EITC/IS/WAPT Web Applications Penetration Testing သည် သီအိုရီနှင့် လက်တွေ့ကျသော ဝဘ်အက်ပလီကေးရှင်း ထိုးဖောက်ခြင်း စမ်းသပ်ခြင်း (အဖြူရောင်ဟက်ကာ) ဆိုင်ရာ ဥရောပ IT လက်မှတ် ပရိုဂရမ်ဖြစ်ပြီး အထူးပြု ထိုးဖောက်မှု စမ်းသပ်ခြင်း ကိရိယာများနှင့် အစုံလိုက်များ အပါအဝင် ဝဘ်ဆိုက်များ ပြန့်ကျဲနေသော၊ စကင်န်ဖတ်ခြင်းနှင့် တိုက်ခိုက်ခြင်း နည်းပညာများအတွက် အမျိုးမျိုးသော နည်းပညာများ အပါအဝင်၊ .
EITC/IS/WAPT Web Applications Penetration Testing ၏ သင်ရိုးညွှန်းတမ်းတွင် Burp Suite၊ web spridering နှင့် DVWA၊ Burp Suite ဖြင့် brute force testing၊ WAFW00F ဖြင့် web application firewall (WAF) detection၊ target scope နှင့် spidering နှင့် လျှို့ဝှက်ဖိုင်များကို ရှာဖွေခြင်း၊ ZAP၊ WordPress အားနည်းချက်ကို စကင်န်ဖတ်ခြင်းနှင့် သုံးစွဲသူအမည်စာရင်းကောက်ယူခြင်း၊ load balancer scan၊ cross-site scripting၊ XSS – ရောင်ပြန်ဟပ်သော၊ သိမ်းဆည်းထားသည့် နှင့် DOM၊ proxy တိုက်ခိုက်မှု၊ ZAP ရှိ proxy ကို ပုံစံသတ်မှတ်ခြင်း၊ ဖိုင်များနှင့် လမ်းညွှန်တိုက်ခိုက်မှုများ၊ DirBuster ဖြင့် ဖိုင်နှင့် လမ်းညွှန်ရှာဖွေမှု၊ ဝဘ်တိုက်ခိုက်မှုများ လက်တွေ့လုပ်ဆောင်ခြင်း ၊ OWASP ဖျော်ရည်ဆိုင်၊ CSRF – ဆိုက်စုံတောင်းဆိုမှု အတုအပ၊ ကွတ်ကီး စုဆောင်းခြင်းနှင့် ပြောင်းပြန် အင်ဂျင်နီယာ၊ HTTP ရည်ညွှန်းချက်များ – ကွတ်ကီးခိုးယူမှု၊ SQL ထိုးနှံမှု၊ DotDotPwn – လမ်းကြောင်းဖြတ်ကျော်မှု မပီမသဖြစ်စေခြင်း၊ iframe ထိုးခြင်းနှင့် HTML ထိုးခြင်း၊ Heartbleed exploit - ရှာဖွေတွေ့ရှိခြင်းနှင့် အသုံးချခြင်း၊ PHP ကုဒ်ထိုးခြင်း၊ bWAPP – HTML ထိုးခြင်း၊ ရောင်ပြန်ဟပ်ထားသော POST၊ Commix ဖြင့် OS ကွန်မန်းထိုးခြင်း၊ ဆာဗာဘက်တွင် SSI ထိုးခြင်း၊ Docker တွင် pentesting၊ OverTheWire Natas၊ LFI နှင့် အမိန့်ပေးဆေးထိုးခြင်း၊ pentesting အတွက် Google ဟက်ကာ၊ ထိုးဖောက်စမ်းသပ်ခြင်းအတွက် Google Dorks၊ Apache2 ModSecurity နှင့် Nginx ModSecurity တို့သည် အောက်ပါဖွဲ့စည်းပုံအတွင်းတွင်၊ ဤ EITC အသိအမှတ်ပြုလက်မှတ်အတွက် ကိုးကားချက်အဖြစ် ပြည့်စုံသော ဗီဒီယို၏ သင်ကြားချက်ဆိုင်ရာ အကြောင်းအရာများကို လွှမ်းခြုံထားသည်။
ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေး (Web AppSec ဟု မကြာခဏ ရည်ညွှန်းသည်) သည် ဝဘ်ဆိုဒ်များကို တိုက်ခိုက်ခံရသည့်အခါတွင်ပင် ပုံမှန်အတိုင်း လုပ်ဆောင်နိုင်ရန် ဒီဇိုင်းထုတ်ခြင်း သဘောတရားဖြစ်သည်။ အယူအဆသည် ၎င်း၏ပိုင်ဆိုင်မှုများကို ရန်လိုသောအေးဂျင့်များထံမှ ကာကွယ်ရန် လုံခြုံရေးအစီအမံများကို ဝဘ်အပလီကေးရှင်းတစ်ခုတွင် ပေါင်းစပ်ထားသည်။ ဆော့ဖ်ဝဲလ်အားလုံးကဲ့သို့ ဝဘ်အက်ပလီကေးရှင်းများသည် ချို့ယွင်းချက်များ ဖြစ်နိုင်သည်။ ဤချို့ယွင်းချက်အချို့သည် စီးပွားရေးလုပ်ငန်းများအတွက် အန္တရာယ်ဖြစ်စေနိုင်သော အမြတ်ထုတ်နိုင်သည့် အမှန်တကယ်အားနည်းချက်များဖြစ်သည်။ ထိုကဲ့သို့သော ချို့ယွင်းချက်များကို ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးမှတစ်ဆင့် ကာကွယ်ထားသည်။ ၎င်းတွင် လုံခြုံသော ဖွံ့ဖြိုးတိုးတက်ရေးနည်းလမ်းများကို အသုံးချပြီး ဆော့ဖ်ဝဲဖွံ့ဖြိုးတိုးတက်မှုဘဝစက်ဝန်း (SDLC) တစ်လျှောက် လုံခြုံရေးထိန်းချုပ်မှုများကို ထည့်သွင်းထားရန်၊ ဒီဇိုင်းချို့ယွင်းချက်များနှင့် အကောင်အထည်ဖော်မှုဆိုင်ရာ ပြဿနာများကို ကိုင်တွယ်ဖြေရှင်းကြောင်း သေချာစေသည်။ ဝဘ်အက်ပလီကေးရှင်း အားနည်းချက်များကို ဖော်ထုတ်အသုံးချရန် ရည်ရွယ်သော ကျွမ်းကျင်သူများက အွန်လိုင်း ထိုးဖောက်စမ်းသပ်ခြင်း သည် အဖြူရောင် ဟက်ကာချဉ်းကပ်နည်းကို အသုံးပြု၍ သင့်လျော်သော ကာကွယ်ရေးကို လုပ်ဆောင်နိုင်ရန် မရှိမဖြစ် အလေ့အကျင့်တစ်ခု ဖြစ်သည်။
ဝဘ်ဘောစမ်းသပ်မှုဟုလည်းသိကြသော ဝဘ်ထိုးဖောက်စမ်းသပ်မှုသည် အမြတ်ထုတ်နိုင်သော ချို့ယွင်းချက်များကို ရှာဖွေရန်အတွက် ဝဘ်အက်ပလီကေးရှင်းတစ်ခုပေါ်တွင် ဆိုက်ဘာတိုက်ခိုက်ခြင်းကို အတုယူစေသည်။ ထိုးဖောက်စမ်းသပ်ခြင်းကို ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေး (WAF) ၏အခြေအနေတွင် ဝဘ်အက်ပလီကေးရှင်း firewall အား ဖြည့်စွက်ရန်အတွက် မကြာခဏအသုံးပြုသည်။ Pen Testing သည် ယေဘုယျအားဖြင့် ကုဒ်ထိုးခြင်းတိုက်ခိုက်မှုများကို ခံနိုင်ရည်ရှိသော အားနည်းချက်များကို ရှာဖွေရန်အတွက် အက်ပလီကေးရှင်းစနစ်များ (ဥပမာ APIs၊ frontend/backend ဆာဗာများ) ကို ထိုးဖောက်ဝင်ရောက်ရန် ကြိုးပမ်းခြင်းတွင် ပါဝင်ပါသည်။
အွန်လိုင်းထိုးဖောက်ခြင်းစမ်းသပ်မှု၏ တွေ့ရှိချက်များကို WAF လုံခြုံရေးမူဝါဒများကို သတ်မှတ်ရန်နှင့် ရှာဖွေတွေ့ရှိထားသည့် အားနည်းချက်များကို ဖြေရှင်းရန်အတွက် အသုံးပြုနိုင်သည်။
ထိုးဖောက်စမ်းသပ်ခြင်းတွင် အဆင့်ငါးဆင့်ရှိသည်။
ဘောပင်စမ်းသပ်ခြင်းလုပ်ငန်းစဉ်ကို အဆင့်ငါးဆင့် ခွဲထားသည်။
- စီမံကိန်းနှင့် ကင်းထောက်
ကိုင်တွယ်ဖြေရှင်းရမည့် စနစ်များအပါအဝင် စမ်းသပ်မှုတစ်ခု၏ နယ်ပယ်နှင့် ပန်းတိုင်များကို သတ်မှတ်ခြင်းနှင့် အကျိုးရှိရှိအသုံးချရမည့် စမ်းသပ်နည်းစနစ်များ အပါအဝင် ပထမအဆင့်ဖြစ်သည်။
ပစ်မှတ်တစ်ခု မည်သို့အလုပ်လုပ်ပုံနှင့် ၎င်း၏ ဖြစ်နိုင်ခြေရှိသော အားနည်းချက်များကို ပိုမိုနားလည်သဘောပေါက်ရန်၊ ထောက်လှမ်းရေး (ဥပမာ၊ ကွန်ရက်နှင့် ဒိုမိန်းအမည်များ၊ မေးလ်ဆာဗာ) ကို စုဆောင်းပါ။ - scanning
နောက်တစ်ဆင့်မှာ ပစ်မှတ်အပလီကေးရှင်းသည် မတူကွဲပြားသော ကျူးကျော်ဝင်ရောက်ရန် ကြိုးပမ်းမှုများကို မည်သို့တုံ့ပြန်မည်ကို အဖြေရှာရန်ဖြစ်သည်။ များသောအားဖြင့် အောက်ပါနည်းလမ်းများကို အသုံးပြုခြင်းဖြင့် ပြီးမြောက်သည် ။
Static ခွဲခြမ်းစိတ်ဖြာခြင်း - ၎င်းကိုလည်ပတ်သောအခါမည်သို့ပြုမူမည်ကိုခန့်မှန်းရန်အပလီကေးရှင်း၏ကုဒ်ကိုစစ်ဆေးခြင်း။ လက်မှတ်တစ်ခုတည်းတွင်၊ ဤကိရိယာများသည် ကုဒ်တစ်ခုလုံးကို စကင်န်ဖတ်နိုင်သည်။
Dynamic ပိုင်းခြားစိတ်ဖြာချက်သည် အက်ပလီကေးရှင်းတစ်ခု၏ကုဒ်ကို လည်ပတ်နေချိန်တွင် စစ်ဆေးခြင်းလုပ်ငန်းစဉ်ဖြစ်သည်။ ဤစကင်န်ဖတ်နည်းသည် အပလီကေးရှင်းတစ်ခု၏စွမ်းဆောင်ရည်ကို အချိန်နှင့်တစ်ပြေးညီကြည့်ရှုပေးသောကြောင့် ၎င်းသည် ပိုမိုလက်တွေ့ကျသည်။ - ဝင်ရောက်ရယူခြင်း။
ပစ်မှတ်၏ အားနည်းချက်များကို ရှာဖွေရန်၊ ဤအဆင့်တွင် ဝဘ်အက်ပလီကေးရှင်းကို တိုက်ခိုက်ခြင်း၊ SQL ထိုးခြင်း၊ နှင့် backdoors များကဲ့သို့သော ဝဘ်အက်ပလီကေးရှင်းများကို အသုံးပြုသည်။ အဆိုပါ အားနည်းချက်များ ထိခိုက်စေနိုင်သည့် ပျက်စီးဆုံးရှုံးမှုများကို နားလည်ရန် စမ်းသပ်သူများသည် အထူးအခွင့်အရေးများ တိုးမြင့်လာခြင်း၊ ဒေတာခိုးယူခြင်း၊ အသွားအလာ ကြားဖြတ်ခြင်း စသည်ဖြင့် ၎င်းတို့အား အသုံးချရန် ကြိုးစားကြသည်။ - လက်လှမ်းမီသည်။
ဤဇာတ်ခုံ၏ရည်ရွယ်ချက်မှာ အားနည်းချက်ကို အသုံးချပြီး အပေးအယူလုပ်သည့်စနစ်တွင် ရေရှည်တည်ရှိနေမှုကို ထူထောင်ရန်ဖြစ်ပြီး မကောင်းတဲ့သရုပ်ဆောင်တစ်ဦးကို နက်နက်နဲနဲဝင်ရောက်ခွင့်ရရှိစေရန် အကဲဖြတ်ရန်ဖြစ်သည်။ ရည်မှန်းချက်မှာ ကုမ္ပဏီတစ်ခု၏ အထိခိုက်မခံနိုင်ဆုံးသော အချက်အလက်များကို ခိုးယူရန်အတွက် လအတော်ကြာအောင် စနစ်တစ်ခုတွင် ရှိနေနိုင်သည့် အဆင့်မြင့် ဆက်တိုက်ခြိမ်းခြောက်မှုများကို အတုခိုးရန်ဖြစ်သည်။ - ခွဲခြမ်းစိတ်ဖြာခြင်း
ထို့နောက် ထိုးဖောက်စမ်းသပ်မှုရလဒ်များကို အစီရင်ခံစာတစ်ခုတွင် ထည့်သွင်းထားပါသည်၊
အသေးစိတ် အသုံးချခံခဲ့ရသော အားနည်းချက်များ
ထိလွယ်ရှလွယ်ရရှိခဲ့သောဒေတာ
ဘောပင်စမ်းသပ်သူသည် စနစ်တွင်သတိမထားမိဘဲနေနိုင်သည့်အချိန်ပမာဏ။
လုံခြုံရေးကျွမ်းကျင်သူများသည် လုပ်ငန်းတစ်ခု၏ WAF ဆက်တင်များနှင့် အခြားအပလီကေးရှင်းလုံခြုံရေးဖြေရှင်းချက်များကို စီစဉ်သတ်မှတ်ရာတွင် အထောက်အကူဖြစ်စေရန် ဤဒေတာကို အသုံးပြုပါသည်။
ထိုးဖောက်စမ်းသပ်နည်းများ
- ပြင်ပထိုးဖောက်ခြင်းစမ်းသပ်ခြင်းသည် ဝဘ်အက်ပလီကေးရှင်းကိုယ်တိုင်၊ ကုမ္ပဏီဝဘ်ဆိုက်အပြင် အီးမေးလ်နှင့် ဒိုမိန်းအမည်ဆာဗာများ (DNS) ကဲ့သို့သော အင်တာနက်ပေါ်တွင် မြင်နိုင်သော ကုမ္ပဏီ၏ပိုင်ဆိုင်မှုများအပေါ် အလေးပေးသည်။ ရည်ရွယ်ချက်မှာ အသုံးဝင်သောအချက်အလက်များကို ရယူသုံးစွဲနိုင်စေရန်နှင့် ထုတ်ယူရန်ဖြစ်သည်။
- အတွင်းပိုင်းစမ်းသပ်ခြင်းတွင် ကုမ္ပဏီ၏ firewall နောက်ကွယ်ရှိ အက်ပလီကေးရှင်းတစ်ခုအား ရန်လိုသောအတွင်းခံတိုက်ခိုက်မှုကို အတုယူရန် စမ်းသပ်သူအား အသုံးပြုခွင့်ရှိသည်။ ဤသည်မှာ မိုက်မဲသော ဝန်ထမ်းအသွင်တူရန် မလိုအပ်ပါ။ ဖြားယောင်းသွေးဆောင်ရန် ကြိုးပမ်းမှုတစ်ခုကြောင့် အထောက်အထားများရရှိခဲ့သော ဝန်ထမ်းတစ်ဦးသည် ဘုံအစမှတ်တစ်ခုဖြစ်သည်။
- Blind Testing ဆိုသည်မှာ စမ်းသပ်သူအား စမ်းသပ်နေသည့် ကုမ္ပဏီ၏ အမည်ကို ရိုးရိုးရှင်းရှင်း ပေးသည့်အခါ ဖြစ်သည်။ ၎င်းသည် လုံခြုံရေးကျွမ်းကျင်သူများကို အမှန်တကယ် အပလီကေးရှင်းတိုက်ခိုက်ရေးတွင် အချိန်နှင့်တပြေးညီ မည်သို့ထွက်ပေါ်နိုင်သည်ကို မြင်နိုင်စေပါသည်။
- နှစ်ထပ်ကန်းစမ်းသပ်ခြင်း- နှစ်ထပ်ကန်းစမ်းသပ်မှုတွင်၊ လုံခြုံရေးကျွမ်းကျင်သူများသည် အသွင်တူတိုက်ခိုက်မှုကို ကြိုတင်သတိမပြုမိပါ။ လက်တွေ့လောကတွင်ကဲ့သို့ပင် ကြိုးပမ်းဖောက်ဖျက်ခြင်းမပြုမီ ၎င်းတို့၏ခံတပ်များကို ကမ်းကပ်ရန် အချိန်ရှိမည်မဟုတ်ပါ။
- ပစ်မှတ်ထားစမ်းသပ်ခြင်း – ဤအခြေအနေတွင်၊ စမ်းသပ်သူနှင့် လုံခြုံရေးဝန်ထမ်းများသည် တစ်ဦးနှင့်တစ်ဦး၏လှုပ်ရှားမှုများကို ခြေရာခံ၍ ပူးပေါင်းလုပ်ဆောင်သည်။ ၎င်းသည် လုံခြုံရေးအဖွဲ့အား ဟက်ကာတစ်ဦးအမြင်မှ အချိန်နှင့်တစ်ပြေးညီ တုံ့ပြန်ချက်ပေးသည့် အကောင်းဆုံးလေ့ကျင့်ရေးလေ့ကျင့်ခန်းတစ်ခုဖြစ်သည်။
ဝဘ်အက်ပလီကေးရှင်း Firewall များနှင့် ထိုးဖောက်စမ်းသပ်ခြင်း။
ထိုးဖောက်စမ်းသပ်ခြင်းနှင့် WAF များသည် သီးခြားဖြစ်သော်လည်း ဖြည့်စွက်လုံခြုံရေးနည်းပညာနှစ်ခုဖြစ်သည်။ စမ်းသပ်သူသည် မှတ်တမ်းများကဲ့သို့သော WAF ဒေတာကို ကလောင်စမ်းသပ်မှုအမျိုးအစားများစွာတွင် အပလီကေးရှင်း၏အားနည်းသောနေရာများကို ရှာဖွေပြီး အသုံးချရန် (မျက်မမြင်နှင့် မျက်မမြင်နှစ်ထပ်ကန်းစမ်းသပ်မှုများမှလွဲ၍)။
တစ်ဖန်၊ ဘောပင်စမ်းသပ်ခြင်းဒေတာသည် WAF စီမံခန့်ခွဲသူများကို ကူညီနိုင်သည်။ စမ်းသပ်မှုတစ်ခုပြီးမြောက်ပြီးနောက်၊ စမ်းသပ်မှုအတွင်း တွေ့ရှိရသည့် ချို့ယွင်းချက်များကို ကာကွယ်ရန် WAF ဖွဲ့စည်းမှုပုံစံများကို ပြင်ဆင်နိုင်သည်။
နောက်ဆုံးတွင်၊ ဘောပင်စမ်းသပ်ခြင်းသည် PCI DSS နှင့် SOC 2 ကဲ့သို့သော လုံခြုံရေးစစ်ဆေးမှုနည်းလမ်းများ၏ လိုက်နာမှုလိုအပ်ချက်အချို့ကို ဖြည့်ဆည်းပေးပါသည်။ အသိအမှတ်ပြု WAF ကိုအသုံးပြုပါက အချို့သောလိုအပ်ချက်များဖြစ်သည့် PCI-DSS 6.6 ကို ဖြည့်ဆည်းပေးနိုင်ပါသည်။ သို့သော်၊ အထက်ဖော်ပြပါ အကျိုးကျေးဇူးများနှင့် WAF ဆက်တင်များကို မွမ်းမံပြင်ဆင်ရန် အလားအလာများကြောင့်၊ ၎င်းသည် ဘောပင်စမ်းသပ်ခြင်းအတွက် အသုံးမဝင်တော့ပါ။
ဝဘ်လုံခြုံရေးစမ်းသပ်ခြင်း၏ အဓိပ္ပါယ်မှာ အဘယ်နည်း။
ဝဘ်လုံခြုံရေးစမ်းသပ်ခြင်း၏ ရည်ရွယ်ချက်မှာ ဝဘ်အက်ပ်လီကေးရှင်းများတွင် လုံခြုံရေးချို့ယွင်းချက်များနှင့် ၎င်းတို့၏ စနစ်ထည့်သွင်းမှုကို ဖော်ထုတ်ရန်ဖြစ်သည်။ အပလီကေးရှင်းအလွှာသည် အဓိကပစ်မှတ်ဖြစ်သည် (ဆိုလိုသည်မှာ HTTP ပရိုတိုကောတွင် လုပ်ဆောင်နေသည့်အရာ)။ ပြဿနာများ ဖြစ်ပေါ်စေရန်နှင့် မမျှော်လင့်ထားသော နည်းလမ်းများဖြင့် စနစ်အား တုံ့ပြန်ရန် ဝဘ်အက်ပလီကေးရှင်းသို့ မတူညီသော ထည့်သွင်းမှုပုံစံများကို ပေးပို့ခြင်းသည် ၎င်း၏လုံခြုံရေးကို စမ်းသပ်ရန် ဘုံနည်းလမ်းတစ်ခုဖြစ်သည်။ ဤ "အနုတ်လက္ခဏာ စမ်းသပ်မှုများ" သည် စနစ်သည် ၎င်းကို ပြီးမြောက်ရန် မရည်ရွယ်ဘဲ မည်သည့်အရာကိုမဆို လုပ်ဆောင်နေခြင်းရှိမရှိ ကြည့်ရှုရန် ကြည့်ရှုသည်။
ဝဘ်လုံခြုံရေးစမ်းသပ်ခြင်းတွင် အပလီကေးရှင်း၏လုံခြုံရေးအင်္ဂါရပ်များကို စစ်ဆေးခြင်းထက် ပိုမိုပါဝင်ကြောင်း သိရှိရန်လည်း အရေးကြီးပါသည်။ အခြားအင်္ဂါရပ်များကို ဘေးကင်းစွာ အသုံးချကြောင်း သေချာစေရန်လည်း အရေးကြီးသည် (ဥပမာ၊ လုပ်ငန်းဆိုင်ရာ ယုတ္တိဗေဒနှင့် မှန်ကန်သော ထည့်သွင်းမှု အတည်ပြုခြင်းနှင့် အထွက်ကုဒ်နံပါတ်ကို အသုံးပြုခြင်း)။ ရည်ရွယ်ချက်မှာ ဝဘ်အပလီကေးရှင်း၏ လုပ်ဆောင်ချက်များကို ဘေးကင်းကြောင်း သေချာစေရန်ဖြစ်သည်။
လုံခြုံရေးအကဲဖြတ်မှု အမျိုးအစားများစွာမှာ အဘယ်နည်း။
- Dynamic Application Security (DAST) အတွက် စမ်းသပ်ခြင်း။ ဤအလိုအလျောက်အပလီကေးရှင်းလုံခြုံရေးစမ်းသပ်မှုသည် စည်းမျဉ်းလုံခြုံရေးလိုအပ်ချက်များနှင့်ကိုက်ညီရမည့် အန္တရာယ်နည်းပါးသော၊ အတွင်းပိုင်းမျက်နှာစာအက်ပ်များအတွက် အကောင်းဆုံးဖြစ်သည်။ DAST ကို ဘုံအားနည်းချက်များအတွက် လက်စွဲအွန်လိုင်းလုံခြုံရေးစစ်ဆေးမှုအချို့နှင့် ပေါင်းစပ်ခြင်းသည် အလယ်အလတ်အန္တရာယ်ရှိသောအက်ပ်များနှင့် အသေးစားပြောင်းလဲမှုများလုပ်ဆောင်နေသည့် အရေးကြီးသောအက်ပ်များအတွက် အကောင်းဆုံးဗျူဟာဖြစ်သည်။
- Static Applications (SAST) အတွက် လုံခြုံရေးစစ်ဆေးခြင်း။ ဤအပလီကေးရှင်းလုံခြုံရေးဗျူဟာတွင် အလိုအလျောက်နှင့် လက်ဖြင့်စမ်းသပ်ခြင်းနည်းလမ်းများ နှစ်မျိုးလုံးပါဝင်ပါသည်။ တိုက်ရိုက်ပတ်ဝန်းကျင်တွင်အက်ပ်များကိုဖွင့်စရာမလိုဘဲ bug များကိုရှာဖွေခြင်းအတွက်အကောင်းဆုံးဖြစ်သည်။ ၎င်းသည် အင်ဂျင်နီယာများအား ဆော့ဖ်ဝဲလုံခြုံရေးဆိုင်ရာ ချို့ယွင်းချက်များကို စနစ်တကျရှာဖွေပြီး ပြုပြင်ရန် အရင်းအမြစ်ကုဒ်ကို စကင်န်ဖတ်ရန်လည်း ခွင့်ပြုထားသည်။
- Penetration စာမေးပွဲ။ ဤလက်စွဲအပလီကေးရှင်းလုံခြုံရေးစမ်းသပ်မှုသည် မရှိမဖြစ်လိုအပ်သော အပလီကေးရှင်းများ အထူးသဖြင့် သိသာထင်ရှားသောပြောင်းလဲမှုများကို ကြုံတွေ့နေရသူများအတွက် စံပြဖြစ်သည်။ အဆင့်မြင့်တိုက်ခိုက်မှုအခြေအနေများကိုရှာဖွေရန်၊ အကဲဖြတ်မှုသည် စီးပွားရေးယုတ္တိဗေဒနှင့် ရန်ဘက်အခြေခံစမ်းသပ်မှုကို အသုံးပြုသည်။
- Runtime (RASP) တွင် အပလီကေးရှင်း Self-Protection ဤကြီးထွားလာနေသော အပလီကေးရှင်းလုံခြုံရေးနည်းလမ်းသည် ခြိမ်းခြောက်မှုများကို စောင့်ကြည့်နိုင်ပြီး ၎င်းတို့ကို အချိန်နှင့်တပြေးညီ တားဆီးနိုင်စေရန်အတွက် အက်ပလီကေးရှင်းကို ကိရိယာတန်ဆာပလာအတွက် နည်းပညာမျိုးစုံကို ပေါင်းစပ်ထည့်သွင်းထားသည်။
ကုမ္ပဏီ၏အန္တရာယ်ကို လျှော့ချရာတွင် အပလီကေးရှင်းလုံခြုံရေးစစ်ဆေးမှုသည် မည်သည့်အခန်းကဏ္ဍမှ ပါဝင်သနည်း။
ဝဘ်အက်ပလီကေးရှင်းများအပေါ် တိုက်ခိုက်မှုအများစုတွင်-
- SQL Injection ပါ
- XSS (Cross Site Scripting)
- အဝေးထိန်းကွပ်ကဲမှု အကောင်အထည်ဖော်မှု
- လမ်းကြောင်းဖြတ်ကျော်တိုက်ခိုက်မှု
- အကြောင်းအရာဝင်ရောက်ခွင့်ကို ကန့်သတ်ထားသည်။
- အပေးအယူခံရသော သုံးစွဲသူအကောင့်များ
- အန္တရာယ်ရှိသောကုဒ် ထည့်သွင်းခြင်း။
- အရောင်းအ၀ယ် ဆုံးရှုံးသွားတယ်။
- ဖောက်သည်များ၏ယုံကြည်မှုပျက်ပြား
- အမှတ်တံဆိပ် ဂုဏ်သိက္ခာကို ထိခိုက်စေပါတယ်။
- တခြား တိုက်ခိုက်မှုတွေ အများကြီးပါ။
ယနေ့ခေတ်အင်တာနက်ပတ်ဝန်းကျင်တွင်၊ ဝဘ်အက်ပလီကေးရှင်းတစ်ခုသည် စိန်ခေါ်မှုအမျိုးမျိုးကြောင့် ထိခိုက်နိုင်သည်။ အထက်ဖော်ပြပါ ဂရပ်ဖစ်သည် တိုက်ခိုက်သူများ ကျူးလွန်သည့် အဖြစ်များဆုံး တိုက်ခိုက်မှုအချို့ကို သရုပ်ဖော်ထားပြီး တစ်ခုချင်းစီသည် အပလီကေးရှင်းတစ်ခုချင်းစီ သို့မဟုတ် လုပ်ငန်းတစ်ခုလုံးကို သိသိသာသာ ထိခိုက်ပျက်စီးစေနိုင်သည်။ အက်ပလီကေးရှင်းတစ်ခုအား အားနည်းချက်ဖြစ်စေသည့် တိုက်ခိုက်မှုများစွာအပြင် တိုက်ခိုက်မှုတစ်ခု၏ ဖြစ်နိုင်ခြေရလဒ်များကို သိရှိခြင်းဖြင့် ကုမ္ပဏီသည် အားနည်းချက်များကို အချိန်မီဖြေရှင်းနိုင်ပြီး ၎င်းတို့အတွက် ထိထိရောက်ရောက် စမ်းသပ်နိုင်စေမည်ဖြစ်သည်။
ချို့ယွင်းချက်၏ မူလဇစ်မြစ်ကို ဖော်ထုတ်ခြင်းဖြင့် ပြဿနာများကို ကာကွယ်ရန် SDLC ၏ အစောပိုင်းအဆင့်များတစ်လျှောက် ထိန်းချုပ်မှုများကို လျော့ပါးစေနိုင်သည်။ ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေး စမ်းသပ်မှုတစ်ခုအတွင်း၊ ဤခြိမ်းခြောက်မှုများ မည်သို့လုပ်ဆောင်ကြောင်း သိရှိနိုင်သည်ကိုလည်း သိရှိထားသည့် စိတ်ဝင်စားဖွယ်နေရာများကို ပစ်မှတ်ထားရန် အသုံးပြုနိုင်သည်။
အောင်မြင်သောတိုက်ခိုက်မှု၏သက်ရောက်မှုများကို အားနည်းချက်၏ပြင်းထန်မှုတစ်ခုလုံးကိုဆုံးဖြတ်ရန်အသုံးပြုနိုင်သောကြောင့် တိုက်ခိုက်မှုတစ်ခု၏အကျိုးသက်ရောက်မှုကိုအသိအမှတ်ပြုခြင်းသည်ကုမ္ပဏီ၏အန္တရာယ်ကိုစီမံခန့်ခွဲရန်အတွက်လည်းအရေးကြီးပါသည်။ လုံခြုံရေးစမ်းသပ်မှုတစ်ခုအတွင်း အားနည်းချက်များကို ရှာဖွေတွေ့ရှိပါက ၎င်းတို့၏ ပြင်းထန်မှုကို ဆုံးဖြတ်ခြင်းသည် ကုမ္ပဏီအား ပြန်လည်ကုစားရန် ကြိုးပမ်းမှုများကို ပိုမိုထိရောက်စွာ ဦးစားပေးလုပ်ဆောင်နိုင်စေမည်ဖြစ်သည်။ ကုမ္ပဏီအတွက် စွန့်စားရမှုကို လျှော့ချရန်၊ အရေးကြီးသော ပြင်းထန်မှု ပြဿနာများဖြင့် စတင်ပြီး သက်ရောက်မှုများကို လျှော့ချရန် နည်းလမ်းတစ်ခုဖြင့် လုပ်ဆောင်ပါ။
ပြဿနာတစ်ခုကို ဖော်ထုတ်ခြင်းမပြုမီ၊ ကုမ္ပဏီ၏ အက်ပ်လီကေးရှင်းစာကြည့်တိုက်ရှိ ပရိုဂရမ်တစ်ခုစီ၏ ဖြစ်နိုင်ခြေရှိသော အကျိုးသက်ရောက်မှုများကို အကဲဖြတ်ခြင်းသည် သင့်အား အပလီကေးရှင်းလုံခြုံရေးစစ်ဆေးမှုကို ဦးစားပေးလုပ်ဆောင်ရန် ကူညီပေးပါမည်။ Wenb လုံခြုံရေးစစ်ဆေးမှုသည် ကုမ္ပဏီ၏အရေးကြီးသောအသုံးချပလီကေးရှင်းများကို ဦးစွာပစ်မှတ်ထားနိုင်ပြီး၊ လုပ်ငန်းနှင့်ဆန့်ကျင်ဘက်အန္တရာယ်ကိုလျှော့ချရန် ပိုမိုပစ်မှတ်ထားသောစမ်းသပ်မှုများဖြင့် လုပ်ဆောင်နိုင်သည်။ မြင့်မားသောပရိုဖိုင်းအပလီကေးရှင်းများစာရင်းတစ်ခုနှင့်အတူ၊ wenb လုံခြုံရေးစစ်ဆေးမှုသည် ကုမ္ပဏီ၏အရေးကြီးသောအသုံးချပလီကေးရှင်းများကို ဦးစွာပစ်မှတ်ထားရန် စီစဉ်ထားနိုင်ပြီး၊ လုပ်ငန်းအပေါ်အန္တရာယ်ကိုလျှော့ချရန် ပိုမိုပစ်မှတ်ထားသောစမ်းသပ်မှုများနှင့်အတူ၊
ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးစမ်းသပ်မှုတစ်ခုအတွင်း မည်သည့်အင်္ဂါရပ်များကို စစ်ဆေးသင့်သနည်း။
ဝဘ်အပလီကေးရှင်းလုံခြုံရေးစမ်းသပ်မှုအတွင်း၊ အောက်ပါမပြည့်စုံသောအင်္ဂါရပ်များစာရင်းကို ထည့်သွင်းစဉ်းစားပါ။ တစ်ခုချင်းစီကို ထိရောက်စွာ အကောင်အထည်ဖော်နိုင်ခြင်းသည် အားနည်းချက်များ ဖြစ်ပေါ်လာနိုင်ပြီး ကုမ္ပဏီကို အန္တရာယ်ဖြစ်စေနိုင်သည်။
- အက်ပလီကေးရှင်းနှင့် ဆာဗာ၏ဖွဲ့စည်းပုံ။ ကုဒ်ဝှက်ခြင်း/ကုဒ်ရေးနည်း စနစ်ထည့်သွင်းမှုများ၊ ဝဘ်ဆာဗာဖွဲ့စည်းပုံများ စသည်တို့သည် ဖြစ်နိုင်ချေရှိသော ချို့ယွင်းချက်များ၏ နမူနာများဖြစ်သည်။
- ထည့်သွင်းမှုနှင့် အမှားအယွင်းများကို မှန်ကန်ကြောင်း အတည်ပြုခြင်းသည် ညံ့ဖျင်းသော သွင်းအားစုနှင့် အထွက်ကို စီမံဆောင်ရွက်ခြင်းသည် SQL ထိုးသွင်းခြင်း၊ ဆိုက်စခရစ်တင်ခြင်း (XSS) နှင့် အခြားသော ပုံမှန်ဆေးထိုးခြင်းဆိုင်ရာ ပြဿနာများဆီသို့ ဦးတည်စေသည်။
- အထောက်အထားပြခြင်းနှင့် ဆက်ရှင်များကို ထိန်းသိမ်းခြင်း။ အသုံးပြုသူအယောင်ဆောင်ခြင်းသို့ ဦးတည်သွားစေနိုင်သည့် အားနည်းချက်များ။ အထောက်အထားခိုင်လုံမှုနှင့် ကာကွယ်မှုကိုလည်း ထည့်သွင်းစဉ်းစားသင့်သည်။
- ခွင့်ပြုချက်။ ဒေါင်လိုက် နှင့် အလျားလိုက် အခွင့်ထူး တိုးမြင့်ခြင်းများကို ကာကွယ်ရန် အပလီကေးရှင်း၏ စွမ်းဆောင်ရည်ကို စမ်းသပ်နေပါသည်။
- စီးပွားရေးအတွက် ယုတ္တိဗေဒ။ လုပ်ငန်းလုပ်ဆောင်နိုင်စွမ်းကို ပံ့ပိုးပေးသည့် ပရိုဂရမ်အများစုသည် ယင်းတို့ကို အားကိုးသည်။
- ဖောက်သည်၏အဆုံးတွင် လော့ဂျစ်။ ဤအင်္ဂါရပ်အမျိုးအစားသည် ခေတ်မီ၊ JavaScript-လေးလံသော ဝဘ်စာမျက်နှာများအပြင် အခြားသော client-side နည်းပညာများ (ဥပမာ၊ Silverlight၊ Flash၊ Java applets) တို့ကို အသုံးပြုသည့် ဝဘ်စာမျက်နှာများတွင် ပို၍အဖြစ်များလာသည်။
အောင်လက်မှတ် သင်ရိုးညွှန်းတမ်းနှင့် အသေးစိတ် သိစေရန်အတွက် အောက်ပါဇယားကို ချဲ့ထွင်ပြီး ခွဲခြမ်းစိတ်ဖြာနိုင်ပါသည်။
EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း အသိအမှတ်ပြု သင်ရိုးညွှန်းတမ်းသည် ဗီဒီယိုဖောင်တစ်ခုတွင် ပွင့်လင်းမြင်သာမှုရှိသော အရာများကို ရည်ညွှန်းသည်။ သင်ယူမှု လုပ်ငန်းစဉ်ကို သက်ဆိုင်ရာ သင်ရိုးညွှန်းတမ်း အစိတ်အပိုင်းများ အကျုံးဝင်သော အဆင့်ဆင့်ဖွဲ့စည်းပုံ (ပရိုဂရမ်များ -> သင်ခန်းစာများ -> ခေါင်းစဉ်များ) ဖြင့် ပိုင်းခြားထားသည်။ Domain ကျွမ်းကျင်သူများနှင့် အကန့်အသတ်မရှိ အကြံပေးခြင်းကိုလည်း ဆောင်ရွက်ပေးပါသည်။
Certification လုပ်ထုံးလုပ်နည်းအသေးစိတ်အတွက် စစ်ဆေးပါ။ ဘယ်လိုအလုပ်လုပ်လဲ.
EITC/IS/WAPT Web Applications Penetration Testing ပရိုဂရမ်အတွက် အော့ဖ်လိုင်းကိုယ်တိုင် သင်ယူခြင်းဆိုင်ရာ အပြည့်အစုံကို PDF ဖိုင်တွင် ဒေါင်းလုဒ်လုပ်ပါ။
EITC/IS/WAPT ကြိုတင်ပြင်ဆင်ပစ္စည်းများ - စံဗားရှင်း
EITC/IS/WAPT ကြိုတင်ပြင်ဆင်ပစ္စည်းများ – ပြန်လည်သုံးသပ်မေးခွန်းများဖြင့် တိုးချဲ့ဗားရှင်း