security testing
टेस्ट सिक्योरिटी कैसे करें - वेब और डेस्कटॉप एप्लीकेशन सिक्योरिटी टेस्टिंग तकनीक
सुरक्षा परीक्षण की आवश्यकता है?
सॉफ्टवेयर उद्योग ने इस युग में एक ठोस पहचान हासिल की है। हाल के दशक में, हालांकि, साइबर-दुनिया और भी अधिक प्रभावी और प्रेरक शक्ति है जो लगभग हर व्यवसाय के नए रूपों को आकार दे रही है। आज इस्तेमाल होने वाले वेब आधारित ईआरपी सिस्टम सबसे अच्छे सबूत हैं कि आईटी ने हमारे प्यारे वैश्विक गांव में क्रांति ला दी है।
इन दिनों, वेबसाइटें केवल प्रचार या विपणन के लिए ही नहीं होती हैं, बल्कि व्यावसायिक जरूरतों को पूरा करने के लिए इन्हें मजबूत उपकरणों में विकसित किया गया है।
वेब-आधारित पेरोल सिस्टम, शॉपिंग मॉल, बैंकिंग, स्टॉक ट्रेड एप्लिकेशन न केवल संगठनों द्वारा उपयोग किए जा रहे हैं, बल्कि आज उत्पादों के रूप में भी बेचे जा रहे हैं।
इसका मतलब यह है कि ऑनलाइन एप्लिकेशन ने ग्राहकों और उपयोगकर्ताओं के विश्वास को उनकी महत्वपूर्ण विशेषता के रूप में प्राप्त किया है जिसे SECURITY नाम दिया गया है।
इसमें कोई संदेह नहीं है, सुरक्षा कारक डेस्कटॉप अनुप्रयोगों के लिए प्राथमिक मूल्य का भी है।
हालांकि, जब हम वेब के बारे में बात करते हैं, तो सुरक्षा का महत्व तेजी से बढ़ जाता है। यदि कोई ऑनलाइन सिस्टम लेनदेन डेटा की सुरक्षा नहीं कर सकता है, तो कोई भी इसका उपयोग करने के बारे में कभी नहीं सोचेगा। सुरक्षा न तो अपनी परिभाषा की खोज में एक शब्द है और न ही यह एक सूक्ष्म अवधारणा है। हालाँकि, मैं सुरक्षा पर कुछ तारीफों को सूचीबद्ध करना चाहूंगा।
विंडोज़ 10 में jnlp फ़ाइल कैसे खोलें
एक आवेदन में सुरक्षा खामियों के उदाहरण हैं
- एक छात्र प्रबंधन प्रणाली असुरक्षित है यदि branch प्रवेश ’शाखा’ परीक्षा ’शाखा के डेटा को संपादित कर सकती है
- ईआरपी प्रणाली सुरक्षित नहीं है अगर डीईओ (डेटा एंट्री ऑपरेटर) not रिपोर्ट्स ’उत्पन्न कर सकता है
- यदि ग्राहक के क्रेडिट कार्ड विवरण को एन्क्रिप्ट नहीं किया गया है तो ऑनलाइन शॉपिंग मॉल की कोई सुरक्षा नहीं है
- यदि कोई SQL क्वेरी अपने उपयोगकर्ताओं के वास्तविक पासवर्ड पुनर्प्राप्त करता है, तो एक कस्टम सॉफ़्टवेयर अपर्याप्त सुरक्षा के अधिकारी होते हैं
सुरक्षा
अब, मैं आपके सामने अपने शब्दों में सुरक्षा की सबसे सरल परिभाषा प्रस्तुत करता हूं।
'सुरक्षा का मतलब है कि संरक्षित डेटा के लिए अधिकृत पहुँच दी गई है और अनधिकृत पहुँच प्रतिबंधित है' ।
तो, इसके दो प्रमुख पहलू हैं; पहला डेटा की सुरक्षा है और दूसरा उस डेटा तक पहुंच है। इसके अलावा, चाहे एप्लिकेशन डेस्कटॉप या वेब-आधारित हो, सुरक्षा दो पूर्वोक्त पहलुओं के आसपास घूमती है।
आइए हम डेस्कटॉप और वेब-आधारित सॉफ़्टवेयर अनुप्रयोगों दोनों के लिए सुरक्षा पहलुओं का अवलोकन करें।
आप क्या सीखेंगे:
डेस्कटॉप और वेब सुरक्षा परीक्षण
एक डेस्कटॉप एप्लिकेशन को न केवल इसकी पहुंच के बारे में बल्कि संगठन के संबंध में और इसके डेटा के भंडारण के लिए भी सुरक्षित होना चाहिए।
इसी तरह, वेब एप्लिकेशन डिमांड, डेटा सुरक्षा के साथ-साथ इसकी पहुंच के संबंध में सुरक्षा की भी मांग करता है। एक वेब डेवलपर को एसक्यूएल इंजेक्शन, ब्रूट फोर्स अटैक्स और एक्सएसएस (क्रॉस-साइट स्क्रिप्टिंग) के लिए आवेदन प्रतिरक्षा करना चाहिए। इसी तरह, यदि वेब एप्लिकेशन रिमोट एक्सेस पॉइंट की सुविधा देता है, तो इन्हें सुरक्षित भी होना चाहिए।
इसके अलावा, ध्यान रखें कि ब्रूट फोर्स अटैक केवल वेब एप्लिकेशन से संबंधित नहीं है, डेस्कटॉप सॉफ्टवेयर भी इसके लिए कमजोर है।
मुझे उम्मीद है कि यह भविष्यवाणियाँ पर्याप्त हैं और अब मैं इस मुद्दे पर आता हूँ। यदि आपने अभी तक सोचा है कि आप इस लेख के विषय के बारे में पढ़ रहे हैं, तो कृपया मेरी माफी स्वीकार करें। हालाँकि मैंने सॉफ्टवेयर सुरक्षा और इसकी प्रमुख चिंताओं के बारे में संक्षेप में बताया है, मेरा विषय 'सुरक्षा परीक्षण' है।
अनुशंसित पढ़ना => वेब अनुप्रयोग सुरक्षा परीक्षण
अब मैं समझाता हूं कि सॉफ्टवेयर एप्लिकेशन में सुरक्षा की विशेषताएं कैसे लागू की जाती हैं और इनका परीक्षण कैसे किया जाना चाहिए। मेरा ध्यान व्हाट्सएप और व्हाट्स ऑफ सिक्योरिटी टेस्टिंग पर होगा, सिक्योरिटी का नहीं।
अनुशंसित सुरक्षा परीक्षण उपकरण
(1) नेट पार्कर
नेटस्केप सभी प्रकार की विरासत और HTML5, वेब 2.0 और सिंगल पेज एप्लिकेशन जैसे आधुनिक वेब अनुप्रयोगों के लिए स्वचालित क्रॉलिंग और स्कैनिंग की क्षमताओं के साथ एक वेब एप्लिकेशन सुरक्षा परीक्षण समाधान है। यह प्रूफ-आधारित स्कैनिंग टेक्नोलॉजी और स्केलेबल स्कैनिंग एजेंटों का उपयोग करता है।
आपके पास प्रबंधन करने के लिए बड़ी संख्या में संपत्ति होने के बावजूद यह आपको पूर्ण दृश्यता देता है। इसमें टीम प्रबंधन और भेद्यता प्रबंधन जैसे कई और कार्य हैं। इसे CI / CD प्लेटफॉर्म जैसे जेनकिंस, टीमसिटी या बैंबू में एकीकृत किया जा सकता है।
=> सबसे अच्छा Netsparker सुरक्षा परीक्षण उपकरण का प्रयास करें#दो) किउवन
एसडीएलसी के प्रत्येक चरण में अपने कोड में कमजोरियों को ढूंढें और ठीक करें।
किउवन OWASP, CWE, SANS 25, HIPPA, और अधिक सहित सबसे कड़े सुरक्षा मानकों का अनुपालन करता है। विकास के दौरान त्वरित प्रतिक्रिया के लिए अपनी आईडीई में किउवान को एकीकृत करें। Kiuwan सभी प्रमुख प्रोग्रामिंग भाषाओं का समर्थन करता है और प्रमुख DevOps टूल के साथ एकीकृत करता है।
=> अपने कोड को मुफ्त में स्कैन करें# 3) इंडसफेस WAS फ्री वेबसाइट मालवेयर चेक
इंडसफेस WAS OWASP शीर्ष 10 पर आधारित कमजोरियों का पता लगाने और रिपोर्ट करने वाली अपनी स्वचालित वेब एप्लिकेशन भेद्यता स्कैनर के साथ बंडल किए गए दोनों मैनुअल पेनेट्रेशन परीक्षण प्रदान करता है और हर स्कैन में वेबसाइट की लिंक, मैलवेयर और विक्षेपण जाँच की वेबसाइट प्रतिष्ठा जाँच भी शामिल है।
=> मुफ्त के लिए एक त्वरित वेबसाइट स्कैन चलाएं
=> संपर्क करें यहाँ एक सूची का सुझाव देने के लिए।
शीर्ष 8 सुरक्षा परीक्षण तकनीकों की सूची
(1) आवेदन करने के लिए प्रवेश
चाहे वह डेस्कटॉप एप्लिकेशन हो या वेबसाइट, एक्सेस सिक्योरिटी द्वारा इसे लागू किया जाता है 'भूमिका और अधिकार प्रबंधन' यह अक्सर कार्यक्षमता को कवर करते समय अंतर्निहित रूप से किया जाता है,
उदाहरण के लिए, एक अस्पताल प्रबंधन प्रणाली में, एक रिसेप्शनिस्ट प्रयोगशाला परीक्षणों के बारे में कम से कम चिंतित है क्योंकि उसका काम केवल मरीजों को पंजीकृत करना और डॉक्टरों के साथ उनकी नियुक्तियों को निर्धारित करना है।
इसलिए, प्रयोगशाला परीक्षणों से संबंधित सभी मेनू, प्रपत्र और स्क्रीन ception रिसेप्शनिस्ट ’की भूमिका के लिए उपलब्ध नहीं होंगे। इसलिए, भूमिकाओं और अधिकारों के समुचित क्रियान्वयन की सुरक्षा की गारंटी होगी।
कैसे करें टेस्ट: इसका परीक्षण करने के लिए, सभी भूमिकाओं और अधिकारों का गहन परीक्षण किया जाना चाहिए।
परीक्षक को अलग-अलग और कई भूमिकाओं के साथ कई उपयोगकर्ता खाते बनाने चाहिए। फिर उसे इन खातों की मदद से एप्लिकेशन का उपयोग करना चाहिए और यह सत्यापित करना चाहिए कि प्रत्येक भूमिका की पहुंच अपने स्वयं के मॉड्यूल, स्क्रीन, फॉर्म और मेनू तक ही है। यदि परीक्षक को कोई विरोधाभास मिलता है, तो उसे पूर्ण विश्वास के साथ एक सुरक्षा समस्या दर्ज करनी चाहिए।
इसे प्रमाणीकरण और प्राधिकरण परीक्षण के रूप में भी समझा जा सकता है जो नीचे की छवि में बहुत खूबसूरती से चित्रित किया गया है:
इसलिए, मूल रूप से, आपको अलग-अलग उपयोगकर्ताओं के लिए 'आप कौन हैं' और 'आप क्या कर सकते हैं' के बारे में परीक्षण करने की आवश्यकता है।
प्रमाणीकरण परीक्षणों में से कुछ में पासवर्ड गुणवत्ता नियमों के लिए एक परीक्षण, डिफ़ॉल्ट लॉगिन के लिए परीक्षण, पासवर्ड रिकवरी के लिए परीक्षण, कैप्चा, लॉगआउट कार्यक्षमता के लिए परीक्षण, पासवर्ड परिवर्तन के लिए परीक्षण, सुरक्षा प्रश्न / उत्तर के लिए परीक्षण आदि शामिल हैं।
इसी तरह, कुछ प्राधिकरण परीक्षणों में पथ ट्रावर्सल के लिए एक परीक्षण, लापता प्राधिकरण के लिए परीक्षण, क्षैतिज अभिगम नियंत्रण समस्याओं के लिए परीक्षण आदि शामिल हैं।
# 2) डेटा सुरक्षा
डेटा सुरक्षा के तीन पहलू हैं। पहला जो है एक उपयोगकर्ता केवल उस डेटा को देख या उपयोग कर सकता है जिसे वह उपयोग करना चाहता है । यह भूमिकाओं और अधिकारों द्वारा भी सुनिश्चित किया जाता है
उदाहरण के लिए, किसी कंपनी का TSR (टेलिसलेस प्रतिनिधि) उपलब्ध स्टॉक के डेटा को देख सकता है, लेकिन यह नहीं देख सकता है कि उत्पादन के लिए कितना कच्चा माल खरीदा गया था।
तो, सुरक्षा परीक्षण का यह पहलू पहले से ही ऊपर बताया गया है। डेटा सुरक्षा का दूसरा पहलू किससे संबंधित है? उस डेटा को DB में कैसे संग्रहीत किया जाता है ।
आगे पढ़ना = >> डेटाबेस सुरक्षा परीक्षण क्या है
इसे सुरक्षित बनाने के लिए सभी संवेदनशील डेटा को एन्क्रिप्ट किया जाना चाहिए। एन्क्रिप्शन मजबूत होना चाहिए, विशेष रूप से संवेदनशील डेटा जैसे उपयोगकर्ता खातों के पासवर्ड, क्रेडिट कार्ड नंबर या अन्य व्यावसायिक-महत्वपूर्ण जानकारी के लिए।
तीसरा और अंतिम पहलू इस दूसरे पहलू का विस्तार है। संवेदनशील या व्यावसायिक-महत्वपूर्ण डेटा का प्रवाह होने पर उचित सुरक्षा उपायों को अपनाना चाहिए। क्या यह डेटा एक ही एप्लिकेशन के विभिन्न मॉड्यूलों के बीच तैरता है या अलग-अलग अनुप्रयोगों में प्रसारित होता है, इसे सुरक्षित रखने के लिए इसे एन्क्रिप्ट किया जाना चाहिए।
डेटा सुरक्षा का परीक्षण कैसे करें: परीक्षक को उपयोगकर्ता खाते के ’पासवर्ड’ के लिए डेटाबेस की क्वेरी करनी चाहिए, ग्राहकों की बिलिंग जानकारी, अन्य व्यापार-महत्वपूर्ण और संवेदनशील डेटा और यह सत्यापित करना चाहिए कि ऐसे सभी डेटा को डीबी में एन्क्रिप्टेड रूप में सहेजा गया है।
इसी तरह, उसे यह सत्यापित करना होगा कि डेटा केवल उचित एन्क्रिप्शन के बाद विभिन्न रूपों या स्क्रीन के बीच प्रसारित होता है। इसके अलावा, परीक्षक को यह सुनिश्चित करना चाहिए कि गंतव्य पर एन्क्रिप्टेड डेटा को ठीक से डिक्रिप्ट किया गया है। विभिन्न 'सबमिट' क्रियाओं पर विशेष ध्यान दिया जाना चाहिए।
परीक्षक को यह सत्यापित करना होगा कि जब ग्राहक और सर्वर के बीच सूचना प्रसारित की जा रही है, तो यह वेब ब्राउज़र के एड्रेस बार में समझने योग्य प्रारूप में प्रदर्शित नहीं होता है। यदि इनमें से कोई भी सत्यापन विफल हो जाता है, तो निश्चित रूप से आवेदन में सुरक्षा दोष है।
परीक्षक को सैल्टिंग के उचित उपयोग के लिए भी जांच करनी चाहिए (पासवर्ड की तरह अंतिम इनपुट के लिए एक अतिरिक्त गुप्त मूल्य जोड़ना और इस तरह इसे और अधिक मजबूत और क्रैक किया जाना कठिन है)।
असुरक्षित यादृच्छिकता का भी परीक्षण किया जाना चाहिए क्योंकि यह एक प्रकार की भेद्यता है। डेटा सुरक्षा का परीक्षण करने का एक और तरीका कमजोर एल्गोरिदम के उपयोग की जांच करना है।
उदाहरण के लिए, चूंकि HTTP एक स्पष्ट पाठ प्रोटोकॉल है, यदि उपयोगकर्ता क्रेडेंशियल जैसे संवेदनशील डेटा HTTP के माध्यम से प्रेषित होते हैं, तो यह अनुप्रयोग सुरक्षा के लिए खतरा है। HTTP के बजाय, संवेदनशील डेटा को HTTPS (SSL, TLS सुरंग के माध्यम से सुरक्षित) के माध्यम से स्थानांतरित किया जाना चाहिए।
हालांकि, HTTPS हमले की सतह को बढ़ाता है और इस तरह यह परीक्षण किया जाना चाहिए कि सर्वर कॉन्फ़िगरेशन उचित हैं और प्रमाणपत्र वैधता सुनिश्चित है।
# 3) ब्रूट-फोर्स अटैक
ब्रूट फोर्स अटैक ज्यादातर कुछ सॉफ्टवेयर टूल्स द्वारा किया जाता है। अवधारणा यह है कि मान्य उपयोगकर्ता आईडी का उपयोग करके, एस बार-बार लॉग इन करने की कोशिश करके संबंधित पासवर्ड का अनुमान लगाने का प्रयास करता है।
इस तरह के हमले के खिलाफ सुरक्षा का एक सरल उदाहरण थोड़े समय के लिए खाता निलंबन है, क्योंकि सभी मेलिंग एप्लिकेशन जैसे ‘याहू’, ’जीमेल’ और mail हॉटमेल ’करते हैं। यदि लगातार प्रयासों की एक विशिष्ट संख्या (ज्यादातर 3) सफलतापूर्वक लॉग इन करने में विफल रहती है, तो उस खाते को कुछ समय (30 मिनट से 24 बजे) के लिए अवरुद्ध कर दिया जाता है।
सी ++ परिपत्र से जुड़ी सूची
Brute-Force Attack का परीक्षण कैसे करें: परीक्षक को यह सत्यापित करना होगा कि खाता निलंबन का कुछ तंत्र उपलब्ध है और सही तरीके से काम कर रहा है। (एस) उसे अवैध उपयोगकर्ता आईडी और पासवर्ड के साथ वैकल्पिक रूप से लॉगिन करने का प्रयास करना चाहिए ताकि यह सुनिश्चित हो सके कि सॉफ्टवेयर एप्लिकेशन खातों को ब्लॉक कर देता है यदि अवैध क्रेडेंशियल्स के साथ लॉगिन करने के लिए निरंतर प्रयास किए जाते हैं।
यदि एप्लिकेशन ऐसा कर रहा है, तो यह brute-force attack के खिलाफ सुरक्षित है। अन्यथा, यह सुरक्षा भेद्यता परीक्षक द्वारा रिपोर्ट की जानी चाहिए।
ब्रूट बल के परीक्षण को भी दो भागों में विभाजित किया जा सकता है - ब्लैक बॉक्स परीक्षण और ग्रे-बॉक्स परीक्षण।
ब्लैक बॉक्स परीक्षण में, एप्लिकेशन द्वारा नियोजित प्रमाणीकरण विधि की खोज और परीक्षण किया जाता है। इसके अलावा, ग्रे बॉक्स परीक्षण पासवर्ड और खाता विवरण और मेमोरी ट्रेड-ऑफ हमलों के आंशिक ज्ञान पर आधारित है।
क्लिक यहां उदाहरण के साथ ब्लैक बॉक्स और ग्रे बॉक्स ब्रूट बल परीक्षण का पता लगाने के लिए।
उपरोक्त तीन सुरक्षा पहलुओं को वेब और डेस्कटॉप दोनों अनुप्रयोगों के लिए ध्यान में रखा जाना चाहिए, जबकि निम्नलिखित बिंदु केवल वेब-आधारित अनुप्रयोगों से संबंधित हैं।
# 4) एसक्यूएल इंजेक्शन और एक्सएसएस (क्रॉस-साइट स्क्रिप्टिंग)
वैचारिक रूप से, इन दोनों हैकिंग प्रयासों का विषय समान है, इसलिए इन पर एक साथ चर्चा की गई है। इस दृष्टिकोण में, किसी वेबसाइट में हेरफेर करने के लिए हैकर्स द्वारा दुर्भावनापूर्ण स्क्रिप्ट का उपयोग किया जाता है ।
इस तरह के प्रयासों के खिलाफ प्रतिरक्षा के कई तरीके हैं। वेबसाइट के सभी इनपुट क्षेत्रों के लिए, किसी भी स्क्रिप्ट के इनपुट को प्रतिबंधित करने के लिए फ़ील्ड की लंबाई को काफी छोटा परिभाषित किया जाना चाहिए
इंटरव्यू में पूछे गए बेसिक जावा प्रोग्राम
उदाहरण के लिए, अंतिम नाम में 255 के बजाय फ़ील्ड की लंबाई 30 होनी चाहिए। कुछ इनपुट फ़ील्ड हो सकते हैं जहां बड़े डेटा इनपुट आवश्यक हैं, ऐसे क्षेत्रों के लिए इनपुट के उचित सत्यापन के लिए आवेदन में उस डेटा को सहेजने से पहले प्रदर्शन किया जाना चाहिए।
इसके अलावा, ऐसे क्षेत्रों में, किसी भी HTML टैग या स्क्रिप्ट टैग इनपुट को प्रतिबंधित किया जाना चाहिए। XSS हमलों को भड़काने के लिए, आवेदन को अज्ञात या अविश्वसनीय अनुप्रयोगों से स्क्रिप्ट रीडायरेक्ट को त्याग देना चाहिए।
हाउ तो SQL इंजेक्शन का परीक्षण करें और XSS: परीक्षक को यह सुनिश्चित करना चाहिए कि सभी इनपुट क्षेत्रों की अधिकतम लंबाई परिभाषित और कार्यान्वित की जाए। (एस) उसे यह भी सुनिश्चित करना चाहिए कि इनपुट फ़ील्ड की परिभाषित लंबाई किसी भी स्क्रिप्ट इनपुट और टैग इनपुट को समायोजित नहीं करती है। इन दोनों का आसानी से परीक्षण किया जा सकता है
उदाहरण के लिए, यदि 20 ’नाम’ क्षेत्र और इनपुट स्ट्रिंग के लिए निर्दिष्ट अधिकतम लंबाई है ”
thequickbrownfoxjumpsoverthelazydog ”इन दोनों बाधाओं को सत्यापित कर सकता है।
यह भी परीक्षक द्वारा सत्यापित किया जाना चाहिए कि एप्लिकेशन अनाम एक्सेस विधियों का समर्थन नहीं करता है। यदि इनमें से कोई भी भेद्यता मौजूद है, तो आवेदन खतरे में है।
मूल रूप से, SQL इंजेक्शन परीक्षण निम्नलिखित पांच तरीकों से किया जा सकता है:
- पता लगाने की तकनीक
- मानक एसक्यूएल इंजेक्शन तकनीक
- डेटाबेस को फ़िंगरप्रिंट करें
- तकनीकी शोषण
- एसक्यूएल इंजेक्शन हस्ताक्षर आक्रमण तकनीक
क्लिक यहां SQL इंजेक्शन का परीक्षण करने के उपरोक्त तरीकों के बारे में विस्तार से पढ़ने के लिए।
XSS भी एक प्रकार का इंजेक्शन है जो किसी वेबसाइट में दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करता है। क्लिक यहां XSS के परीक्षण के बारे में गहराई से जानने के लिए।
# 5) सेवा पहुंच बिंदु (सील और सुरक्षित खुला)
आज, व्यवसाय एक-दूसरे के साथ निर्भर और सहयोग करते हैं, वही विशेष रूप से वेबसाइटों के लिए अच्छा है। ऐसे मामले में, दोनों सहयोगियों को एक दूसरे के लिए कुछ पहुंच बिंदुओं को परिभाषित और प्रकाशित करना चाहिए।
अब तक परिदृश्य काफी सरल और सीधा लगता है लेकिन, स्टॉक ट्रेडिंग जैसे कुछ वेब-आधारित उत्पादों के लिए, चीजें इतनी सरल और आसान नहीं हैं।
जब लक्षित दर्शकों की एक बड़ी संख्या होती है, तो सभी उपयोगकर्ताओं की सुविधा के लिए, सभी उपयोगकर्ताओं के अनुरोधों को पूरा करने और किसी भी सुरक्षा-परीक्षण का सामना करने के लिए पर्याप्त रूप से सुरक्षित करने के लिए एक्सेस पॉइंट पर्याप्त होना चाहिए।
सेवा की पहुँच बिंदुओं का परीक्षण कैसे करें: मुझे इसके साथ समझाइए उदाहरण स्टॉक ट्रेडिंग वेब एप्लिकेशन; एक निवेशक (जो शेयरों को खरीदना चाहता है) को स्टॉक की कीमतों पर वर्तमान और ऐतिहासिक डेटा तक पहुंच होनी चाहिए। उपयोगकर्ता को इस ऐतिहासिक डेटा को डाउनलोड करने की सुविधा दी जानी चाहिए। यह मांग करता है कि आवेदन पर्याप्त खुला होना चाहिए।
समायोजित करने और सुरक्षित करने से मेरा मतलब है कि आवेदन को निवेशकों को स्वतंत्र रूप से व्यापार करने की सुविधा प्रदान करनी चाहिए (विधायी नियमों के तहत)। वे 24/7 खरीद या बिक्री कर सकते हैं और लेनदेन का डेटा किसी भी हैकिंग हमले के लिए प्रतिरक्षा होना चाहिए।
इसके अलावा, बड़ी संख्या में उपयोगकर्ता एक साथ आवेदन के साथ बातचीत करेंगे, इसलिए आवेदन को सभी उपयोगकर्ताओं के मनोरंजन के लिए पर्याप्त पहुंच बिंदु प्रदान करना चाहिए।
कुछ मामलों में, ये अनचाहे एप्लिकेशन या लोगों के लिए एक्सेस पॉइंट को सील किया जा सकता है । यह एप्लिकेशन और उसके उपयोगकर्ताओं के व्यावसायिक डोमेन पर निर्भर करता है,
उदाहरण के लिए, एक कस्टम वेब-आधारित ऑफिस मैनेजमेंट सिस्टम आईपी एड्रेस के आधार पर अपने उपयोगकर्ताओं को पहचान सकता है और अन्य सभी सिस्टम (एप्लिकेशन) के साथ एक कनेक्शन स्थापित करने से इनकार करता है जो उस एप्लिकेशन के लिए मान्य आईपी की श्रेणी में नहीं आते हैं।
परीक्षक को यह सुनिश्चित करना चाहिए कि सभी इंटर-नेटवर्क और इंट्रा-नेटवर्क एक्सेस आवेदन विश्वसनीय अनुप्रयोगों, मशीनों (आईपी) और उपयोगकर्ताओं द्वारा किया जाता है।
यह सत्यापित करने के लिए कि एक खुला पहुंच बिंदु पर्याप्त सुरक्षित है, परीक्षक को अलग-अलग मशीनों से इसे एक्सेस करने का प्रयास करना चाहिए, जिसमें दोनों विश्वसनीय और अविश्वसनीय आईपी पते हैं। आवेदन के प्रदर्शन में अच्छा विश्वास रखने के लिए विभिन्न प्रकार के वास्तविक समय के लेनदेन को एक बल्क में करने की कोशिश की जानी चाहिए। ऐसा करने से, एप्लिकेशन के एक्सेस पॉइंट की क्षमता भी स्पष्ट रूप से देखी जा सकेगी।
परीक्षक को यह सुनिश्चित करना चाहिए कि एप्लिकेशन विश्वसनीय IPs और एप्लिकेशन से सभी संचार अनुरोधों का मनोरंजन करता है, जबकि अन्य सभी अनुरोध अस्वीकार किए जाते हैं।
इसी तरह, यदि एप्लिकेशन में कुछ ओपन एक्सेस प्वाइंट हैं, तो परीक्षक को यह सुनिश्चित करना चाहिए कि यह उपयोगकर्ताओं को सुरक्षित तरीके से डेटा अपलोड करने की अनुमति देता है (यदि आवश्यक हो)। इस सुरक्षित तरीके से, मेरा मतलब फ़ाइल आकार सीमा, फ़ाइल प्रकार प्रतिबंध और वायरस या अन्य सुरक्षा खतरों के लिए अपलोड की गई फ़ाइल की स्कैनिंग के बारे में है।
यह सब कैसे एक परीक्षक अपने पहुंच बिंदुओं के संबंध में एक आवेदन की सुरक्षा को सत्यापित कर सकता है।
# 6) सत्र प्रबंधन
एक वेब सत्र उसी उपयोगकर्ता के साथ जुड़े HTTP अनुरोध और प्रतिक्रिया लेनदेन का एक क्रम है। सत्र प्रबंधन परीक्षण जाँचता है कि वेब ऐप में सत्र प्रबंधन कैसे संभाला जाता है।
आप सत्र समाप्ति के लिए विशेष निष्क्रिय समय, अधिकतम जीवनकाल के बाद सत्र समाप्ति, लॉग आउट के बाद सत्र समाप्ति के लिए परीक्षण कर सकते हैं, सत्र कुकी गुंजाइश और अवधि की जांच कर सकते हैं, परीक्षण यदि एक उपयोगकर्ता के एक से अधिक सत्र हो सकते हैं, आदि।
# 7) हैंडलिंग में त्रुटि
त्रुटि से निपटने के लिए परीक्षण में शामिल हैं:
त्रुटि कोड के लिए जाँच करें : उदाहरण के लिए, परीक्षण 408 अनुरोध टाइम-आउट, 400 खराब अनुरोध, 404 नहीं मिला, आदि। इनका परीक्षण करने के लिए, आपको पृष्ठ पर कुछ अनुरोध करने की आवश्यकता है जैसे कि ये त्रुटि कोड वापस आ जाते हैं।
त्रुटि कोड एक विस्तृत संदेश के साथ लौटाए जाते हैं। इन संदेशों में कोई भी महत्वपूर्ण जानकारी नहीं होनी चाहिए जिसका उपयोग हैकिंग उद्देश्य के लिए किया जा सकता है
स्टैक के निशान की जाँच करें : इसमें मूल रूप से एप्लिकेशन के लिए कुछ असाधारण इनपुट देना शामिल है जैसे कि दिए गए त्रुटि संदेश में स्टैक के निशान होते हैं जिनमें हैकर्स के लिए दिलचस्प जानकारी होती है।
# 8) विशिष्ट जोखिम भरा कार्य
मुख्य रूप से, दो जोखिम भरे कार्य हैं भुगतान तथा फ़ाइल अपलोड । इन कार्यों को बहुत अच्छी तरह से परीक्षण किया जाना चाहिए। फ़ाइल अपलोड के लिए, आपको प्राथमिक रूप से परीक्षण करना होगा कि कोई अवांछित या दुर्भावनापूर्ण फ़ाइल अपलोड प्रतिबंधित है।
भुगतान के लिए, आपको मुख्य रूप से इंजेक्शन कमजोरियों, असुरक्षित क्रिप्टोग्राफिक स्टोरेज, बफर ओवरफ्लो, पासवर्ड अनुमान आदि के लिए परीक्षण करना होगा।
=> संपर्क करें यहाँ एक सूची का सुझाव देने के लिए।अग्रिम पठन:
- वेब अनुप्रयोगों की सुरक्षा परीक्षण
- शीर्ष 30 सुरक्षा परीक्षण साक्षात्कार प्रश्न
- अंतर SAST / DAST / IAST / RASP के बीच
- SANS Top 20 Security Vulnerabilities
अनुशंसित पाठ
- वेब अनुप्रयोग सुरक्षा परीक्षण गाइड
- अल्फा परीक्षण और बीटा परीक्षण (एक पूर्ण गाइड)
- ETL परीक्षण डेटा वेयरहाउस परीक्षण ट्यूटोरियल (एक पूर्ण गाइड)
- नेटवर्क सुरक्षा परीक्षण और सर्वश्रेष्ठ नेटवर्क सुरक्षा उपकरण
- वेब एप्लीकेशन पेनेट्रेशन टेस्टिंग के लिए शुरुआती गाइड
- वेरिफिकेशन टेस्टिंग (बीवीटी टेस्टिंग) कम्प्लीट गाइड बनाएं
- कार्यात्मक परीक्षण बनाम गैर-कार्यात्मक परीक्षण
- नमूना परीक्षण मामलों के साथ एक पूर्ण प्रवेश परीक्षण गाइड