EITC/IS/WAPT ওয়েব অ্যাপ্লিকেশান পেনিট্রেশন টেস্টিং হল ওয়েব অ্যাপ্লিকেশান পেনিট্রেশন টেস্টিং (হোয়াইট হ্যাকিং) এর তাত্ত্বিক এবং ব্যবহারিক দিকগুলির উপর ইউরোপীয় আইটি সার্টিফিকেশন প্রোগ্রাম, ওয়েব সাইট স্পাইডিং, স্ক্যানিং এবং অ্যাটাক কৌশলগুলির জন্য বিভিন্ন টেকনিক সহ বিশেষায়িত পেনিট্রেশন টেস্টিং টুলস এবং স্যুটগুলি সহ .
EITC/IS/WAPT ওয়েব অ্যাপ্লিকেশন পেনিট্রেশন টেস্টিং এর পাঠ্যক্রমটি Burp Suite, ওয়েব স্প্রাইডারিং এবং DVWA, Burp Suite এর সাথে ব্রুট ফোর্স টেস্টিং, WAFW00F এর সাথে ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) সনাক্তকরণ, টার্গেট স্কোপ এবং স্পাইডারিং, লুকানো ফাইলগুলি আবিষ্কার করে ZAP, ওয়ার্ডপ্রেস দুর্বলতা স্ক্যানিং এবং ব্যবহারকারীর নাম গণনা, লোড ব্যালেন্সার স্ক্যান, ক্রস-সাইট স্ক্রিপ্টিং, XSS – প্রতিফলিত, সংরক্ষিত এবং DOM, প্রক্সি আক্রমণ, ZAP-তে প্রক্সি কনফিগার করা, ফাইল এবং ডিরেক্টরি আক্রমণ, DirBuster এর সাথে ফাইল এবং ডিরেক্টরি আবিষ্কার, ওয়েব আক্রমণ অনুশীলন , OWASP জুস শপ, CSRF – ক্রস সাইট রিকোয়েস্ট ফোরজি, কুকি কালেকশন এবং রিভার্স ইঞ্জিনিয়ারিং, এইচটিটিপি অ্যাট্রিবিউটস – কুকি স্টিলিং, এসকিউএল ইনজেকশন, ডটডটপিএনএন – ডাইরেক্টরি ট্রাভার্সাল ফাজিং, আইফ্রেম ইনজেকশন এবং এইচটিএমএল ইনজেকশন, হার্টব্লিড এক্সপ্লয়েট – আবিষ্কার এবং শোষণ, কোড পিএইচপি bWAPP – এইচটিএমএল ইনজেকশন, প্রতিফলিত পোস্ট, কমিক্সের সাথে ওএস কমান্ড ইনজেকশন, সার্ভার-সাইডে এসএসআই ইনজেকশন অন্তর্ভুক্ত, ডকারে পেন্টেস্টিং, ওভার দ্যওয়্যার Natas, LFI এবং কমান্ড ইনজেকশন, পেনটেস্টিংয়ের জন্য Google হ্যাকিং, অনুপ্রবেশ পরীক্ষার জন্য Google Dorks, Apache2 ModSecurity, পাশাপাশি Nginx ModSecurity, নিম্নলিখিত কাঠামোর মধ্যে, এই EITC সার্টিফিকেশনের জন্য একটি রেফারেন্স হিসাবে ব্যাপক ভিডিও শিক্ষামূলক বিষয়বস্তু অন্তর্ভুক্ত করে।
ওয়েব অ্যাপ্লিকেশন নিরাপত্তা (প্রায়শই ওয়েব অ্যাপসেক হিসাবে উল্লেখ করা হয়) হল ওয়েবসাইটগুলিকে আক্রমণ করা হলেও সাধারণভাবে কাজ করার জন্য ডিজাইন করার ধারণা। ধারণাটি প্রতিকূল এজেন্টদের থেকে তার সম্পদ রক্ষা করার জন্য একটি ওয়েব অ্যাপ্লিকেশনে নিরাপত্তা ব্যবস্থার একটি সেট সংহত করছে। ওয়েব অ্যাপ্লিকেশন, সমস্ত সফ্টওয়্যারের মতো, ত্রুটির প্রবণ। এই ত্রুটিগুলির মধ্যে কিছু প্রকৃত দুর্বলতা যা কাজে লাগানো যেতে পারে, ব্যবসার জন্য ঝুঁকি তৈরি করে। এই ধরনের ত্রুটিগুলি ওয়েব অ্যাপ্লিকেশন নিরাপত্তার মাধ্যমে রক্ষা করা হয়। এটি সুরক্ষিত উন্নয়ন পদ্ধতির নিয়োগ এবং সফ্টওয়্যার ডেভেলপমেন্ট লাইফ সাইকেল (SDLC) জুড়ে সুরক্ষা নিয়ন্ত্রণ স্থাপন করে, ডিজাইনের ত্রুটি এবং বাস্তবায়নের সমস্যাগুলি সমাধান করা নিশ্চিত করে। অনলাইন অনুপ্রবেশ পরীক্ষা, যা বিশেষজ্ঞদের দ্বারা পরিচালিত হয় যারা তথাকথিত সাদা হ্যাকিং পদ্ধতি ব্যবহার করে ওয়েব অ্যাপ্লিকেশনের দুর্বলতাগুলিকে উন্মোচন এবং শোষণ করার লক্ষ্য রাখে, উপযুক্ত প্রতিরক্ষা সক্ষম করার জন্য একটি অপরিহার্য অনুশীলন।
একটি ওয়েব পেনিট্রেশন টেস্ট, যা একটি ওয়েব পেন টেস্ট নামেও পরিচিত, শোষণযোগ্য ত্রুটিগুলি খুঁজে বের করার জন্য একটি ওয়েব অ্যাপ্লিকেশনে সাইবার হামলার অনুকরণ করে। পেনিট্রেশন টেস্টিং প্রায়শই ওয়েব অ্যাপ্লিকেশন সিকিউরিটি (WAF) প্রসঙ্গে একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়ালের পরিপূরক করতে ব্যবহৃত হয়। পেন টেস্টিং, সাধারণভাবে, যেকোন সংখ্যক অ্যাপ্লিকেশন সিস্টেম (যেমন, এপিআই, ফ্রন্টএন্ড/ব্যাকএন্ড সার্ভার) ভেদ করার চেষ্টা করে যাতে দুর্বলতাগুলি খুঁজে পাওয়া যায়, যেমন অস্বাস্থ্যকর ইনপুট যা কোড ইনজেকশন আক্রমণের জন্য ঝুঁকিপূর্ণ।
অনলাইন অনুপ্রবেশ পরীক্ষার ফলাফলগুলি WAF নিরাপত্তা নীতিগুলি কনফিগার করতে এবং আবিষ্কৃত দুর্বলতাগুলির সমাধান করতে ব্যবহার করা যেতে পারে।
অনুপ্রবেশ পরীক্ষার পাঁচটি ধাপ রয়েছে।
কলম পরীক্ষা পদ্ধতি পাঁচটি ধাপে বিভক্ত।
- পরিকল্পনা এবং স্কাউটিং
একটি পরীক্ষার সুযোগ এবং লক্ষ্য সংজ্ঞায়িত করা, যার মধ্যে যে সিস্টেমগুলিকে সম্বোধন করা হবে এবং পরীক্ষার পদ্ধতিগুলি ব্যবহার করা হবে, তা হল প্রথম পর্যায়৷
একটি লক্ষ্য কীভাবে কাজ করে এবং এর সম্ভাব্য দুর্বলতাগুলি সম্পর্কে আরও ভাল বোঝার জন্য, বুদ্ধিমত্তা সংগ্রহ করুন (যেমন, নেটওয়ার্ক এবং ডোমেন নাম, মেল সার্ভার)। - স্ক্যান করা হচ্ছে
পরবর্তী পর্যায় হল বিভিন্ন ধরনের অনুপ্রবেশের প্রচেষ্টায় লক্ষ্য অ্যাপ্লিকেশনটি কীভাবে প্রতিক্রিয়া দেখাবে তা নির্ধারণ করা। এটি সাধারণত নিম্নলিখিত পদ্ধতি ব্যবহার করে সম্পন্ন করা হয়:
স্ট্যাটিক বিশ্লেষণ - এটি চালানোর সময় এটি কীভাবে আচরণ করবে তা অনুমান করতে একটি অ্যাপ্লিকেশনের কোড পরীক্ষা করা। একক পাসে, এই সরঞ্জামগুলি পুরো কোড স্ক্যান করতে পারে।
গতিশীল বিশ্লেষণ হল একটি অ্যাপ্লিকেশনের কোড পরিদর্শন করার প্রক্রিয়া যখন এটি কাজ করছে। স্ক্যান করার এই পদ্ধতিটি আরও ব্যবহারিক কারণ এটি একটি অ্যাপ্লিকেশনের কার্যক্ষমতার একটি রিয়েল-টাইম ভিউ প্রদান করে। - অ্যাক্সেস প্রাপ্তি
একটি লক্ষ্যের দুর্বলতা খুঁজে বের করার জন্য, এই পদক্ষেপটি ক্রস-সাইট স্ক্রিপ্টিং, এসকিউএল ইনজেকশন এবং ব্যাকডোরগুলির মতো ওয়েব অ্যাপ্লিকেশান আক্রমণগুলিকে নিয়োগ করে৷ এই দুর্বলতাগুলি যে ক্ষতি করতে পারে তা বোঝার জন্য, পরীক্ষকরা সুযোগ-সুবিধা বৃদ্ধি করে, ডেটা চুরি করে, ট্র্যাফিক বাধা দিয়ে এবং আরও অনেক কিছু করে তাদের শোষণ করার চেষ্টা করে। - অ্যাক্সেস রাখা
এই পর্যায়ের উদ্দেশ্য হল আপোসকৃত সিস্টেমে দীর্ঘমেয়াদী উপস্থিতি প্রতিষ্ঠার জন্য দুর্বলতাকে কাজে লাগানো যায় কিনা তা মূল্যায়ন করা, যা একজন খারাপ অভিনেতাকে গভীরভাবে অ্যাক্সেস পেতে দেয়। লক্ষ্য হল উন্নত ক্রমাগত হুমকির অনুকরণ করা, যা একটি কোম্পানির সবচেয়ে সংবেদনশীল তথ্য চুরি করার জন্য কয়েক মাস ধরে একটি সিস্টেমে থাকতে পারে। - বিশ্লেষণ
অনুপ্রবেশ পরীক্ষার ফলাফলগুলি তারপরে একটি প্রতিবেদনে রাখা হয় যাতে তথ্য অন্তর্ভুক্ত থাকে যেমন:
দুর্বলতা যা বিস্তারিতভাবে কাজে লাগানো হয়েছে
প্রাপ্ত তথ্য যে সংবেদনশীল ছিল
কলম পরীক্ষক যে পরিমাণ সময় সিস্টেমে অলক্ষিত থাকতে সক্ষম হয়েছিল।
নিরাপত্তা বিশেষজ্ঞরা এই ডেটা ব্যবহার করে একটি এন্টারপ্রাইজের WAF সেটিংস এবং অন্যান্য অ্যাপ্লিকেশান নিরাপত্তা সমাধানগুলি কনফিগার করতে সহায়তা করতে যাতে দুর্বলতাগুলি প্যাচ করতে এবং আরও আক্রমণ প্রতিরোধ করতে পারে৷
অনুপ্রবেশ পরীক্ষার পদ্ধতি
- বাহ্যিক অনুপ্রবেশ পরীক্ষা একটি ফার্মের সম্পদের উপর ফোকাস করে যা ইন্টারনেটে দৃশ্যমান, যেমন ওয়েব অ্যাপ্লিকেশন, কোম্পানির ওয়েবসাইট, সেইসাথে ইমেল এবং ডোমেন নাম সার্ভার (DNS)। উদ্দেশ্য হল অ্যাক্সেস প্রাপ্ত করা এবং দরকারী তথ্য আহরণ করা।
- অভ্যন্তরীণ পরীক্ষায় এমন একজন পরীক্ষককে অন্তর্ভুক্ত করে যা একটি কোম্পানির ফায়ারওয়ালের পিছনে একটি প্রতিকূল অভ্যন্তরীণ আক্রমণের অনুকরণে একটি অ্যাপ্লিকেশন অ্যাক্সেস করতে পারে। এটি একটি দুর্বৃত্ত কর্মচারী সিমুলেশন প্রয়োজনীয় নয়. একজন কর্মচারী যার শংসাপত্র একটি ফিশিং প্রচেষ্টার ফলে প্রাপ্ত হয়েছিল একটি সাধারণ সূচনা পয়েন্ট৷
- অন্ধ পরীক্ষা হল যখন একজন পরীক্ষককে পরীক্ষা করা হচ্ছে এমন কোম্পানির নাম দেওয়া হয়। এটি নিরাপত্তা বিশেষজ্ঞদের দেখতে দেয় যে বাস্তব সময়ে একটি প্রকৃত অ্যাপ্লিকেশান আক্রমণ কীভাবে হতে পারে।
- ডাবল-ব্লাইন্ড টেস্টিং: ডাবল-ব্লাইন্ড টেস্টে, নিরাপত্তা পেশাদাররা আগে থেকে সিমুলেটেড অ্যাটাক সম্পর্কে অবগত নন। বাস্তব জগতের মতো, লঙ্ঘনের চেষ্টা করার আগে তাদের দুর্গগুলিকে তীরে তোলার সময় থাকবে না।
- লক্ষ্যযুক্ত পরীক্ষা - এই পরিস্থিতিতে, পরীক্ষক এবং নিরাপত্তা কর্মীরা সহযোগিতা করে এবং একে অপরের গতিবিধির উপর নজর রাখে। এটি একটি দুর্দান্ত প্রশিক্ষণ অনুশীলন যা একটি নিরাপত্তা দলকে হ্যাকারের দৃষ্টিকোণ থেকে রিয়েল-টাইম প্রতিক্রিয়া দেয়।
ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল এবং অনুপ্রবেশ পরীক্ষা
অনুপ্রবেশ পরীক্ষা এবং WAF দুটি পৃথক কিন্তু পরিপূরক নিরাপত্তা কৌশল। পরীক্ষক অনেক ধরনের কলম পরীক্ষায় (অন্ধ এবং ডাবল ব্লাইন্ড পরীক্ষা ব্যতীত) একটি অ্যাপ্লিকেশনের দুর্বল ক্ষেত্রগুলি খুঁজে পেতে এবং শোষণ করতে WAF ডেটা, যেমন লগগুলি ব্যবহার করতে পারে।
পরিবর্তে, কলম পরীক্ষার ডেটা WAF প্রশাসকদের সাহায্য করতে পারে। পরীক্ষার সমাপ্তির পরে, পরীক্ষার সময় সনাক্ত করা ত্রুটিগুলি থেকে রক্ষা করার জন্য WAF কনফিগারেশনগুলি সংশোধন করা যেতে পারে।
অবশেষে, পেন টেস্টিং নিরাপত্তা নিরীক্ষা পদ্ধতির কিছু সম্মতির প্রয়োজনীয়তা পূরণ করে, যেমন PCI DSS এবং SOC 2। কিছু প্রয়োজনীয়তা, যেমন PCI-DSS 6.6, শুধুমাত্র একটি প্রত্যয়িত WAF ব্যবহার করা হলেই পূরণ করা যেতে পারে। যাইহোক, উপরে উল্লিখিত সুবিধা এবং WAF সেটিংস পরিবর্তন করার সম্ভাবনার কারণে, এটি কলম পরীক্ষাকে কম উপযোগী করে তোলে না।
ওয়েব নিরাপত্তা পরীক্ষার তাৎপর্য কি?
ওয়েব নিরাপত্তা পরীক্ষার লক্ষ্য হল ওয়েব অ্যাপ্লিকেশন এবং তাদের সেটআপের নিরাপত্তা ত্রুটি সনাক্ত করা। অ্যাপ্লিকেশন স্তর হল প্রাথমিক লক্ষ্য (যেমন, HTTP প্রোটোকলে যা চলছে)। সমস্যা সৃষ্টি করতে এবং সিস্টেমটিকে অপ্রত্যাশিত উপায়ে সাড়া দেওয়ার জন্য একটি ওয়েব অ্যাপ্লিকেশনে বিভিন্ন ধরনের ইনপুট পাঠানো তার নিরাপত্তা পরীক্ষা করার জন্য একটি সাধারণ পদ্ধতি। এই "নেতিবাচক পরীক্ষাগুলি" সিস্টেমটি এমন কিছু করছে কিনা তা দেখার জন্য এটির উদ্দেশ্য ছিল না।
এটি উপলব্ধি করাও অত্যাবশ্যক যে ওয়েব নিরাপত্তা পরীক্ষা শুধুমাত্র অ্যাপ্লিকেশনের নিরাপত্তা বৈশিষ্ট্যগুলি (যেমন প্রমাণীকরণ এবং অনুমোদন) যাচাই করার চেয়ে আরও বেশি কিছু করে৷ অন্যান্য বৈশিষ্ট্যগুলি নিরাপদে স্থাপন করা হয়েছে তা নিশ্চিত করাও গুরুত্বপূর্ণ (যেমন, ব্যবসায়িক যুক্তি এবং সঠিক ইনপুট বৈধতা এবং আউটপুট এনকোডিং ব্যবহার)। উদ্দেশ্য হল ওয়েব অ্যাপ্লিকেশনের ফাংশনগুলি নিরাপদ কিনা তা নিশ্চিত করা।
নিরাপত্তা মূল্যায়ন অনেক ধরনের কি কি?
- ডায়নামিক অ্যাপ্লিকেশন সিকিউরিটি (DAST) এর জন্য পরীক্ষা। এই স্বয়ংক্রিয় অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষাটি কম-ঝুঁকিপূর্ণ, অভ্যন্তরীণ-মুখী অ্যাপগুলির জন্য সর্বোত্তম উপযুক্ত যেগুলিকে অবশ্যই নিয়ন্ত্রক নিরাপত্তা প্রয়োজনীয়তা পূরণ করতে হবে। সাধারণ দুর্বলতার জন্য কিছু ম্যানুয়াল অনলাইন নিরাপত্তা পরীক্ষার সাথে DAST-এর সংমিশ্রণ হল মাঝারি-ঝুঁকির অ্যাপ এবং ছোটখাটো পরিবর্তনের মধ্য দিয়ে গুরুত্বপূর্ণ অ্যাপ্লিকেশনগুলির জন্য সেরা কৌশল।
- স্ট্যাটিক অ্যাপ্লিকেশনের জন্য নিরাপত্তা পরীক্ষা (SAST)। এই অ্যাপ্লিকেশন নিরাপত্তা কৌশল স্বয়ংক্রিয় এবং ম্যানুয়াল উভয় পরীক্ষা পদ্ধতি অন্তর্ভুক্ত. এটি একটি লাইভ পরিবেশে অ্যাপ্লিকেশন চালানো ছাড়াই বাগ সনাক্ত করার জন্য আদর্শ। এটি প্রকৌশলীদের একটি পদ্ধতিগত পদ্ধতিতে সফ্টওয়্যার নিরাপত্তা ত্রুটিগুলি সনাক্ত করতে এবং ঠিক করতে উত্স কোড স্ক্যান করার অনুমতি দেয়।
- অনুপ্রবেশ পরীক্ষা. এই ম্যানুয়াল অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষা অপরিহার্য অ্যাপ্লিকেশনের জন্য আদর্শ, বিশেষ করে যেগুলি উল্লেখযোগ্য পরিবর্তনের মধ্য দিয়ে যাচ্ছে। উন্নত আক্রমণের পরিস্থিতি খুঁজে পেতে, মূল্যায়ন ব্যবসায়িক যুক্তি এবং প্রতিপক্ষ-ভিত্তিক পরীক্ষা ব্যবহার করে।
- রানটাইমে অ্যাপ্লিকেশন স্ব-সুরক্ষা (RASP)। এই ক্রমবর্ধমান অ্যাপ্লিকেশন নিরাপত্তা পদ্ধতি একটি অ্যাপ্লিকেশনের জন্য বিভিন্ন প্রযুক্তির কৌশলগুলিকে অন্তর্ভুক্ত করে যাতে হুমকিগুলি দেখা যায় এবং আশা করা যায়, বাস্তব সময়ে প্রতিরোধ করা যায়।
কোম্পানির ঝুঁকি কমাতে অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষা কী ভূমিকা পালন করে?
ওয়েব অ্যাপ্লিকেশানগুলিতে বেশিরভাগ আক্রমণের মধ্যে রয়েছে:
- এসকিউএল ইনজেকশন
- XSS (ক্রস সাইট স্ক্রিপ্টিং)
- রিমোট কমান্ড এক্সিকিউশন
- পাথ ট্রাভার্সাল অ্যাটাক
- সীমিত কন্টেন্ট অ্যাক্সেস
- আপস করা ব্যবহারকারী অ্যাকাউন্ট
- দূষিত কোড ইনস্টলেশন
- বিক্রি রাজস্ব হারিয়েছে
- গ্রাহকদের আস্থা নষ্ট হচ্ছে
- ব্র্যান্ড খ্যাতি ক্ষতিকারক
- এবং আরও অনেক আক্রমণ
আজকের ইন্টারনেট পরিবেশে, একটি ওয়েব অ্যাপ্লিকেশন বিভিন্ন চ্যালেঞ্জ দ্বারা ক্ষতিগ্রস্ত হতে পারে। উপরের গ্রাফিকটি আক্রমণকারীদের দ্বারা সংঘটিত কয়েকটি সাধারণ আক্রমণকে চিত্রিত করে, যার প্রতিটি একটি পৃথক অ্যাপ্লিকেশন বা একটি সম্পূর্ণ ব্যবসার উল্লেখযোগ্য ক্ষতি করতে পারে। অ্যাপ্লিকেশানকে দুর্বল করে দেয় এমন অনেকগুলি আক্রমণ এবং সেইসাথে আক্রমণের সম্ভাব্য ফলাফলগুলি সম্পর্কে জানা, কোম্পানিকে সময়ের আগে দুর্বলতাগুলি সমাধান করতে এবং কার্যকরভাবে তাদের জন্য পরীক্ষা করতে দেয়৷
দুর্বলতার মূল কারণ চিহ্নিত করে কোনো সমস্যা প্রতিরোধ করার জন্য SDLC-এর প্রাথমিক পর্যায়ে প্রশমন নিয়ন্ত্রণ স্থাপন করা যেতে পারে। একটি ওয়েব অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষার সময়, এই হুমকিগুলি কীভাবে কাজ করে তার জ্ঞানও পরিচিত আগ্রহের স্থানগুলিকে লক্ষ্য করতে ব্যবহার করা যেতে পারে।
একটি আক্রমণের প্রভাবকে স্বীকৃতি দেওয়া কোম্পানির ঝুঁকি পরিচালনার জন্যও গুরুত্বপূর্ণ, কারণ একটি সফল আক্রমণের প্রভাব সামগ্রিকভাবে দুর্বলতার তীব্রতা নির্ধারণ করতে ব্যবহার করা যেতে পারে। নিরাপত্তা পরীক্ষার সময় যদি দুর্বলতাগুলি আবিষ্কৃত হয়, তবে তাদের তীব্রতা নির্ধারণ করা কোম্পানিকে আরও কার্যকরভাবে প্রতিকারমূলক প্রচেষ্টাকে অগ্রাধিকার দেওয়ার অনুমতি দেয়। কোম্পানির ঝুঁকি কমাতে, গুরুতর গুরুতর সমস্যাগুলি দিয়ে শুরু করুন এবং প্রভাব কমানোর জন্য নিজের উপায়ে কাজ করুন।
একটি সমস্যা চিহ্নিত করার আগে, কোম্পানির অ্যাপ্লিকেশন লাইব্রেরিতে প্রতিটি প্রোগ্রামের সম্ভাব্য প্রভাব মূল্যায়ন করা আপনাকে অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষার অগ্রাধিকার দিতে সাহায্য করবে। ব্যবসার বিরুদ্ধে ঝুঁকি কমাতে আরও লক্ষ্যযুক্ত পরীক্ষার মাধ্যমে প্রথমে ফার্মের সমালোচনামূলক অ্যাপ্লিকেশনগুলিকে লক্ষ্য করার জন্য Wenb নিরাপত্তা পরীক্ষার সময়সূচী নির্ধারণ করা যেতে পারে। উচ্চ-প্রোফাইল অ্যাপ্লিকেশনগুলির একটি প্রতিষ্ঠিত তালিকার সাথে, ব্যবসার বিরুদ্ধে ঝুঁকি কমাতে আরও লক্ষ্যযুক্ত পরীক্ষার সাথে, ফার্মের সমালোচনামূলক অ্যাপ্লিকেশনগুলিকে প্রথমে লক্ষ্য করার জন্য wenb নিরাপত্তা পরীক্ষার সময় নির্ধারণ করা যেতে পারে।
একটি ওয়েব অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষার সময়, কি বৈশিষ্ট্য পরীক্ষা করা উচিত?
ওয়েব অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষার সময়, বৈশিষ্ট্যগুলির নিম্নলিখিত অ-সম্পূর্ণ তালিকা বিবেচনা করুন। প্রতিটির একটি অকার্যকর বাস্তবায়ন দুর্বলতার কারণ হতে পারে, কোম্পানিকে বিপদে ফেলতে পারে।
- অ্যাপ্লিকেশন এবং সার্ভারের কনফিগারেশন। এনক্রিপশন/ক্রিপ্টোগ্রাফিক সেটআপ, ওয়েব সার্ভার কনফিগারেশন এবং আরও অনেক কিছু সম্ভাব্য ত্রুটির উদাহরণ।
- ইনপুট এবং ত্রুটি পরিচালনার বৈধতা দুর্বল ইনপুট এবং আউটপুট প্রক্রিয়াকরণের ফলে এসকিউএল ইনজেকশন, ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস) এবং অন্যান্য সাধারণ ইনজেকশন সমস্যা হয়।
- সেশনের প্রমাণীকরণ এবং রক্ষণাবেক্ষণ। দুর্বলতা যা ব্যবহারকারীর ছদ্মবেশের দিকে নিয়ে যেতে পারে। শংসাপত্রের শক্তি এবং সুরক্ষাও বিবেচনায় নেওয়া উচিত।
- অনুমোদন. উল্লম্ব এবং অনুভূমিক বিশেষাধিকার বৃদ্ধির বিরুদ্ধে রক্ষা করার জন্য অ্যাপ্লিকেশনটির ক্ষমতা পরীক্ষা করা হচ্ছে।
- ব্যবসায় যুক্তি. বেশিরভাগ প্রোগ্রাম যা ব্যবসায়িক কার্যকারিতা প্রদান করে সেগুলির উপর নির্ভর করে।
- ক্লায়েন্ট এর শেষে যুক্তি. এই ধরনের বৈশিষ্ট্য আধুনিক, জাভাস্ক্রিপ্ট-ভারী ওয়েবপেজ, সেইসাথে অন্যান্য ধরনের ক্লায়েন্ট-সাইড প্রযুক্তি (যেমন, সিলভারলাইট, ফ্ল্যাশ, জাভা অ্যাপলেট) ব্যবহার করে ওয়েবপৃষ্ঠাগুলির সাথে আরও সাধারণ হয়ে উঠছে।
সার্টিফিকেশন পাঠ্যক্রমের সাথে নিজেকে বিশদভাবে পরিচিত করতে আপনি নীচের টেবিলটি প্রসারিত এবং বিশ্লেষণ করতে পারেন।
EITC/IS/WAPT ওয়েব অ্যাপ্লিকেশন পেনিট্রেশন টেস্টিং সার্টিফিকেশন পাঠ্যক্রম একটি ভিডিও আকারে ওপেন-অ্যাক্সেস শিক্ষামূলক উপকরণের উল্লেখ করে। শেখার প্রক্রিয়াটি একটি ধাপে ধাপে কাঠামোতে বিভক্ত (প্রোগ্রাম -> পাঠ -> বিষয়) প্রাসঙ্গিক পাঠ্যক্রমের অংশগুলিকে কভার করে। ডোমেন বিশেষজ্ঞদের সাথে সীমাহীন পরামর্শ প্রদান করা হয়।
সার্টিফিকেশন পদ্ধতির বিস্তারিত জানার জন্য চেক করুন কিভাবে এটা কাজ করে.
একটি PDF ফাইলে EITC/IS/WAPT ওয়েব অ্যাপ্লিকেশন পেনিট্রেশন টেস্টিং প্রোগ্রামের জন্য সম্পূর্ণ অফলাইন স্ব-শিক্ষার প্রস্তুতিমূলক উপকরণ ডাউনলোড করুন
EITC/IS/WAPT প্রস্তুতিমূলক উপকরণ – আদর্শ সংস্করণ
EITC/IS/WAPT প্রস্তুতিমূলক উপকরণ – পর্যালোচনা প্রশ্ন সহ বর্ধিত সংস্করণ