در این مقاله تخصصی، قصد داریم تجربه و فرآیندی که طی ۴۰ روز برای پیداکردن ۴۰ آسیبپذیری از وردپرس بدست آوردیم با شما به اشتراک بگذاریم. در ادامه، با مفهوم آسیبپذیری (Vulnerability) بیشتر آشنا شده، مشخصات آسیبپذیریها را بیان میکنیم و همچنین بعضی از کدهای مورد استفاده برای جلوگیری از آسیبپذیری را برای شما دوستان عزیز به اشتراک میگذاریم. توصیه میکنیم عزیزانی که علاقهمند به امنیت سایبری و امنیت وردپرس هستند، این مقاله را از دست ندهند.
این مقاله یک تعریف دقیق و راهنمایی گام به گام برای پنتست خدمات وب (تست نفوذ) ارائه میدهد. علاوه بر آن به دو نوع وبسرویس، REST و SOAP نیز به طور مفصل خواهیم پرداخت. پس برای مطالعه بیشتر با ما همراه باشید.
مقدمه امنیت در توسعه نرمافزارهای مدرن اهمیت زیادی دارد. منطق کسب و کار روز به روز پیچیدهتر میشود. نرمافزارهای وب دارای بخشهای جدید زیادی هستند. از طرفی، یک نرمافزار مدرن، پیچیدگیهای خود را هم دارد. از سوی دیگر، منجر به آسیبپذیریهای امنیتی بسیار بیشتری میشود. توسعه نرمافزاری مبتنی بر مرورگر که امن و قابل اعتماد …
تست امنیتی (Security Testing) چیست و چرا اهمیت دارد؟ ادامه »
امنیت اپلیکیشن موبایل (Mobile Application Security) تست امنیت اپلیکیشن موبایل (Mobile Application Security)، فرآیند آنالیز برنامهها و شناسایی نقاط آسیبپذیر در آنها است. هکرها در حال بررسی این فضا هستند تا از راههای جدید، برای سرقت اطلاعات موبایلها استفاده میکنند. بنابراین توسعهدهندگان برنامهها، باید این مورد را بیشتر مورد توجه قرار دهند. همزمان با توسعه …
امنیت اپلیکیشن موبایل (Mobile Application Security) چیست؟ ادامه »
تست نفوذ وبسایت چیست؟ برای شروع بهتر است با مفهوم این مورد آشنا شویم. تست نفوذ وبسایت (Website Penetration Test) یک شبیهسازی حمله هکری است که به منظور آزمودن سطح امنیت سایبری سازمانها انجام میگیرد. کسبوکارها هزینه زیادی دادهاند تا بیاموزند که نقاط آسیبپذیر و حفرههای امنیتی تا چه حدی میتوانند مخرب باشند و بر …
مهندسی اجتماعی (Social Engineering) چیست؟ مهندسی اجتماعی (Social Engineering) یا هنر فریب، به روشهای فریب در راستای پیشبرد اهداف و منافع گویند که مصداقهای گوناگونی دارد. و در عملیات تیم قرمز، تست نفوذ و سایر روشهای نفوذ مورد استفاده قرار میگیرد. اگر تمایل به آشنایی بیشتر با تیم قرمز را دارید میتوانید مقاله تیم قرمز …
تست نفوذ (Penetration Testing) چیست؟ برای آشنایی با مفهوم تست نفوذ وباپلیکیشن، لازم است ابتدا تست نفوذ (Penetration Test) را بشناسید. همانطور که ما در مقاله تست نفوذ چیست؟ گفتیم، تست نفوذ (pentest)، فرآیندی است که در آن یک هکر قانونمند، برای ارزیابی اهداف خود، با ارسال کدهای مخرب به یافتن آسیبپذیریها میپردازد و هدف اصلی تست …
چکلیست امنیت وب اپلیکیشنها برای شروع، بهتر است قبل از مفهوم امنیت وب اپلیکیشن ها، ابتدا با مفهوم تست نفوذ بیشتر آشنا بشیم. همانطور که در مقاله تست نفوذ چیست؟ گفتیم، تست نفوذ (pentest)، فرایندی است که در آن یک هکر قانونمند، برای ارزیابی اهداف خود، با ارسال کدهای مخرب به یافتن آسیبپذیریها میپردازد و هدف …
API (رابط برنامه نویسی) چیست؟ برای فهم و شناخت بیشتر لازم است که قبل از آشنایی با امنیت API، با خود API یا رابط برنامه نویسی برنامه آشنا شویم. همانطور که در مقاله رابط برنامه نویسی برنامه (API) چیست؟ گفتیم، پیادهسازی امنیت رابط برنامه نویسی برنامه (API)، براساس نیازمندی و نوع API (Application programming interface) ، یکی از …
تست نفوذ خارجی چیست؟ ابتدا لازم است برای شناخت بیشتر این نوع، با مفهوم اولیه تست نفوذ آشنا شوید. همانطور که در مقاله تست نفوذ چیست؟ توضیح دادیم، تست نفوذ (pentest)، فرایندی است که در آن یک هکر قانونمند، برای ارزیابی اهداف خود، با ارسال کدهای مخرب به یافتن آسیبپذیریها میپردازد و هدف اصلی آن، دسترسی غیرمجاز …
تست نفوذ داخلی چیست و چگونه انجام میشود؟ در سال 2011، مشاور امنیتی به نام راجر گرایمز (Roger Grimes)، مقالهای با عنوان ” برای شکست دادن هکرها باید مثل آنها فکر کرد” را منتشر نمود. در این مقاله، گرایمز به نکته جالبی اشاره میکند؛ او باور داشت که متخصصان امنیت سایبری باید سیستمها را از …
امنیت API چیست؟ پیادهسازی امنیت رابط برنامه نویسی برنامه (API)، براساس نیازمندی و نوع API (Application programming interface) ، یکی از مسایل حائز اهمیت در حوزه امنیت است. این فرآیند شامل حسابرسی، نظارت، و آزمایش APIها است که به منظور مطابقت آنها با استانداردهای امنیتی و ایمنتر کردن آنها، انجام میشود. با توجه به میزان …
