردهای برنامه را مدیریت می کنند. یک حسابرس (auditor)، جایی که آنها معاملات برنامه را بررسی می کنند و گزارش مفصلی ارائه می دهند. یک مهندس پشتیبانی (support engineer)، جایی که آنها به مشتریان کمک می کنند تا اشکالات را در حساب های خود رفع کنند...

4.3 Identity Management Testing (fa-IR) آزمایش مدیریت هویت (فارسی) 4.3.1 Test Role Definitions (آزمایش تعاریف نقش) 4.3.2 Test User Registration Process (آزمایش فرآیند ثبت نام کاربر) 4.3.3 Test Account Provisioning Process (آزمایش فرآیند ارائه حساب) 4.3.4 Testing for Account Enumeration and Guessable User Account (آزمایش برای شمارش حساب و حساب کاربری قابل حدس زدن) 4.3.5 Testing for Weak or Unenforced Username Policy (آزمایش برای سیاست نام کاربری ضعیف یا غیرقابل اجرا) ...

Test Path Confusion (fa-IR) آزمایش سردرگمی مسیر (فارسی) شناسه WSTG-CONF-13 خلاصه پیکربندی مناسب مسیرهای برنامه مهم است زیرا، اگر مسیرها به درستی پیکربندی نشده باشند، به مهاجم اجازه می‌دهند تا با استفاده از این پیکربندی نادرست، از آسیب‌پذیری‌های دیگر در مراحل بعدی سوء استفاده کند. به عنوان مثال، اگر مسیرها به درستی پیکربندی نشده باشند و هدف نیز از CDN استفاده کند، مهاجم می تواند از این پیکربندی نادرست برای اجرای حملات فریب کش وب (Web Cache Deception) استفاده کند. در نتیجه، برای جلوگی...

Testing for Content Security Policy (fa-IR) آزمایش برای سیاست امنیت محتوا (فارسی) شناسه WSTG-CONF-12 خلاصه سیاست (خط‌مشی) امنیت محتوا (CSP) یک خط‌مشی فهرست مجاز اعلامی است که از طریق سرصفحه پاسخ Content-Security-Policy یا عنصر <meta> معادل آن اعمال می‌شود. این به توسعه دهندگان اجازه می دهد تا منابعی را که از آنها منابعی مانند جاوا اسکریپت، CSS، تصاویر، فایل ها و غیره بارگیری می شوند، محدود کنند. CSP یک تکنیک دفاعی موثر برای کاهش خطر آسیب‌پذیری‌هایی مانند Cross Site Scripting (XS...

Test Cloud Storage (fa-IR) آزمایش فضای ذخیره سازی ابری (فارسی) شناسه WSTG-CONF-11 خلاصه سرویس‌های ذخیره‌سازی ابری برنامه‌ها و سرویس‌های وب را برای ذخیره و دسترسی به اشیاء در سرویس ذخیره‌سازی تسهیل می‌کنند. با این حال، پیکربندی نادرست کنترل دسترسی ممکن است منجر به قرار گرفتن در معرض اطلاعات حساس، دستکاری داده ها یا دسترسی غیرمجاز شود. یک مثال شناخته شده جایی است که یک سطل S3 آمازون (Amazon S3 bucket) به اشتباه پیکربندی شده است، اگرچه سایر سرویس های ذخیره سازی ابری نیز ممکن است در معرض...

Test for Subdomain Takeover (fa-IR) آزمایش تصاحب زیردامنه (فارسی) شناسه WSTG-CONF-10 خلاصه بهره برداری موفقیت آمیز از این نوع آسیب پذیری به دشمن اجازه می دهد تا زیردامنه قربانی را ادعا کرده و کنترل کند. این حمله متکی بر موارد زیر است: رکورد زیردامنه سرور DNS خارجی قربانی طوری پیکربندی شده است که به منبع / سرویس خارجی / نقطه پایانی موجود یا غیر فعال اشاره کند. گسترش محصولات XaaS (هر چیزی به عنوان سرویس) و خدمات ابری عمومی، اهداف بالقوه زیادی را برای در نظر گرفتن ارائه می دهد. ارائه‌د...

Test File Permission (fa-IR) آزمایش مجوز فایل (فارسی) شناسه WSTG-CONF-09 خلاصه هنگامی که به یک منبع تنظیمات مجوز داده می شود که دسترسی به طیف وسیع تری از بازیگران را نسبت به نیاز فراهم می کند، می تواند منجر به افشای اطلاعات حساس یا تغییر آن منبع توسط اشخاص ناخواسته شود. این امر به ویژه زمانی خطرناک است که منبع مربوط به پیکربندی برنامه، اجرا یا داده های حساس کاربر باشد. یک مثال واضح یک فایل اجرایی است که توسط کاربران غیرمجاز قابل اجرا است. برای مثال دیگر، اطلاعات حساب یا یک مقدار رمز ...

Test HTTP Strict Transport Security (fa-IR) آزمایش امنیت حمل و نقل سخت HTTP (فارسی) شناسه WSTG-CONF-07 خلاصه ویژگی HTTP Strict Transport Security (HSTS) به یک برنامه وب اجازه می دهد تا از طریق استفاده از سربرگ پاسخ ویژه به مرورگر اطلاع دهد که هرگز نباید با استفاده از HTTP رمزگذاری نشده با سرورهای دامنه مشخص شده ارتباط برقرار کند. در عوض، باید به طور خودکار تمام درخواست های اتصال را برای دسترسی به سایت از طریق HTTPS ایجاد کند. همچنین از نادیده گرفتن خطاهای گواهی توسط کاربران جلوگیری می...

Test HTTP Methods (fa-IR) آزمایش روش های HTTP (فارسی) شناسه WSTG-CONF-06 خلاصه ا HTTP تعدادی روش (یا افعال) را ارائه می دهد که می توان از آنها برای انجام اقدامات در وب سرور استفاده کرد. در حالی که GET و POST با اختلاف رایج‌ترین روش‌هایی هستند که برای دسترسی به اطلاعات ارائه‌شده توسط وب سرور استفاده می‌شوند، روش‌های مختلفی نیز وجود دارد که ممکن است پشتیبانی شوند و گاهی اوقات می‌توانند توسط مهاجمان مورد سوء استفاده قرار گیرند. ا RFC 7231 روش های اصلی درخواست معتبر HTTP (یا افعال) را تع...

Enumerate Infrastructure and Application Admin Interfaces (fa-IR) شمارش زیرساخت و رابط های مدیریت برنامه (فارسی) شناسه WSTG-CONF-05 خلاصه رابط های مدیر (Administrator interfaces) ممکن است در برنامه یا سرور برنامه وجود داشته باشد تا به کاربران خاصی اجازه انجام فعالیت های ممتاز (privileged activities) در سایت را بدهد. باید آزمایش هایی انجام شود تا مشخص شود که آیا و چگونه می توان به این عملکرد ممتاز توسط یک کاربر غیرمجاز یا استاندارد دسترسی داشت یا خیر. یک برنامه ممکن است به یک رابط مدی...

Review Old Backup and Unreferenced Files for Sensitive Information (fa-IR) مرور فایل های پشتیبان قدیمی و بدون مرجع برای اطلاعات حساس (فارسی) شناسه WSTG-CONF-04 خلاصه در حالی که بیشتر فایل‌های داخل یک وب سرور مستقیماً توسط خود سرور مدیریت می‌شوند، یافتن فایل‌های ارجاع‌نشده یا فراموش‌شده‌ای که می‌توان از آنها برای به دست آوردن اطلاعات مهم در مورد زیرساخت یا اعتبارنامه‌ها استفاده کرد، غیرمعمول نیست. رایج‌ترین سناریوها شامل وجود نسخه‌های قدیمی تغییر نام‌داده‌شده از فایل‌های اصلاح‌شده، فا...

Review Old Backup and Unreferenced Files for Sensitive Information (fa-IR) مرور فایل های پشتیبان قدیمی و بدون مرجع برای اطلاعات حساس (فارسی) شناسه WSTG-CONF-04 خلاصه در حالی که بیشتر فایل‌های داخل یک وب سرور مستقیماً توسط خود سرور مدیریت می‌شوند، یافتن فایل‌های ارجاع‌نشده یا فراموش‌شده‌ای که می‌توان از آنها برای به دست آوردن اطلاعات مهم در مورد زیرساخت یا اعتبارنامه‌ها استفاده کرد، غیرمعمول نیست. رایج‌ترین سناریوها شامل وجود نسخه‌های قدیمی تغییر نام‌داده‌شده از فایل‌های اصلاح‌شده، فا...

Test File Extensions Handling for Sensitive Information (fa-IR) آزمایش مدیریت پسوند فایل برای اطلاعات حساس (فارسی) شناسه WSTG-CONF-03 خلاصه پسوندهای فایل معمولاً در سرورهای وب استفاده می‌شوند تا به راحتی تعیین کنند که کدام فناوری‌ها، زبان‌ها و افزونه‌ها باید برای انجام درخواست وب مورد استفاده قرار گیرند. در حالی که این رفتار با RFC ها و استانداردهای وب مطابقت دارد، استفاده از پسوندهای فایل استاندارد اطلاعات مفیدی را در مورد فناوری‌های زیربنایی مورد استفاده در یک ابزار وب به آزمایش کنن...

Test Application Platform Configuration (fa-IR) آزمایش پیکربندی پلتفرم برنامه (فارسی) شناسه WSTG-CONF-02 خلاصه پیکربندی مناسب عناصر منفرد که معماری برنامه را تشکیل می دهند به منظور جلوگیری از اشتباهاتی که ممکن است امنیت کل معماری را به خطر بیندازند، مهم است. بررسی و آزمایش پیکربندی یک کار حیاتی در ایجاد و حفظ یک معماری است. این به این دلیل است که بسیاری از سیستم‌های مختلف معمولاً با پیکربندی‌های عمومی ارائه می‌شوند که ممکن است برای کاری که در سایت خاصی که در آن نصب شده‌اند انجام دهند...

4.2 Configuration and Deployment Management Testing (fa-IR) آزمایش مدیریت پیکربندی و استقرار (فارسی) 4.2.1 Test Network Infrastructure Configuration (آزمایش پیکربندی زیرساخت شبکه) 4.2.2 Test Application Platform Configuration (آزمایش پیکربندی پلتفرم برنامه) 4.2.3 Test File Extensions Handling for Sensitive Information (آزمایش مدیریت پسوند فایل برای اطلاعات حساس) 4.2.4 Review Old Backup and Unreferenced Files for Sensitive Information (مرور فایل های پشتیبان قدیمی و بدون مرجع برای اطلاعات حسا...

Map Application Architecture (fa-IR) معماری برنامه نقشه (فارسی) شناسه WSTG-INFO-10 خلاصه برای اینکه به طور موثر یک برنامه را آزمایش کنید و بتوانید توصیه های معناداری در مورد نحوه رسیدگی به هر یک از مسائل شناسایی شده ارائه دهید، مهم است که بفهمید واقعاً چه چیزی را آزمایش می کنید. علاوه بر این، می تواند به تعیین اینکه آیا اجزای خاص باید خارج از محدوده آزمایش در نظر گرفته شوند، کمک کند. برنامه های وب مدرن می توانند به طور قابل توجهی از نظر پیچیدگی متفاوت باشند، از یک اسکریپت ساده که روی...

Fingerprint Web Application Framework (fa-IR) انگشت نگاری چارچوب برنامه وب (فارسی) شناسه WSTG-INFO-08 خلاصه هیچ چیز جدیدی در زیر نور خورشید وجود ندارد و تقریباً هر برنامه وب که ممکن است به توسعه آن فکر کنید قبلاً توسعه یافته است. با وجود تعداد زیادی از پروژه های نرم افزاری رایگان و متن باز که به طور فعال در سرتاسر جهان توسعه یافته و مستقر شده اند، به احتمال زیاد یک آزمایش امنیتی برنامه با هدفی مواجه خواهد شد که به طور کامل یا تا حدی به این برنامه ها یا چارچوب (فریمورک) های شناخته شده ...

Map Execution Paths Through Application (fa-IR) مسیرهای اجرای نقشه از طریق برنامه (فارسی) شناسه WSTG-INFO-07 خلاصه قبل از شروع آزمایش امنیتی، درک ساختار برنامه بسیار مهم است. بدون درک کامل از چیدمان برنامه، بعید است که به طور کامل آزمایش شود. اهداف آزمایش برنامه مورد نظر را نقشه برداری کنید و گردش کار اصلی را درک کنید. چگونه آزمایش کنیم در آزمایش جعبه سیاه، آزمایش کل پایگاه کد بسیار دشوار است. نه فقط به این دلیل که آزمایش کننده هیچ دیدی از مسیرهای کد از طریق برنامه ندارد، بلکه ح...

Identify Application Entry Points (fa-IR) شناسایی نقاط ورودی برنامه (فارسی) شناسه WSTG-INFO-06 خلاصه برشمردن برنامه و سطح حمله آن یک پیشرو کلیدی قبل از انجام هر گونه آزمایش کامل است، زیرا به آزمایش کننده اجازه می دهد نقاط ضعف احتمالی را شناسایی کند. هدف این بخش کمک به شناسایی و ترسیم مناطق درون برنامه است که باید پس از تکمیل شمارش و نقشه برداری بررسی شوند. اهداف آزمایش نقاط ورود و تزریق احتمالی را از طریق تجزیه و تحلیل درخواست و پاسخ شناسایی کنید. چگونه آزمایش کنیم قبل از شروع ه...

Enumerate Applications on Webserver (fa-IR) |WSTG-INFO-04| خلاصه یک مرحله مهم در آزمایش آسیب پذیری های برنامه های وب، این است که بفهمیم کدام برنامه های خاص روی سرور وب میزبانی می شوند. بسیاری از برنامه ها دارای آسیب پذیری ها و استراتژی های حمله شناخته شده هستند که می توانند برای به دست آوردن کنترل از راه دور یا سوء استفاده از داده ها مورد سوء استفاده قرار گیرند. علاوه بر این، بسیاری از برنامه ها اغلب به اشتباه پیکربندی می شوند یا بروزرسانی نمی شوند، زیرا این تصور وجود دارد که آنها فقط "داخلی"...