EITC/IS/WAPT వెబ్ అప్లికేషన్స్ పెనెట్రేషన్ టెస్టింగ్ అనేది వెబ్ అప్లికేషన్ పెనెట్రేషన్ టెస్టింగ్ (వైట్ హ్యాకింగ్) యొక్క సైద్ధాంతిక మరియు ఆచరణాత్మక అంశాలపై యూరోపియన్ IT సర్టిఫికేషన్ ప్రోగ్రామ్, ఇందులో వెబ్ సైట్లు స్పైరింగ్, స్కానింగ్ మరియు అటాక్ టెక్నిక్ల కోసం వివిధ సాంకేతికతలతో సహా, ప్రత్యేక చొరబాటు పరీక్ష సాధనాలు మరియు సూట్లు ఉన్నాయి. .
EITC/IS/WAPT వెబ్ అప్లికేషన్స్ పెనెట్రేషన్ టెస్టింగ్ యొక్క పాఠ్యాంశాలు బర్ప్ సూట్, వెబ్ స్ప్రైడరింగ్ మరియు DVWA, బర్ప్ సూట్తో బ్రూట్ ఫోర్స్ టెస్టింగ్, WAFW00Fతో వెబ్ అప్లికేషన్ ఫైర్వాల్ (WAF) డిటెక్షన్, టార్గెట్ స్కోప్ మరియు స్పైరింగ్, దాచిన ఫైల్లను కనుగొనడం వంటి వాటిని కలిగి ఉంటుంది. ZAP, WordPress వల్నరబిలిటీ స్కానింగ్ మరియు వినియోగదారు పేరు గణన, లోడ్ బ్యాలెన్సర్ స్కాన్, క్రాస్-సైట్ స్క్రిప్టింగ్, XSS – ప్రతిబింబిస్తుంది, నిల్వ చేయబడుతుంది మరియు DOM, ప్రాక్సీ దాడులు, ZAPలో ప్రాక్సీని కాన్ఫిగర్ చేయడం, ఫైల్లు మరియు డైరెక్టరీల దాడులు, DirBusterతో ఫైల్ మరియు డైరెక్టరీ డిస్కవరీ, వెబ్ అటాక్స్ ప్రాక్టీస్ , OWASP జ్యూస్ షాప్, CSRF – క్రాస్ సైట్ అభ్యర్థన ఫోర్జరీ, కుకీ సేకరణ మరియు రివర్స్ ఇంజనీరింగ్, HTTP లక్షణాలు – కుకీ దొంగతనం, SQL ఇంజెక్షన్, DotDotPwn – డైరెక్టరీ ట్రావెర్సల్ ఫజింగ్, iframe ఇంజెక్షన్ మరియు HTML ఇంజెక్షన్, హార్ట్బ్లీడ్ కోడ్ ఎక్స్ప్లోయిట్, డిస్కవరీ, PHP కోడ్ దోపిడీ bWAPP – HTML ఇంజెక్షన్, రిఫ్లెక్ట్ చేసిన POST, Commixతో OS కమాండ్ ఇంజెక్షన్, సర్వర్ వైపు SSI ఇంజెక్షన్, డాకర్లో పెంటెస్టింగ్, OverTheWire Natas, LFI మరియు కమాండ్ ఇంజెక్షన్, పెంటెస్టింగ్ కోసం Google హ్యాకింగ్, పెనిట్రేషన్ టెస్టింగ్ కోసం Google Dorks, Apache2 ModSecurity, అలాగే Nginx ModSecurity, ఈ EITC సర్టిఫికేషన్కు సూచనగా సమగ్ర వీడియో సందేశాత్మక కంటెంట్ను ఈ క్రింది నిర్మాణంలో కలిగి ఉంటుంది.
వెబ్ అప్లికేషన్ సెక్యూరిటీ (తరచుగా Web AppSec అని పిలుస్తారు) అనేది వెబ్సైట్లు దాడి చేయబడినప్పుడు కూడా సాధారణంగా పనిచేసేలా డిజైన్ చేసే భావన. ప్రతికూల ఏజెంట్ల నుండి దాని ఆస్తులను రక్షించడానికి వెబ్ అప్లికేషన్లో భద్రతా చర్యల సమితిని ఏకీకృతం చేయడం అనే భావన. అన్ని సాఫ్ట్వేర్ల మాదిరిగానే వెబ్ అప్లికేషన్లు లోపాలను కలిగి ఉంటాయి. ఈ లోపాలలో కొన్ని వాస్తవ దుర్బలత్వాలను ఉపయోగించుకోవచ్చు, ఇవి వ్యాపారాలకు ప్రమాదాన్ని కలిగిస్తాయి. ఇటువంటి లోపాలు వెబ్ అప్లికేషన్ భద్రత ద్వారా రక్షించబడతాయి. ఇది సాఫ్ట్వేర్ డెవలప్మెంట్ లైఫ్ సైకిల్ (SDLC) అంతటా సురక్షితమైన అభివృద్ధి విధానాలను ఉపయోగించడం మరియు భద్రతా నియంత్రణలను ఉంచడం, డిజైన్ లోపాలు మరియు అమలు సమస్యలు పరిష్కరించబడతాయని నిర్ధారిస్తుంది. వైట్ హ్యాకింగ్ విధానం అని పిలవబడే వెబ్ అప్లికేషన్ దుర్బలత్వాలను వెలికితీసే మరియు దోపిడీ చేసే లక్ష్యంతో నిపుణులచే నిర్వహించబడే ఆన్లైన్ చొచ్చుకుపోయే పరీక్ష, తగిన రక్షణను ప్రారంభించడానికి అవసరమైన అభ్యాసం.
వెబ్ పెన్ టెస్ట్ అని కూడా పిలువబడే వెబ్ పెనెట్రేషన్ టెస్ట్, దోపిడీ చేయగల లోపాలను కనుగొనడానికి వెబ్ అప్లికేషన్పై సైబర్ దాడిని అనుకరిస్తుంది. వెబ్ అప్లికేషన్ సెక్యూరిటీ (WAF) సందర్భంలో వెబ్ అప్లికేషన్ ఫైర్వాల్కు అనుబంధంగా పెనెట్రేషన్ టెస్టింగ్ తరచుగా ఉపయోగించబడుతుంది. పెన్ టెస్టింగ్, సాధారణంగా, కోడ్ ఇంజెక్షన్ దాడులకు గురయ్యే అవకాశం ఉన్న అపరిశుభ్రమైన ఇన్పుట్ల వంటి దుర్బలత్వాలను కనుగొనడానికి ఎన్ని అప్లికేషన్ సిస్టమ్లను (ఉదా, APIలు, ఫ్రంటెండ్/బ్యాకెండ్ సర్వర్లు) చొచ్చుకుపోయే ప్రయత్నం చేస్తుంది.
ఆన్లైన్ చొచ్చుకుపోయే పరీక్ష యొక్క ఫలితాలు WAF భద్రతా విధానాలను కాన్ఫిగర్ చేయడానికి మరియు కనుగొనబడిన దుర్బలత్వాలను పరిష్కరించడానికి ఉపయోగించవచ్చు.
ప్రవేశ పరీక్ష ఐదు దశలను కలిగి ఉంటుంది.
పెన్ పరీక్ష విధానం ఐదు దశలుగా విభజించబడింది.
- ప్రణాళిక మరియు స్కౌటింగ్
పరిష్కరించాల్సిన సిస్టమ్లు మరియు ఉపయోగించాల్సిన పరీక్షా పద్ధతులతో సహా పరీక్ష యొక్క పరిధిని మరియు లక్ష్యాలను నిర్వచించడం మొదటి దశ.
లక్ష్యం ఎలా పని చేస్తుందో మరియు దాని సంభావ్య బలహీనతల గురించి మెరుగైన అవగాహన పొందడానికి, మేధస్సును సేకరించండి (ఉదా, నెట్వర్క్ మరియు డొమైన్ పేర్లు, మెయిల్ సర్వర్). - స్కానింగ్
వివిధ రకాల చొరబాటు ప్రయత్నాలకు టార్గెట్ అప్లికేషన్ ఎలా స్పందిస్తుందో గుర్తించడం తదుపరి దశ. ఇది సాధారణంగా క్రింది పద్ధతులను ఉపయోగించడం ద్వారా సాధించబడుతుంది:
స్టాటిక్ అనాలిసిస్ – అప్లికేషన్ యొక్క కోడ్ని పరిశీలించడం, అది అమలు చేయబడినప్పుడు అది ఎలా ప్రవర్తిస్తుందో అంచనా వేయడానికి. ఒకే పాస్లో, ఈ సాధనాలు మొత్తం కోడ్ను స్కాన్ చేయగలవు.
డైనమిక్ అనాలిసిస్ అనేది అప్లికేషన్ యొక్క కోడ్ని ఆపరేట్ చేస్తున్నప్పుడు తనిఖీ చేసే ప్రక్రియ. ఈ స్కానింగ్ పద్ధతి మరింత ఆచరణాత్మకమైనది ఎందుకంటే ఇది అప్లికేషన్ యొక్క పనితీరు యొక్క నిజ-సమయ వీక్షణను అందిస్తుంది. - యాక్సెస్ పొందడం
లక్ష్యం యొక్క బలహీనతలను కనుగొనడానికి, ఈ దశ క్రాస్-సైట్ స్క్రిప్టింగ్, SQL ఇంజెక్షన్ మరియు బ్యాక్డోర్లు వంటి వెబ్ అప్లికేషన్ దాడులను ఉపయోగిస్తుంది. ఈ దుర్బలత్వాలు కలిగించే నష్టాన్ని అర్థం చేసుకోవడానికి, టెస్టర్లు అధికారాలను పెంచడం, డేటాను దొంగిలించడం, ట్రాఫిక్ను అడ్డగించడం మరియు మొదలైన వాటి ద్వారా వాటిని దోపిడీ చేయడానికి ప్రయత్నిస్తారు. - యాక్సెస్ ఉంచడం
ఈ దశ యొక్క ఉద్దేశ్యం ఏమిటంటే, రాజీపడిన వ్యవస్థలో దీర్ఘకాలిక ఉనికిని ఏర్పరచుకోవడానికి దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చో లేదో అంచనా వేయడం, ఒక చెడ్డ నటుడు లోతైన యాక్సెస్ను పొందేలా చేయడం. కంపెనీ యొక్క అత్యంత సున్నితమైన సమాచారాన్ని దొంగిలించడానికి నెలల తరబడి సిస్టమ్లో ఉండే అధునాతన నిరంతర బెదిరింపులను అనుకరించడం లక్ష్యం. - విశ్లేషణ
చొచ్చుకుపోయే పరీక్ష ఫలితాలు అటువంటి సమాచారాన్ని కలిగి ఉన్న నివేదికలో ఉంచబడతాయి:
వివరంగా ఉపయోగించబడిన దుర్బలత్వాలు
పొందబడిన డేటా సున్నితమైనది
సిస్టమ్లో పెన్ టెస్టర్ ఎంత సమయం గమనించకుండా ఉండగలిగాడు.
భద్రతా నిపుణులు ఈ డేటాను దుర్బలత్వాలను సరిచేయడానికి మరియు తదుపరి దాడులను నిరోధించడానికి ఎంటర్ప్రైజ్ యొక్క WAF సెట్టింగ్లు మరియు ఇతర అప్లికేషన్ భద్రతా పరిష్కారాలను కాన్ఫిగర్ చేయడంలో సహాయపడతారు.
వ్యాప్తి పరీక్ష పద్ధతులు
- బాహ్య వ్యాప్తి పరీక్ష అనేది వెబ్ అప్లికేషన్, కంపెనీ వెబ్సైట్, అలాగే ఇమెయిల్ మరియు డొమైన్ నేమ్ సర్వర్లు (DNS) వంటి ఇంటర్నెట్లో కనిపించే సంస్థ యొక్క ఆస్తులపై దృష్టి పెడుతుంది. ఉపయోగకరమైన సమాచారాన్ని యాక్సెస్ చేయడం మరియు సేకరించడం లక్ష్యం.
- ఇంటర్నల్ టెస్టింగ్ అనేది టెస్టర్ ఒక కంపెనీ ఫైర్వాల్ వెనుక ఉన్న అప్లికేషన్కు యాక్సెస్ను కలిగి ఉంటుంది, ఇది ప్రతికూల అంతర్గత దాడిని అనుకరిస్తుంది. ఇది మోసపూరిత ఉద్యోగి అనుకరణ అవసరం లేదు. ఫిషింగ్ ప్రయత్నం ఫలితంగా ఆధారాలు పొందిన ఉద్యోగి ఒక సాధారణ ప్రారంభ స్థానం.
- బ్లైండ్ టెస్టింగ్ అంటే టెస్టర్కు పరీక్షిస్తున్న కంపెనీ పేరును అందించడం. ఇది నిజమైన అప్లికేషన్ దాడి నిజ సమయంలో ఎలా జరుగుతుందో చూడటానికి భద్రతా నిపుణులను అనుమతిస్తుంది.
- డబుల్ బ్లైండ్ టెస్టింగ్: డబుల్ బ్లైండ్ టెస్ట్లో, భద్రతా నిపుణులకు అనుకరణ దాడి గురించి ముందుగా తెలియదు. వాస్తవ ప్రపంచంలో వలె, ఒక ప్రయత్న ఉల్లంఘనకు ముందు వారి కోటలను పెంచుకోవడానికి వారికి సమయం ఉండదు.
- టార్గెటెడ్ టెస్టింగ్ – ఈ దృష్టాంతంలో, టెస్టర్ మరియు సెక్యూరిటీ సిబ్బంది పరస్పరం కదలికలను ట్రాక్ చేస్తారు మరియు సహకరించుకుంటారు. ఇది హ్యాకర్ కోణం నుండి భద్రతా బృందానికి నిజ-సమయ అభిప్రాయాన్ని అందించే అద్భుతమైన శిక్షణా వ్యాయామం.
వెబ్ అప్లికేషన్ ఫైర్వాల్స్ మరియు పెనెట్రేషన్ టెస్టింగ్
పెనెట్రేషన్ టెస్టింగ్ మరియు WAFలు రెండు వేర్వేరు కానీ పరిపూరకరమైన భద్రతా పద్ధతులు. టెస్టర్ అనేక రకాల పెన్ టెస్టింగ్లలో (బ్లైండ్ మరియు డబుల్ బ్లైండ్ టెస్ట్లను మినహాయించి) అప్లికేషన్ యొక్క బలహీనమైన ప్రాంతాలను కనుగొనడానికి మరియు ఉపయోగించుకోవడానికి లాగ్ల వంటి WAF డేటాను ప్రభావితం చేసే అవకాశం ఉంది.
ప్రతిగా, పెన్ టెస్టింగ్ డేటా WAF నిర్వాహకులకు సహాయపడుతుంది. పరీక్ష పూర్తయిన తర్వాత, పరీక్ష సమయంలో కనుగొనబడిన లోపాల నుండి రక్షించడానికి WAF కాన్ఫిగరేషన్లను సవరించవచ్చు.
చివరగా, పెన్ టెస్టింగ్ PCI DSS మరియు SOC 2 వంటి నిర్దిష్ట భద్రతా ఆడిటింగ్ పద్ధతుల సమ్మతి అవసరాలను సంతృప్తిపరుస్తుంది. PCI-DSS 6.6 వంటి నిర్దిష్ట అవసరాలు ధృవీకరించబడిన WAFని ఉపయోగించినట్లయితే మాత్రమే తీర్చబడతాయి. అయితే, పైన పేర్కొన్న ప్రయోజనాలు మరియు WAF సెట్టింగ్లను సవరించగల సామర్థ్యం కారణంగా, ఇది పెన్ టెస్టింగ్ను తక్కువ ఉపయోగకరంగా చేయదు.
వెబ్ సెక్యూరిటీ టెస్టింగ్ యొక్క ప్రాముఖ్యత ఏమిటి?
వెబ్ అప్లికేషన్లు మరియు వాటి సెటప్లోని భద్రతా లోపాలను గుర్తించడం వెబ్ భద్రతా పరీక్ష యొక్క లక్ష్యం. అప్లికేషన్ లేయర్ ప్రాథమిక లక్ష్యం (అనగా, HTTP ప్రోటోకాల్లో ఏది రన్ అవుతోంది). సమస్యలను ప్రేరేపించడానికి మరియు సిస్టమ్ ఊహించని మార్గాల్లో ప్రతిస్పందించడానికి వెబ్ అప్లికేషన్కు వివిధ రకాల ఇన్పుట్లను పంపడం దాని భద్రతను పరీక్షించడానికి ఒక సాధారణ విధానం. ఈ "ప్రతికూల పరీక్షలు" సిస్టమ్ అది సాధించడానికి ఉద్దేశించని ఏదైనా చేస్తుందో లేదో చూస్తుంది.
వెబ్ భద్రతా పరీక్ష కేవలం అప్లికేషన్ యొక్క భద్రతా లక్షణాలను (ప్రామాణీకరణ మరియు అధికారం వంటివి) ధృవీకరించడం కంటే ఎక్కువ అవసరమని గ్రహించడం కూడా చాలా ముఖ్యమైనది. ఇతర ఫీచర్లు సురక్షితంగా అమలులో ఉన్నాయని నిర్ధారించుకోవడం కూడా కీలకం (ఉదా, వ్యాపార లాజిక్ మరియు సరైన ఇన్పుట్ ధ్రువీకరణ మరియు అవుట్పుట్ ఎన్కోడింగ్ ఉపయోగించడం). వెబ్ అప్లికేషన్ యొక్క విధులు సురక్షితంగా ఉన్నాయని నిర్ధారించుకోవడం దీని ఉద్దేశ్యం.
అనేక రకాల భద్రతా అంచనాలు ఏమిటి?
- డైనమిక్ అప్లికేషన్ సెక్యూరిటీ కోసం పరీక్ష (DAST). ఈ స్వయంచాలక అప్లికేషన్ భద్రతా పరీక్ష తక్కువ-ప్రమాదకరం, అంతర్గత భద్రతా అవసరాలకు అనుగుణంగా ఉండే యాప్లకు బాగా సరిపోతుంది. సాధారణ దుర్బలత్వాల కోసం కొన్ని మాన్యువల్ ఆన్లైన్ భద్రతా పరీక్షతో DASTని కలపడం అనేది మీడియం-రిస్క్ యాప్లు మరియు చిన్న మార్పులకు గురయ్యే కీలకమైన అప్లికేషన్ల కోసం ఉత్తమ వ్యూహం.
- స్టాటిక్ అప్లికేషన్స్ (SAST) కోసం భద్రతా తనిఖీ. ఈ అప్లికేషన్ భద్రతా వ్యూహం ఆటోమేటెడ్ మరియు మాన్యువల్ టెస్టింగ్ పద్ధతులు రెండింటినీ కలిగి ఉంటుంది. ప్రత్యక్ష వాతావరణంలో యాప్లను అమలు చేయకుండానే బగ్లను గుర్తించేందుకు ఇది అనువైనది. సాఫ్ట్వేర్ భద్రతా లోపాలను క్రమపద్ధతిలో గుర్తించి సరిచేయడానికి సోర్స్ కోడ్ని స్కాన్ చేయడానికి ఇంజనీర్లను అనుమతిస్తుంది.
- ప్రవేశ పరీక్ష. ఈ మాన్యువల్ అప్లికేషన్ భద్రతా పరీక్ష అవసరమైన అప్లికేషన్లకు, ముఖ్యంగా గణనీయమైన మార్పులకు గురవుతున్న వాటికి అనువైనది. అధునాతన దాడి దృశ్యాలను కనుగొనడానికి, మూల్యాంకనం వ్యాపార లాజిక్ మరియు విరోధి-ఆధారిత పరీక్షను ఉపయోగిస్తుంది.
- రన్టైమ్లో అప్లికేషన్ స్వీయ-రక్షణ (RASP). ఈ పెరుగుతున్న అప్లికేషన్ సెక్యూరిటీ మెథడ్ అప్లికేషన్ను ఇన్స్ట్రుమెంట్ చేయడానికి వివిధ రకాల సాంకేతిక పద్ధతులను కలిగి ఉంటుంది, తద్వారా బెదిరింపులు వీక్షించబడతాయి మరియు అవి సంభవించినప్పుడు నిజ సమయంలో నిరోధించబడతాయి.
కంపెనీ ప్రమాదాన్ని తగ్గించడంలో అప్లికేషన్ సెక్యూరిటీ టెస్టింగ్ ఏ పాత్ర పోషిస్తుంది?
వెబ్ అప్లికేషన్లపై జరిగిన దాడులలో అత్యధిక భాగం:
- SQL ఇంజెక్షన్
- XSS (క్రాస్ సైట్ స్క్రిప్టింగ్)
- రిమోట్ కమాండ్ ఎగ్జిక్యూషన్
- పాత్ ట్రావర్సల్ అటాక్
- పరిమితం చేయబడిన కంటెంట్ యాక్సెస్
- రాజీపడిన వినియోగదారు ఖాతాలు
- హానికరమైన కోడ్ ఇన్స్టాలేషన్
- అమ్మకాల ఆదాయం కోల్పోయింది
- వినియోగదారుల విశ్వాసం సన్నగిల్లుతోంది
- బ్రాండ్ ఖ్యాతిని దెబ్బతీస్తుంది
- మరియు అనేక ఇతర దాడులు
నేటి ఇంటర్నెట్ వాతావరణంలో, వివిధ రకాల సవాళ్ల వల్ల వెబ్ అప్లికేషన్ హాని కలిగించవచ్చు. పైన ఉన్న గ్రాఫిక్ దాడి చేసేవారు చేసే అత్యంత సాధారణ దాడుల్లో కొన్నింటిని వర్ణిస్తుంది, వీటిలో ప్రతి ఒక్కటి వ్యక్తిగత అప్లికేషన్ లేదా మొత్తం వ్యాపారానికి గణనీయమైన నష్టాన్ని కలిగిస్తుంది. అప్లికేషన్కు హాని కలిగించే అనేక దాడులను తెలుసుకోవడం, అలాగే దాడి యొక్క సాధ్యమయ్యే ఫలితాలు, కంపెనీ హానిని ముందుగానే పరిష్కరించడానికి మరియు వాటిని సమర్థవంతంగా పరీక్షించడానికి అనుమతిస్తుంది.
దుర్బలత్వానికి మూలకారణాన్ని గుర్తించడం ద్వారా ఏవైనా సమస్యలను నివారించడానికి SDLC యొక్క ప్రారంభ దశల్లో తగ్గించే నియంత్రణలను ఏర్పాటు చేయవచ్చు. వెబ్ అప్లికేషన్ భద్రతా పరీక్ష సమయంలో, ఈ బెదిరింపులు ఎలా పని చేస్తాయనే దాని గురించి తెలిసిన ఆసక్తి ఉన్న ప్రదేశాలను లక్ష్యంగా చేసుకోవడానికి కూడా ఉపయోగించవచ్చు.
దాడి యొక్క ప్రభావాన్ని గుర్తించడం సంస్థ యొక్క ప్రమాదాన్ని నిర్వహించడానికి కూడా ముఖ్యమైనది, ఎందుకంటే విజయవంతమైన దాడి యొక్క ప్రభావాలు మొత్తం హాని యొక్క తీవ్రతను గుర్తించడానికి ఉపయోగించవచ్చు. భద్రతా పరీక్ష సమయంలో దుర్బలత్వాలు కనుగొనబడితే, వాటి తీవ్రతను నిర్ణయించడం వలన సంస్థ మరింత ప్రభావవంతంగా పరిష్కార ప్రయత్నాలకు ప్రాధాన్యత ఇవ్వడానికి అనుమతిస్తుంది. కంపెనీకి ప్రమాదాన్ని తగ్గించడానికి, క్లిష్టమైన తీవ్రత సమస్యలతో ప్రారంభించండి మరియు తక్కువ ప్రభావాన్ని చూపే విధంగా పని చేయండి.
సమస్యను గుర్తించే ముందు, కంపెనీ అప్లికేషన్ లైబ్రరీలో ప్రతి ప్రోగ్రామ్ యొక్క సంభావ్య ప్రభావాన్ని అంచనా వేయడం వలన మీరు అప్లికేషన్ సెక్యూరిటీ టెస్టింగ్కు ప్రాధాన్యత ఇవ్వడంలో సహాయపడుతుంది. Wenb భద్రతా పరీక్ష ముందుగా సంస్థ యొక్క క్లిష్టమైన అప్లికేషన్లను లక్ష్యంగా చేసుకోవడానికి షెడ్యూల్ చేయబడుతుంది, వ్యాపారానికి వ్యతిరేకంగా ప్రమాదాన్ని తగ్గించడానికి మరింత లక్ష్య పరీక్షలతో. హై-ప్రొఫైల్ అప్లికేషన్ల యొక్క స్థాపించబడిన జాబితాతో, వ్యాపారానికి వ్యతిరేకంగా ప్రమాదాన్ని తగ్గించడానికి మరింత లక్ష్య పరీక్షలతో ముందుగా సంస్థ యొక్క క్లిష్టమైన అప్లికేషన్లను లక్ష్యంగా చేసుకోవడానికి wenb భద్రతా పరీక్షను షెడ్యూల్ చేయవచ్చు.
వెబ్ అప్లికేషన్ భద్రతా పరీక్ష సమయంలో, ఏ ఫీచర్లను పరిశీలించాలి?
వెబ్ అప్లికేషన్ సెక్యూరిటీ టెస్టింగ్ సమయంలో, కింది సమగ్ర లక్షణాల జాబితాను పరిగణించండి. ప్రతిదాని యొక్క అసమర్థమైన అమలు బలహీనతలకు దారి తీస్తుంది, కంపెనీని ప్రమాదంలో పడేస్తుంది.
- అప్లికేషన్ మరియు సర్వర్ యొక్క కాన్ఫిగరేషన్. ఎన్క్రిప్షన్/క్రిప్టోగ్రాఫిక్ సెటప్లు, వెబ్ సర్వర్ కాన్ఫిగరేషన్లు మొదలైనవన్నీ సంభావ్య లోపాలకు ఉదాహరణలు.
- ఇన్పుట్ మరియు ఎర్రర్ హ్యాండ్లింగ్ యొక్క ధృవీకరణ పేలవమైన ఇన్పుట్ మరియు అవుట్పుట్ ప్రాసెసింగ్ SQL ఇంజెక్షన్, క్రాస్-సైట్ స్క్రిప్టింగ్ (XSS) మరియు ఇతర సాధారణ ఇంజెక్షన్ సమస్యలకు దారితీస్తుంది.
- సెషన్ల ప్రమాణీకరణ మరియు నిర్వహణ. వినియోగదారు వంచనకు దారితీసే దుర్బలత్వాలు. క్రెడెన్షియల్ బలం మరియు రక్షణ కూడా పరిగణనలోకి తీసుకోవాలి.
- ఆథరైజేషన్. నిలువు మరియు క్షితిజ సమాంతర ప్రత్యేక అధికారాల పెరుగుదల నుండి రక్షించడానికి అప్లికేషన్ యొక్క సామర్థ్యం పరీక్షించబడుతోంది.
- వ్యాపారంలో లాజిక్. వ్యాపార కార్యాచరణను అందించే చాలా ప్రోగ్రామ్లు వీటిపై ఆధారపడతాయి.
- క్లయింట్ ముగింపులో లాజిక్. ఆధునిక, జావాస్క్రిప్ట్-భారీ వెబ్పేజీలు, అలాగే ఇతర రకాల క్లయింట్-సైడ్ టెక్నాలజీలను (ఉదా, సిల్వర్లైట్, ఫ్లాష్, జావా ఆప్లెట్లు) ఉపయోగిస్తున్న వెబ్పేజీలతో ఈ రకమైన ఫీచర్ సర్వసాధారణంగా మారింది.
సర్టిఫికేషన్ పాఠ్యాంశాలతో మిమ్మల్ని మీరు వివరంగా తెలుసుకునేందుకు మీరు దిగువ పట్టికను విస్తరించవచ్చు మరియు విశ్లేషించవచ్చు.
EITC/IS/WAPT వెబ్ అప్లికేషన్స్ పెనెట్రేషన్ టెస్టింగ్ సర్టిఫికేషన్ కరికులమ్ వీడియో రూపంలో ఓపెన్-యాక్సెస్ డిడాక్టిక్ మెటీరియల్లను సూచిస్తుంది. అభ్యాస ప్రక్రియ దశల వారీగా విభజించబడింది (కార్యక్రమాలు -> పాఠాలు -> అంశాలు) సంబంధిత పాఠ్యాంశాలను కవర్ చేస్తుంది. డొమైన్ నిపుణులతో అపరిమిత కన్సల్టెన్సీ కూడా అందించబడుతుంది.
ధృవీకరణ ప్రక్రియపై వివరాల కోసం తనిఖీ చేయండి ఇది ఎలా పని చేస్తుంది.
EITC/IS/WAPT వెబ్ అప్లికేషన్స్ పెనెట్రేషన్ టెస్టింగ్ ప్రోగ్రామ్ కోసం పూర్తి ఆఫ్లైన్ స్వీయ-అభ్యాస సన్నాహక సామగ్రిని PDF ఫైల్లో డౌన్లోడ్ చేయండి
EITC/IS/WAPT ప్రిపరేటరీ మెటీరియల్స్ - ప్రామాణిక వెర్షన్
EITC/IS/WAPT ప్రిపరేటరీ మెటీరియల్స్ - సమీక్ష ప్రశ్నలతో పొడిగించిన వెర్షన్