بررسی کنید که آیا کاربران با سطوح دسترسی مختلف تنها به قسمتهای مجاز نرمافزار دسترسی دارند یا خیر. تست کنید که کاربران با سطح دسترسی پایین نمیتوانند به بخشهای حساس سیستم دسترسی داشته باشند.
2. تست تزریق SQL
سعی کنید ورودیهایی را با کدهای SQL به نرمافزار وارد کنید و بررسی کنید که آیا نرمافزار در برابر این نوع حملات مقاوم است یا خیر.
3. تست تزریق کدهای جاوااسکریپت (XSS)
تست کنید که آیا کاربران میتوانند کدهای مخرب جاوااسکریپت را از طریق فیلدهای ورودی به سیستم تزریق کنند یا خیر و تأثیر آن را بررسی کنید.
4. تست احراز هویت دو مرحلهای (2FA)
بررسی کنید که آیا سیستم احراز هویت دو مرحلهای دارد و آیا به درستی پیادهسازی شده است یا خیر.
5. تست مدیریت نشست (Session Management)
بررسی کنید که آیا نشستهای کاربری (Session Tokens) به درستی مدیریت میشوند و آیا پس از خروج کاربر از سیستم، نشست به درستی پایان مییابد یا خیر.
6. تست سرریز بافر (Buffer Overflow)
تلاش کنید تا با وارد کردن دادههای حجیم و غیرمنتظره، سرریز بافر ایجاد کنید و رفتار نرمافزار را در برابر این حمله بررسی کنید.
7. تست رمزگذاری دادهها در پایگاه داده
بررسی کنید که آیا دادههای حساس مانند رمزهای عبور و اطلاعات شخصی به صورت رمزگذاری شده در پایگاه داده ذخیره میشوند یا خیر.
8. تست رمزگذاری دادهها در حین انتقال (Data in Transit)
بررسی کنید که آیا اطلاعات حساس در هنگام انتقال بین کاربر و سرور (مثلاً از طریق API) به درستی رمزگذاری شدهاند یا خیر.
9. تست جلوگیری از حملات Brute Force
بررسی کنید که آیا سیستم به تعداد معینی تلاش برای ورود ناموفق حساس است و دسترسی به حساب را پس از چند تلاش ناموفق محدود میکند.
10. تست آسیبپذیریهای API
بررسی کنید که آیا APIها به درستی ایمنسازی شدهاند و آیا کاربران غیرمجاز نمیتوانند از طریق API به اطلاعات حساس دسترسی پیدا کنند.
11. تست حملات CSRF (Cross-Site Request Forgery)
تست کنید که آیا سیستم در برابر حملات CSRF که کاربر را بدون اطلاع او به انجام عملیات ناخواسته مجبور میکند، محافظت میشود یا خیر.
12. تست ثبت رخدادها (Logging)
بررسی کنید که آیا سیستم بهطور مناسب عملیاتهای امنیتی و ورود به سیستمها را ثبت میکند و این لاگها به درستی مدیریت میشوند.
13. تست محدودیت نرخ (Rate Limiting)
بررسی کنید که آیا سیستم در برابر درخواستهای متعدد از یک منبع مشابه مقاوم است و محدودیت نرخ را پیادهسازی کرده است یا خیر.
14. تست امنیت رمزهای عبور
بررسی کنید که آیا رمزهای عبور کاربران بهدرستی هش میشوند و سیستم پیچیدگی رمزهای عبور را بررسی میکند یا خیر.
15. تست حملات مهندسی اجتماعی (Phishing)
بررسی کنید که آیا سیستم از فیشینگ یا حملات مشابه مهندسی اجتماعی در برابر کاربران محافظت میکند یا خیر.
16. تست امنیت فایلهای آپلود شده
بررسی کنید که آیا سیستم بهدرستی فایلهای آپلود شده توسط کاربران را بررسی میکند و از آپلود فایلهای مخرب جلوگیری میکند یا خیر.
17. تست جلوگیری از تغییر URL
بررسی کنید که آیا تغییر دستی پارامترهای URL میتواند به دادههای غیرمجاز یا بخشهای غیرمجاز سیستم دسترسی دهد یا خیر.
18. تست امنیت در برابر رباتها
بررسی کنید که آیا سیستم از CAPTCHA یا روشهای مشابه برای جلوگیری از سوءاستفاده رباتها استفاده میکند یا خیر.
19. تست حفاظت از دادههای PII (Personally Identifiable Information)
بررسی کنید که آیا سیستم دادههای شخصی قابل شناسایی (مانند شماره ملی، ایمیل و غیره) را بهدرستی محافظت میکند و آیا این دادهها طبق مقررات ذخیره و مدیریت میشوند.
20. تست امنیت نسخههای پشتیبان (Backup Security)
بررسی کنید که آیا نسخههای پشتیبان سیستم به درستی رمزگذاری شدهاند و دسترسی به آنها محدود شده است یا خیر.
برنامه نویس.42ساله. از مدرک MCSD دات نت سال 2002 شروع کردم البته بعد از لیسانس و تمام عمرم رو در مدیریت با ابزار های شیرپوینت و MSPS و CRM و غیره گذراندم.https://zil.ink/sabert
