صابر طباطبائی یزدی
صابر طباطبائی یزدی
خواندن ۳ دقیقه·۲ ماه پیش

انواع تست های امنیتی در نرم افزار ها

1. تست کنترل‌های دسترسی و مجوزها

  • بررسی کنید که آیا کاربران با سطوح دسترسی مختلف تنها به قسمت‌های مجاز نرم‌افزار دسترسی دارند یا خیر. تست کنید که کاربران با سطح دسترسی پایین نمی‌توانند به بخش‌های حساس سیستم دسترسی داشته باشند.

2. تست تزریق SQL

  • سعی کنید ورودی‌هایی را با کدهای SQL به نرم‌افزار وارد کنید و بررسی کنید که آیا نرم‌افزار در برابر این نوع حملات مقاوم است یا خیر.

3. تست تزریق کدهای جاوااسکریپت (XSS)

  • تست کنید که آیا کاربران می‌توانند کدهای مخرب جاوااسکریپت را از طریق فیلدهای ورودی به سیستم تزریق کنند یا خیر و تأثیر آن را بررسی کنید.


4. تست احراز هویت دو مرحله‌ای (2FA)

  • بررسی کنید که آیا سیستم احراز هویت دو مرحله‌ای دارد و آیا به درستی پیاده‌سازی شده است یا خیر.

5. تست مدیریت نشست (Session Management)

  • بررسی کنید که آیا نشست‌های کاربری (Session Tokens) به درستی مدیریت می‌شوند و آیا پس از خروج کاربر از سیستم، نشست به درستی پایان می‌یابد یا خیر.

6. تست سرریز بافر (Buffer Overflow)

  • تلاش کنید تا با وارد کردن داده‌های حجیم و غیرمنتظره، سرریز بافر ایجاد کنید و رفتار نرم‌افزار را در برابر این حمله بررسی کنید.

7. تست رمزگذاری داده‌ها در پایگاه داده

  • بررسی کنید که آیا داده‌های حساس مانند رمزهای عبور و اطلاعات شخصی به صورت رمزگذاری شده در پایگاه داده ذخیره می‌شوند یا خیر.

8. تست رمزگذاری داده‌ها در حین انتقال (Data in Transit)

  • بررسی کنید که آیا اطلاعات حساس در هنگام انتقال بین کاربر و سرور (مثلاً از طریق API) به درستی رمزگذاری شده‌اند یا خیر.

9. تست جلوگیری از حملات Brute Force

  • بررسی کنید که آیا سیستم به تعداد معینی تلاش برای ورود ناموفق حساس است و دسترسی به حساب را پس از چند تلاش ناموفق محدود می‌کند.

10. تست آسیب‌پذیری‌های API

  • بررسی کنید که آیا APIها به درستی ایمن‌سازی شده‌اند و آیا کاربران غیرمجاز نمی‌توانند از طریق API به اطلاعات حساس دسترسی پیدا کنند.

11. تست حملات CSRF (Cross-Site Request Forgery)

  • تست کنید که آیا سیستم در برابر حملات CSRF که کاربر را بدون اطلاع او به انجام عملیات ناخواسته مجبور می‌کند، محافظت می‌شود یا خیر.

12. تست ثبت رخدادها (Logging)

  • بررسی کنید که آیا سیستم به‌طور مناسب عملیات‌های امنیتی و ورود به سیستم‌ها را ثبت می‌کند و این لاگ‌ها به درستی مدیریت می‌شوند.

13. تست محدودیت نرخ (Rate Limiting)

  • بررسی کنید که آیا سیستم در برابر درخواست‌های متعدد از یک منبع مشابه مقاوم است و محدودیت نرخ را پیاده‌سازی کرده است یا خیر.

14. تست امنیت رمزهای عبور

  • بررسی کنید که آیا رمزهای عبور کاربران به‌درستی هش می‌شوند و سیستم پیچیدگی رمزهای عبور را بررسی می‌کند یا خیر.

15. تست حملات مهندسی اجتماعی (Phishing)

  • بررسی کنید که آیا سیستم از فیشینگ یا حملات مشابه مهندسی اجتماعی در برابر کاربران محافظت می‌کند یا خیر.

16. تست امنیت فایل‌های آپلود شده

  • بررسی کنید که آیا سیستم به‌درستی فایل‌های آپلود شده توسط کاربران را بررسی می‌کند و از آپلود فایل‌های مخرب جلوگیری می‌کند یا خیر.

17. تست جلوگیری از تغییر URL

  • بررسی کنید که آیا تغییر دستی پارامترهای URL می‌تواند به داده‌های غیرمجاز یا بخش‌های غیرمجاز سیستم دسترسی دهد یا خیر.

18. تست امنیت در برابر ربات‌ها

  • بررسی کنید که آیا سیستم از CAPTCHA یا روش‌های مشابه برای جلوگیری از سوءاستفاده ربات‌ها استفاده می‌کند یا خیر.

19. تست حفاظت از داده‌های PII (Personally Identifiable Information)

  • بررسی کنید که آیا سیستم داده‌های شخصی قابل شناسایی (مانند شماره ملی، ایمیل و غیره) را به‌درستی محافظت می‌کند و آیا این داده‌ها طبق مقررات ذخیره و مدیریت می‌شوند.

20. تست امنیت نسخه‌های پشتیبان (Backup Security)

  • بررسی کنید که آیا نسخه‌های پشتیبان سیستم به درستی رمزگذاری شده‌اند و دسترسی به آن‌ها محدود شده است یا خیر.
احراز هویتمهندسی اجتماعیتستتست نرم افزارsoftware testing
برنامه نویس.42ساله. از مدرک MCSD دات نت سال 2002 شروع کردم البته بعد از لیسانس و تمام عمرم رو در مدیریت با ابزار های شیرپوینت و MSPS و CRM و غیره گذراندم.https://zil.ink/sabert
شاید از این پست‌ها خوشتان بیاید