امکانات انجمن
  • مهمانان محترم می توانند بدون عضویت در سایت در بخش پرسش و پاسخ به بحث و گفتگو پرداخته و در صورت وجود مشکل یا سوال در انجمنن مربوطه موضوع خود را مطرح کنند

moharram

iran rules jazbe modir
snapphost mahak

پست های پیشنهاد شده

telegram channel   jazbe modir

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری


  • مطالب مشابه

    • توسط  Rednofozi
      موسسه ها برای انجام تست نفوذ از استاندارد های زیر استفاده میکنند : 

       
      ISO/IEC 27001
      ISO/IEC 27002



       
      OSTTMM 
      OWASP
      LPT
       




       
      پروژه Open Web Application Security Project یا OWASP یک پروژه غیر دولتی مورد تایید در سر تا سر جهان هست که به منظور بالا بردن سطح امنیت در برنامه های نرم افزاری ایجاد شده است. ماموریت این پروژه این هست که مسائل امنیتی نرم افزاری را به طور روشن بیان کند و افراد و شرکت ها بنا به نیاز خودشون به این لیست ها مراجه می کنند و بطور کاملا رایگان از آن استفاده می کنند و با آخرین و بالا ترین مشکلات امنیتی آشنا می شوند .

      این پروژه یک چارچوب کاری برای انجام عملیات تست نفوذ ارائه میدهد و براساس ان در اخر عملیات تست نفوذ براساس رعایت یا عدم رعایت چارچوب های مورد تایید خود به کاربر اطلاعاتی در مورد سطح امنیت وبسایت و چگونگی بالابردن ان اطلاعاتی میدهد.
      ۱۰ مدل امنیتی OWASP

      Cross-Site Scripting 
      این آسیب پذیری زمانی رخ می دهد که نرم افزار کاربردی، داده های نا امن را بدون اعتبار سنجی برای کاوشگر وب ارسال نماید. هکر توسط این آسیب پذیری قادر به اجرای اسکریپت بر روی کاوشگر قربانی، دزدیدن session و یا تغییر مسیر قربانی به وب سایت های مخرب (malicious sites) خواهد بود

      Using Components with Known Vulnerability
      کامپوننت ها همانند کتابخانه ها، قالب های کاری و سایر ماژول های نرم افزار معمولا با دسترسی کامل اجرا می گردند. در صورتی که آسیب پذیری کامپوننتی افشا گردد، تخریب اطلاعات و دسترسی به سرور امکان پذیر خواهد بود

      Cross-Site Request Forgery
      این آسیب پذیری، کاوشگر قربانی وارد شده به نرم افزار را مجبور می کند که درخواست HTTP جعل شده را به همراه session's cookie قربانی و سایر اطلاعات مورد نیاز اعتبار سنجی شده را به برنامه کاربردی ارسال نماید

      Missing Function Level Access Control
      بسیاری از نرم افزارها قبل از اجرای فانکشن و نمایش خروجی در میانای کاربر (UI)، حق دسترسی را بررسی می نمایند

      Unvalidated Redirects and Forwards
      نرم افزارهای کاربردی دائما در حال تغییر مسیر کاربران به صفحات دیگر می باشند و از داده های نا امن برای تشخیص صفحات مقصد استفاده می کنند. بدون استفاده از اعتبارسنجی مناسب، هکر قادر به هدایت قربانی به وب سایت های مخرب و فیشینگ خواهد بود

      Sensitive Data Exposure
      بسیاری از نرم افزارهای کاربردی تحت وب بدرستی از اطلاعات محرمانه خود (همانند اطلاعات اعتبار سنجی کاربران و اطلاعات کارت بانکی) محافظت نمی کنند. هکر با دزدیدن این اطلاعات قادر به سوء استفاده از آنها و ایجاد خرابکاری خواهد بود

      Security Misconfiguration
      امنیت مناسب نیارمند تعریف و استقرار پیکربندی مناسب برای نرم افزار، قالب کاری، وب سرور، بانک اطلاعاتی و سیستم عامل می باشد. تنظیمات امن می بایستی تعریف، پیاده سازی و نگهداری شوند که البته تنظیمات پیش فرض بسیار نا امن می باشند. همچنین می بایستی همیشه نرم افزارها بروز نگهداشته شوند

      Insecure Direct Object References
      این اسیب پذیری زمانی رخ می دهد که برنامه نویس دسترسی ارجاع یک منبع به اشیاء داخلی برنامه را باز گذاشته باشد (همانند فایل، دایرکتوری و یا بانک اطلاعاتی). بدون کنترل دسترسی به این اشیاء هکر قادر به دستکاری منابع در جهت دسترسی به اطلاعات حیاتی خواهد بود

      Broken Authentication and Session Management
      فانکشنهای نرم افزارهای کاربردی مرتبط با اعطای مجوز دسترسی و مدیریت Session گاها به درستی پیاده سازی نشده و این امکان را به هکرها می دهد تا به اطلاعات حیاتی همانند رمز های عبور، کلید ها، Session Token در جهت سوء استفاده و جعل هویت دسترسی پیدا کنند

      Injection
      آسیب پذیری تزریق کد همانند تزریق SQL، OS و LDAP زمانی رخ می دهد که داده های نامعتبر به بک مترجم (Compiler or Interpreter) بجای دستور و یا query ارسال می گردند. هکر از طریق داده های نامعتبر قادر به فریب مترجم شده و امکان اجرای دستورات غیر قانونی و یا روئیت اطلاعات حیاتی بدون مجوز دسترسی برای او فراهم می شود

       
    • توسط  Rednofozi
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
    • توسط  Rednofozi
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
    • توسط  Rednofozi

      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
       
    • توسط  Rednofozi
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
  • کاربران آنلاین در این صفحه   0 کاربر

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.