🔖 1. چک لیست تست امنیت برنامه کاربردی وب OWASP.
جمع آوری اطلاعات:
• سایت را به صورت دستی کاوش کنید.
• spider/crawl
برای محتوای از دست رفته یا پنهان.
• فایل هایی مانند robots.txt، sitemap.xml، .DS_Store را که محتوا را در معرض نمایش قرار می دهند، بررسی کنید.
• حافظه پنهان موتورهای جستجوی اصلی را برای سایت های قابل دسترس عموم بررسی کنید.
• تفاوت در محتوا را بر اساس User Agent بررسی کنید (به عنوان مثال، سایت های تلفن همراه، دسترسی به عنوان یک خزنده موتور جستجو).
• اثر انگشت برنامه های وب را انجام دهید.
• فناوری های مورد استفاده را شناسایی کنید.
• نقش های کاربر را شناسایی کنید.
• نقاط ورود برنامه را شناسایی کنید.
• کد سمت کلاینت را شناسایی کنید.
• چندین نسخه/کانال (مانند وب، وب تلفن همراه، برنامه تلفن همراه، خدمات وب) را شناسایی کنید.
• برنامه های میزبانی مشترک و برنامه های مرتبط را شناسایی کنید.
• همه نام هاست و پورت ها را شناسایی کنید.
• محتوای میزبانی شده شخص ثالث را شناسایی کنید.
مدیریت پیکربندی:
• URL
های کاربردی و مدیریتی که معمولا استفاده می شود را بررسی کنید.
• فایل های قدیمی، پشتیبان و بدون مرجع را بررسی کنید.
• روش های HTTP پشتیبانی شده و Cross Site Tracing (XST) را بررسی کنید.
• کنترل پسوند فایل را آزمایش کنید.
• هدرهای HTTP امنیتی را آزمایش کنید (مانند CSP، X-Frame-Options، HSTS).
• خطمشیها را آزمایش کنید (مثلاً فلش، سیلورلایت، روباتها).
• آزمایش داده های غیر تولیدی در محیط زنده و بالعکس.
• داده های حساس را در کد سمت سرویس گیرنده بررسی کنید (مانند کلیدهای API، اعتبارنامه).
انتقال ایمن:
• نسخه SSL، الگوریتم ها، طول کلید را بررسی کنید.
• اعتبار گواهی دیجیتال (مدت، امضا و CN) را بررسی کنید.
• اعتبارنامه هایی را که فقط از طریق HTTPS تحویل داده شده اند بررسی کنید.
• بررسی کنید که فرم ورود از طریق HTTPS تحویل داده شود.
• نشانههای جلسه را که فقط از طریق HTTPS تحویل داده میشوند، بررسی کنید.
• بررسی کنید که آیا HTTP Strict Transport Security (HSTS) در حال استفاده است یا خیر.
احراز هویت:
• تست برای شمارش کاربر.
• برای دور زدن احراز هویت تست کنید.
• برای محافظت در برابر bruteforce تست کنید.
• قوانین کیفیت رمز عبور را آزمایش کنید.
• عملکرد به یاد من را تست کنید.
• برای تکمیل خودکار روی فرم ها/ورودی رمز عبور تست کنید.
• بازنشانی و/یا بازیابی رمز عبور را آزمایش کنید.
• فرآیند تغییر رمز عبور را آزمایش کنید.
• تست CAPTCHA.
• احراز هویت چند عاملی را آزمایش کنید.
• تست حضور عملکرد خروج.
• برای مدیریت کش در HTTP آزمایش کنید (مثلاً Pragma، Expires، Max-age).
• برای ورود پیش فرض تست کنید.
• سابقه احراز هویت قابل دسترسی کاربر را تست کنید.
• اعلان خارج از کانال مربوط به قفل شدن حساب و تغییرات موفقیت آمیز رمز عبور را آزمایش کنید.
• برای احراز هویت ثابت در بین برنامه ها با طرح احراز هویت مشترک / SSO آزمایش کنید.
مدیریت جلسه:
• نحوه مدیریت جلسه در برنامه را تعیین کنید (به عنوان مثال، نشانه ها در کوکی ها، نشانه ها در URL).
• نشانههای جلسه را برای پرچمهای کوکی بررسی کنید (فقط http و ایمن).
• محدوده کوکی جلسه (مسیر و دامنه) را بررسی کنید.
• مدت زمان کوکی جلسه (انقضا و حداکثر سن) را بررسی کنید.
• پایان جلسه را پس از حداکثر طول عمر بررسی کنید.
• پایان جلسه را پس از وقفه نسبی بررسی کنید.
• پایان جلسه را پس از خروج بررسی کنید.
• تست کنید تا ببینید آیا کاربران می توانند چندین جلسه به طور همزمان داشته باشند.
• تست کوکی های جلسه برای تصادفی.
• تأیید کنید که نشانههای جلسه جدید در هنگام ورود به سیستم، تغییر نقش و خروج صادر میشوند.
• برای مدیریت جلسه ثابت در بین برنامه ها با مدیریت جلسه مشترک تست کنید.
• تست برای جلسه puzzling.
• تست CSRF و clickjacking.
#OWASP
@TryHackBox
جمع آوری اطلاعات:
• سایت را به صورت دستی کاوش کنید.
• spider/crawl
برای محتوای از دست رفته یا پنهان.
• فایل هایی مانند robots.txt، sitemap.xml، .DS_Store را که محتوا را در معرض نمایش قرار می دهند، بررسی کنید.
• حافظه پنهان موتورهای جستجوی اصلی را برای سایت های قابل دسترس عموم بررسی کنید.
• تفاوت در محتوا را بر اساس User Agent بررسی کنید (به عنوان مثال، سایت های تلفن همراه، دسترسی به عنوان یک خزنده موتور جستجو).
• اثر انگشت برنامه های وب را انجام دهید.
• فناوری های مورد استفاده را شناسایی کنید.
• نقش های کاربر را شناسایی کنید.
• نقاط ورود برنامه را شناسایی کنید.
• کد سمت کلاینت را شناسایی کنید.
• چندین نسخه/کانال (مانند وب، وب تلفن همراه، برنامه تلفن همراه، خدمات وب) را شناسایی کنید.
• برنامه های میزبانی مشترک و برنامه های مرتبط را شناسایی کنید.
• همه نام هاست و پورت ها را شناسایی کنید.
• محتوای میزبانی شده شخص ثالث را شناسایی کنید.
مدیریت پیکربندی:
• URL
های کاربردی و مدیریتی که معمولا استفاده می شود را بررسی کنید.
• فایل های قدیمی، پشتیبان و بدون مرجع را بررسی کنید.
• روش های HTTP پشتیبانی شده و Cross Site Tracing (XST) را بررسی کنید.
• کنترل پسوند فایل را آزمایش کنید.
• هدرهای HTTP امنیتی را آزمایش کنید (مانند CSP، X-Frame-Options، HSTS).
• خطمشیها را آزمایش کنید (مثلاً فلش، سیلورلایت، روباتها).
• آزمایش داده های غیر تولیدی در محیط زنده و بالعکس.
• داده های حساس را در کد سمت سرویس گیرنده بررسی کنید (مانند کلیدهای API، اعتبارنامه).
انتقال ایمن:
• نسخه SSL، الگوریتم ها، طول کلید را بررسی کنید.
• اعتبار گواهی دیجیتال (مدت، امضا و CN) را بررسی کنید.
• اعتبارنامه هایی را که فقط از طریق HTTPS تحویل داده شده اند بررسی کنید.
• بررسی کنید که فرم ورود از طریق HTTPS تحویل داده شود.
• نشانههای جلسه را که فقط از طریق HTTPS تحویل داده میشوند، بررسی کنید.
• بررسی کنید که آیا HTTP Strict Transport Security (HSTS) در حال استفاده است یا خیر.
احراز هویت:
• تست برای شمارش کاربر.
• برای دور زدن احراز هویت تست کنید.
• برای محافظت در برابر bruteforce تست کنید.
• قوانین کیفیت رمز عبور را آزمایش کنید.
• عملکرد به یاد من را تست کنید.
• برای تکمیل خودکار روی فرم ها/ورودی رمز عبور تست کنید.
• بازنشانی و/یا بازیابی رمز عبور را آزمایش کنید.
• فرآیند تغییر رمز عبور را آزمایش کنید.
• تست CAPTCHA.
• احراز هویت چند عاملی را آزمایش کنید.
• تست حضور عملکرد خروج.
• برای مدیریت کش در HTTP آزمایش کنید (مثلاً Pragma، Expires، Max-age).
• برای ورود پیش فرض تست کنید.
• سابقه احراز هویت قابل دسترسی کاربر را تست کنید.
• اعلان خارج از کانال مربوط به قفل شدن حساب و تغییرات موفقیت آمیز رمز عبور را آزمایش کنید.
• برای احراز هویت ثابت در بین برنامه ها با طرح احراز هویت مشترک / SSO آزمایش کنید.
مدیریت جلسه:
• نحوه مدیریت جلسه در برنامه را تعیین کنید (به عنوان مثال، نشانه ها در کوکی ها، نشانه ها در URL).
• نشانههای جلسه را برای پرچمهای کوکی بررسی کنید (فقط http و ایمن).
• محدوده کوکی جلسه (مسیر و دامنه) را بررسی کنید.
• مدت زمان کوکی جلسه (انقضا و حداکثر سن) را بررسی کنید.
• پایان جلسه را پس از حداکثر طول عمر بررسی کنید.
• پایان جلسه را پس از وقفه نسبی بررسی کنید.
• پایان جلسه را پس از خروج بررسی کنید.
• تست کنید تا ببینید آیا کاربران می توانند چندین جلسه به طور همزمان داشته باشند.
• تست کوکی های جلسه برای تصادفی.
• تأیید کنید که نشانههای جلسه جدید در هنگام ورود به سیستم، تغییر نقش و خروج صادر میشوند.
• برای مدیریت جلسه ثابت در بین برنامه ها با مدیریت جلسه مشترک تست کنید.
• تست برای جلسه puzzling.
• تست CSRF و clickjacking.
#OWASP
@TryHackBox
👍4
OWASP Amass
- ابزار تجزیه و تحلیل وب سایت
OWASP Amass
ابزاری است که برای خودکارسازی پروسس جمع آوری اطلاعات در مورد شبکه های تارگت به منظور تست نفوذ طراحی شده است.
— این ابزار طیف گسترده ای از توابع، از جمله جستجو برای زیر دامنه ها، جستجو برای هاست های فعال، تجزیه و تحلیل سوابق DNS و بیشتر ارائه می دهد.
#OWASP #Web
https://github.com/owasp-amass/amass
@TryHackBox
- ابزار تجزیه و تحلیل وب سایت
OWASP Amass
ابزاری است که برای خودکارسازی پروسس جمع آوری اطلاعات در مورد شبکه های تارگت به منظور تست نفوذ طراحی شده است.
— این ابزار طیف گسترده ای از توابع، از جمله جستجو برای زیر دامنه ها، جستجو برای هاست های فعال، تجزیه و تحلیل سوابق DNS و بیشتر ارائه می دهد.
#OWASP #Web
https://github.com/owasp-amass/amass
@TryHackBox
🛡 راهنمای نهایی تست امنیت وب (WSTG)
📚 معرفی یک مرجع بینظیر برای متخصصان امنیت:
Web Security Testing Guide (WSTG)
جامعترین راهنمای تست امنیت برنامههای تحت وب
✨ مشخصات کتاب:
- ناشر: OWASP Foundation 🏢
- سازمان منتشرکننده: Open Web Application Security Project
- نوع محتوا: راهنمای رایگان و متنباز
- بهروزرسانی: نسخه اخیر (v4.2)
🎯 چه چیزی داخلش پیدا میکنید:
✅ تست احراز هویت و مدیریت نشست
✅ تست کنترل دسترسی
✅ تست تزریق (SQLi, XSS, Command Injection)
✅ تست منطق کسبوکار
✅ تست امنیت API
✅ و دهها فصل تخصصی دیگر...
🚀 چرا WSTG رو دانلود کنم؟
- منبع رسمی OWASP معتبرترین مرجع جهانی
- پوشش کامل چرخه تست امنیتی
✍️نویسنده
@TryHackBox | The Chaos
#WSTG #WebSecurity #OWASP #SecurityTesting
#CyberSecurity
📚 معرفی یک مرجع بینظیر برای متخصصان امنیت:
Web Security Testing Guide (WSTG)
جامعترین راهنمای تست امنیت برنامههای تحت وب
✨ مشخصات کتاب:
- ناشر: OWASP Foundation 🏢
- سازمان منتشرکننده: Open Web Application Security Project
- نوع محتوا: راهنمای رایگان و متنباز
- بهروزرسانی: نسخه اخیر (v4.2)
🎯 چه چیزی داخلش پیدا میکنید:
✅ تست احراز هویت و مدیریت نشست
✅ تست کنترل دسترسی
✅ تست تزریق (SQLi, XSS, Command Injection)
✅ تست منطق کسبوکار
✅ تست امنیت API
✅ و دهها فصل تخصصی دیگر...
🚀 چرا WSTG رو دانلود کنم؟
- منبع رسمی OWASP معتبرترین مرجع جهانی
- پوشش کامل چرخه تست امنیتی
✍️نویسنده
@TryHackBox | The Chaos
#WSTG #WebSecurity #OWASP #SecurityTesting
#CyberSecurity
❤6👍3🤔2
OWASP TOP 10 2025.pdf
3.6 MB
📖 OWASP Top 10 (2025)
🔖 10 آسیبپذیری (ریسک) رایج و مهم در برنامههای تحتوب
@TryHackBox
#آسیب_پذیری #Owasp
🔖 10 آسیبپذیری (ریسک) رایج و مهم در برنامههای تحتوب
- A01:2025 Broken Access Control
- A02:2025 Security Misconfiguration
- A03:2025 Software Supply Chain Failures
- A04:2025 Cryptographic Failures
- A05:2025 Injection
- A06:2025 Insecure Design
- A07:2025 Authentication Failures
- A08:2025 Software or Data Integrity Failures
- A09:2025 Logging & Alerting Failures
- A10:2025 Mishandling of Exceptional Conditions
@TryHackBox
#آسیب_پذیری #Owasp
👍11❤1