EITC/IS/WAPT ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਪੈਨੀਟ੍ਰੇਸ਼ਨ ਟੈਸਟਿੰਗ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਪੈਨੇਟ੍ਰੇਸ਼ਨ ਟੈਸਟਿੰਗ (ਵਾਈਟ ਹੈਕਿੰਗ) ਦੇ ਸਿਧਾਂਤਕ ਅਤੇ ਵਿਹਾਰਕ ਪਹਿਲੂਆਂ 'ਤੇ ਯੂਰਪੀਅਨ ਆਈਟੀ ਪ੍ਰਮਾਣੀਕਰਣ ਪ੍ਰੋਗਰਾਮ ਹੈ, ਜਿਸ ਵਿੱਚ ਵੈੱਬ ਸਾਈਟਾਂ ਦੇ ਸਪਾਈਡਰਿੰਗ, ਸਕੈਨਿੰਗ ਅਤੇ ਹਮਲੇ ਦੀਆਂ ਤਕਨੀਕਾਂ ਸਮੇਤ ਵਿਸ਼ੇਸ਼ ਪ੍ਰਵੇਸ਼ ਟੈਸਟਿੰਗ ਟੂਲਸ ਅਤੇ ਸੂਟ ਸ਼ਾਮਲ ਹਨ। .
EITC/IS/WAPT ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਪੈਨੀਟਰੇਸ਼ਨ ਟੈਸਟਿੰਗ ਦੇ ਪਾਠਕ੍ਰਮ ਵਿੱਚ ਬਰਪ ਸੂਟ, ਵੈੱਬ ਸਪ੍ਰਾਈਡਰਿੰਗ ਅਤੇ ਡੀਵੀਡਬਲਯੂਏ, ਬਰਪ ਸੂਟ ਨਾਲ ਬਰੂਟ ਫੋਰਸ ਟੈਸਟਿੰਗ, WAFW00F ਨਾਲ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਫਾਇਰਵਾਲ (ਡਬਲਯੂਏਐਫ) ਖੋਜ, ਟਾਰਗੇਟ ਸਕੋਪ ਅਤੇ ਸਪਾਈਡਰਿੰਗ, ਨਾਲ ਲੁਕੀਆਂ ਫਾਈਲਾਂ ਦੀ ਖੋਜ ਸ਼ਾਮਲ ਹੈ। ZAP, ਵਰਡਪਰੈਸ ਕਮਜ਼ੋਰੀ ਸਕੈਨਿੰਗ ਅਤੇ ਉਪਭੋਗਤਾ ਨਾਮ ਗਣਨਾ, ਲੋਡ ਬੈਲੇਂਸਰ ਸਕੈਨ, ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ, XSS - ਪ੍ਰਤੀਬਿੰਬਿਤ, ਸਟੋਰ ਕੀਤੇ ਅਤੇ DOM, ਪ੍ਰੌਕਸੀ ਹਮਲੇ, ZAP ਵਿੱਚ ਪ੍ਰੌਕਸੀ ਦੀ ਸੰਰਚਨਾ, ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਦੇ ਹਮਲੇ, DirBuster ਨਾਲ ਫਾਈਲ ਅਤੇ ਡਾਇਰੈਕਟਰੀ ਖੋਜ, ਵੈਬ ਅਟੈਕ ਅਭਿਆਸ , OWASP ਜੂਸ ਸ਼ੌਪ, CSRF - ਕਰਾਸ ਸਾਈਟ ਬੇਨਤੀ ਜਾਅਲਸਾਜ਼ੀ, ਕੂਕੀ ਕਲੈਕਸ਼ਨ ਅਤੇ ਰਿਵਰਸ ਇੰਜਨੀਅਰਿੰਗ, HTTP ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ - ਕੂਕੀ ਸਟੀਲਿੰਗ, SQL ਇੰਜੈਕਸ਼ਨ, DotDotPwn - ਡਾਇਰੈਕਟਰੀ ਟ੍ਰੈਵਰਸਲ ਫਜ਼ਿੰਗ, iframe ਇੰਜੈਕਸ਼ਨ ਅਤੇ HTML ਇੰਜੈਕਸ਼ਨ, ਹਾਰਟਬਲੀਡ ਸ਼ੋਸ਼ਣ - ਖੋਜ ਅਤੇ ਸ਼ੋਸ਼ਣ, ਕੋਡ ਪੀਐਚਪੀ. bWAPP - HTML ਇੰਜੈਕਸ਼ਨ, ਪ੍ਰਤੀਬਿੰਬਿਤ POST, Commix ਦੇ ਨਾਲ OS ਕਮਾਂਡ ਇੰਜੈਕਸ਼ਨ, ਸਰਵਰ-ਸਾਈਡ ਵਿੱਚ SSI ਇੰਜੈਕਸ਼ਨ, ਡੌਕਰ ਵਿੱਚ ਪੈਂਟੈਸਟਿੰਗ, ਓਵਰਦਵਾਇਰ ਸ਼ਾਮਲ ਹਨ ਨਟਾਸ, ਐਲਐਫਆਈ ਅਤੇ ਕਮਾਂਡ ਇੰਜੈਕਸ਼ਨ, ਪੈਨਟੇਸਟਿੰਗ ਲਈ ਗੂਗਲ ਹੈਕਿੰਗ, ਪ੍ਰਵੇਸ਼ ਜਾਂਚ ਲਈ ਗੂਗਲ ਡੋਰਕਸ, ਅਪਾਚੇ 2 ਮੋਡਸਿਕਿਉਰਿਟੀ, ਨਾਲ ਹੀ ਨਿਗਿਨੈਕਸ ਮੋਡਸਿਕਿਓਰਿਟੀ, ਹੇਠਾਂ ਦਿੱਤੇ ਢਾਂਚੇ ਦੇ ਅੰਦਰ, ਇਸ EITC ਸਰਟੀਫਿਕੇਸ਼ਨ ਲਈ ਇੱਕ ਸੰਦਰਭ ਵਜੋਂ ਵਿਆਪਕ ਵੀਡੀਓ ਡਾਇਡੈਕਟਿਕ ਸਮੱਗਰੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ।
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ (ਅਕਸਰ ਵੈੱਬ ਐਪਸੇਕ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ) ਵੈਬਸਾਈਟਾਂ ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਨ ਲਈ ਡਿਜ਼ਾਈਨ ਕਰਨ ਦੀ ਧਾਰਨਾ ਹੈ ਭਾਵੇਂ ਉਹਨਾਂ 'ਤੇ ਹਮਲਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਧਾਰਨਾ ਦੁਸ਼ਮਣ ਏਜੰਟਾਂ ਤੋਂ ਇਸਦੀਆਂ ਸੰਪਤੀਆਂ ਦੀ ਰੱਖਿਆ ਕਰਨ ਲਈ ਇੱਕ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਨੂੰ ਜੋੜ ਰਹੀ ਹੈ। ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ, ਜਿਵੇਂ ਕਿ ਸਾਰੇ ਸੌਫਟਵੇਅਰ, ਖਾਮੀਆਂ ਦਾ ਸ਼ਿਕਾਰ ਹਨ। ਇਹਨਾਂ ਵਿੱਚੋਂ ਕੁਝ ਖਾਮੀਆਂ ਅਸਲ ਕਮਜ਼ੋਰੀਆਂ ਹਨ ਜਿਨ੍ਹਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਕਾਰੋਬਾਰਾਂ ਲਈ ਖਤਰਾ ਪੈਦਾ ਕਰ ਸਕਦਾ ਹੈ। ਅਜਿਹੀਆਂ ਖਾਮੀਆਂ ਨੂੰ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਦੁਆਰਾ ਸੁਰੱਖਿਅਤ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਪਹੁੰਚਾਂ ਨੂੰ ਰੁਜ਼ਗਾਰ ਦੇਣਾ ਅਤੇ ਪੂਰੇ ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਜੀਵਨ ਚੱਕਰ (SDLC) ਦੌਰਾਨ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਕਿ ਡਿਜ਼ਾਈਨ ਦੀਆਂ ਖਾਮੀਆਂ ਅਤੇ ਲਾਗੂ ਕਰਨ ਦੇ ਮੁੱਦਿਆਂ ਨੂੰ ਹੱਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਔਨਲਾਈਨ ਪ੍ਰਵੇਸ਼ ਜਾਂਚ, ਜੋ ਮਾਹਿਰਾਂ ਦੁਆਰਾ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜੋ ਇੱਕ ਅਖੌਤੀ ਸਫੈਦ ਹੈਕਿੰਗ ਪਹੁੰਚ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਬੇਪਰਦ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦਾ ਉਦੇਸ਼ ਰੱਖਦੇ ਹਨ, ਉਚਿਤ ਬਚਾਅ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਇੱਕ ਜ਼ਰੂਰੀ ਅਭਿਆਸ ਹੈ।
ਇੱਕ ਵੈੱਬ ਪ੍ਰਵੇਸ਼ ਟੈਸਟ, ਜਿਸਨੂੰ ਵੈੱਬ ਪੈੱਨ ਟੈਸਟ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਸ਼ੋਸ਼ਣਯੋਗ ਖਾਮੀਆਂ ਨੂੰ ਲੱਭਣ ਲਈ ਇੱਕ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ 'ਤੇ ਇੱਕ ਸਾਈਬਰ ਹਮਲੇ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ। ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ (ਡਬਲਯੂਏਐਫ) ਦੇ ਸੰਦਰਭ ਵਿੱਚ ਇੱਕ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਫਾਇਰਵਾਲ ਨੂੰ ਪੂਰਕ ਕਰਨ ਲਈ ਪ੍ਰਵੇਸ਼ ਜਾਂਚ ਦੀ ਵਰਤੋਂ ਅਕਸਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਪੈਨ ਟੈਸਟਿੰਗ, ਆਮ ਤੌਰ 'ਤੇ, ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲੱਭਣ ਲਈ ਕਿਸੇ ਵੀ ਐਪਲੀਕੇਸ਼ਨ ਪ੍ਰਣਾਲੀਆਂ (ਜਿਵੇਂ ਕਿ API, ਫਰੰਟਐਂਡ/ਬੈਕਐਂਡ ਸਰਵਰ) ਨੂੰ ਘੁਸਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ, ਜਿਵੇਂ ਕਿ ਗੈਰ-ਸੈਨੀਟਾਈਜ਼ਡ ਇਨਪੁਟ ਜੋ ਕੋਡ ਇੰਜੈਕਸ਼ਨ ਹਮਲਿਆਂ ਲਈ ਕਮਜ਼ੋਰ ਹਨ।
ਔਨਲਾਈਨ ਪ੍ਰਵੇਸ਼ ਟੈਸਟ ਦੇ ਨਤੀਜਿਆਂ ਦੀ ਵਰਤੋਂ WAF ਸੁਰੱਖਿਆ ਨੀਤੀਆਂ ਨੂੰ ਸੰਰਚਿਤ ਕਰਨ ਅਤੇ ਖੋਜੀਆਂ ਗਈਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ।
ਪ੍ਰਵੇਸ਼ ਜਾਂਚ ਦੇ ਪੰਜ ਪੜਾਅ ਹਨ।
ਪੈਨ ਟੈਸਟਿੰਗ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਪੰਜ ਪੜਾਵਾਂ ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਹੈ।
- ਯੋਜਨਾਬੰਦੀ ਅਤੇ ਸਕਾਊਟਿੰਗ
ਇੱਕ ਟੈਸਟ ਦੇ ਦਾਇਰੇ ਅਤੇ ਟੀਚਿਆਂ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨਾ, ਜਿਸ ਵਿੱਚ ਸੰਬੋਧਿਤ ਕੀਤੇ ਜਾਣ ਵਾਲੇ ਸਿਸਟਮ ਅਤੇ ਟੈਸਟਿੰਗ ਵਿਧੀਆਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਣੀ ਹੈ, ਪਹਿਲਾ ਪੜਾਅ ਹੈ।
ਇੱਕ ਟੀਚਾ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸ ਦੀਆਂ ਸੰਭਾਵੀ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਬਿਹਤਰ ਸਮਝ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ, ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰੋ (ਉਦਾਹਰਨ ਲਈ, ਨੈਟਵਰਕ ਅਤੇ ਡੋਮੇਨ ਨਾਮ, ਮੇਲ ਸਰਵਰ)। - ਸਕੈਨਿੰਗ
ਅਗਲਾ ਪੜਾਅ ਇਹ ਪਤਾ ਲਗਾਉਣਾ ਹੈ ਕਿ ਟੀਚਾ ਐਪਲੀਕੇਸ਼ਨ ਵੱਖ-ਵੱਖ ਕਿਸਮਾਂ ਦੇ ਘੁਸਪੈਠ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ 'ਤੇ ਕਿਵੇਂ ਪ੍ਰਤੀਕਿਰਿਆ ਕਰੇਗੀ। ਇਹ ਆਮ ਤੌਰ 'ਤੇ ਹੇਠਾਂ ਦਿੱਤੇ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪੂਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ:
ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ - ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਕੋਡ ਦੀ ਜਾਂਚ ਕਰਨਾ ਇਹ ਅਨੁਮਾਨ ਲਗਾਉਣ ਲਈ ਕਿ ਜਦੋਂ ਇਹ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ ਤਾਂ ਇਹ ਕਿਵੇਂ ਵਿਵਹਾਰ ਕਰੇਗਾ। ਇੱਕ ਸਿੰਗਲ ਪਾਸ ਵਿੱਚ, ਇਹ ਟੂਲ ਪੂਰੇ ਕੋਡ ਨੂੰ ਸਕੈਨ ਕਰ ਸਕਦੇ ਹਨ।
ਡਾਇਨਾਮਿਕ ਵਿਸ਼ਲੇਸ਼ਣ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਕੋਡ ਦੀ ਜਾਂਚ ਕਰਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਹੈ ਜਦੋਂ ਇਹ ਕੰਮ ਕਰ ਰਿਹਾ ਹੁੰਦਾ ਹੈ। ਸਕੈਨਿੰਗ ਦਾ ਇਹ ਤਰੀਕਾ ਵਧੇਰੇ ਵਿਹਾਰਕ ਹੈ ਕਿਉਂਕਿ ਇਹ ਕਿਸੇ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ ਦਾ ਅਸਲ-ਸਮੇਂ ਦਾ ਦ੍ਰਿਸ਼ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। - ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨਾ
ਕਿਸੇ ਟੀਚੇ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ, ਇਹ ਕਦਮ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਹਮਲੇ ਜਿਵੇਂ ਕਿ ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ, SQL ਇੰਜੈਕਸ਼ਨ, ਅਤੇ ਬੈਕਡੋਰਸ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਕਮਜ਼ੋਰੀਆਂ ਨਾਲ ਹੋਣ ਵਾਲੇ ਨੁਕਸਾਨ ਨੂੰ ਸਮਝਣ ਲਈ, ਟੈਸਟਰ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾ ਕੇ, ਡੇਟਾ ਚੋਰੀ ਕਰਨ, ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੋਕ ਕੇ, ਆਦਿ ਦੁਆਰਾ ਉਹਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ। - ਪਹੁੰਚ ਰੱਖਣਾ
ਇਸ ਪੜਾਅ ਦਾ ਉਦੇਸ਼ ਇਹ ਮੁਲਾਂਕਣ ਕਰਨਾ ਹੈ ਕਿ ਕੀ ਕਮਜ਼ੋਰੀ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੀ ਪ੍ਰਣਾਲੀ ਵਿੱਚ ਇੱਕ ਲੰਬੇ ਸਮੇਂ ਦੀ ਮੌਜੂਦਗੀ ਸਥਾਪਤ ਕਰਨ ਲਈ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇੱਕ ਮਾੜੇ ਅਭਿਨੇਤਾ ਨੂੰ ਡੂੰਘਾਈ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਟੀਚਾ ਉੱਨਤ ਲਗਾਤਾਰ ਖਤਰਿਆਂ ਦੀ ਨਕਲ ਕਰਨਾ ਹੈ, ਜੋ ਕਿ ਕੰਪਨੀ ਦੀ ਸਭ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਲਈ ਮਹੀਨਿਆਂ ਲਈ ਸਿਸਟਮ ਵਿੱਚ ਰਹਿ ਸਕਦੇ ਹਨ। - ਵਿਸ਼ਲੇਸ਼ਣ
ਪ੍ਰਵੇਸ਼ ਟੈਸਟ ਦੇ ਨਤੀਜੇ ਫਿਰ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਰੱਖੇ ਜਾਂਦੇ ਹਨ ਜਿਸ ਵਿੱਚ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜਿਵੇਂ ਕਿ:
ਕਮਜ਼ੋਰੀਆਂ ਜਿਨ੍ਹਾਂ ਦਾ ਵਿਸਥਾਰ ਵਿੱਚ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਸੀ
ਪ੍ਰਾਪਤ ਕੀਤਾ ਗਿਆ ਡੇਟਾ ਸੰਵੇਦਨਸ਼ੀਲ ਸੀ
ਪੈਨ ਟੈਸਟਰ ਸਿਸਟਮ ਵਿੱਚ ਅਣਦੇਖਿਆ ਰਹਿਣ ਦੇ ਯੋਗ ਸੀ.
ਸੁਰੱਖਿਆ ਮਾਹਰ ਇਸ ਡੇਟਾ ਦੀ ਵਰਤੋਂ ਕਿਸੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਦੀਆਂ WAF ਸੈਟਿੰਗਾਂ ਅਤੇ ਹੋਰ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਹੱਲਾਂ ਨੂੰ ਸੰਰਚਿਤ ਕਰਨ ਵਿੱਚ ਸਹਾਇਤਾ ਕਰਨ ਲਈ ਕਰਦੇ ਹਨ ਤਾਂ ਜੋ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਪੈਚ ਕੀਤਾ ਜਾ ਸਕੇ ਅਤੇ ਹੋਰ ਹਮਲਿਆਂ ਨੂੰ ਰੋਕਿਆ ਜਾ ਸਕੇ।
ਪ੍ਰਵੇਸ਼ ਟੈਸਟਿੰਗ ਦੇ ਢੰਗ
- ਬਾਹਰੀ ਪ੍ਰਵੇਸ਼ ਟੈਸਟਿੰਗ ਇੱਕ ਫਰਮ ਦੀਆਂ ਸੰਪਤੀਆਂ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦੀ ਹੈ ਜੋ ਇੰਟਰਨੈਟ 'ਤੇ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ, ਜਿਵੇਂ ਕਿ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ, ਕੰਪਨੀ ਦੀ ਵੈੱਬਸਾਈਟ, ਨਾਲ ਹੀ ਈਮੇਲ ਅਤੇ ਡੋਮੇਨ ਨਾਮ ਸਰਵਰ (DNS)। ਉਦੇਸ਼ ਉਪਯੋਗੀ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਐਕਸਟਰੈਕਟ ਕਰਨਾ ਹੈ।
- ਅੰਦਰੂਨੀ ਟੈਸਟਿੰਗ ਵਿੱਚ ਇੱਕ ਟੈਸਟਰ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜਿਸ ਕੋਲ ਇੱਕ ਦੁਸ਼ਮਣ ਅੰਦਰੂਨੀ ਹਮਲੇ ਦੀ ਨਕਲ ਕਰਨ ਵਾਲੀ ਇੱਕ ਕੰਪਨੀ ਦੀ ਫਾਇਰਵਾਲ ਦੇ ਪਿੱਛੇ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਤੱਕ ਪਹੁੰਚ ਹੁੰਦੀ ਹੈ। ਇਹ ਇੱਕ ਠੱਗ ਕਰਮਚਾਰੀ ਸਿਮੂਲੇਸ਼ਨ ਜ਼ਰੂਰੀ ਨਹੀ ਹੈ. ਇੱਕ ਕਰਮਚਾਰੀ ਜਿਸਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇੱਕ ਫਿਸ਼ਿੰਗ ਕੋਸ਼ਿਸ਼ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਗਏ ਸਨ ਇੱਕ ਆਮ ਸ਼ੁਰੂਆਤੀ ਬਿੰਦੂ ਹੈ।
- ਬਲਾਇੰਡ ਟੈਸਟਿੰਗ ਉਦੋਂ ਹੁੰਦੀ ਹੈ ਜਦੋਂ ਇੱਕ ਟੈਸਟਰ ਨੂੰ ਸਿਰਫ਼ ਉਸ ਕੰਪਨੀ ਦਾ ਨਾਮ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਜਿਸਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ। ਇਹ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੂੰ ਇਹ ਦੇਖਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ ਕਿ ਅਸਲ ਸਮੇਂ ਵਿੱਚ ਇੱਕ ਅਸਲ ਐਪਲੀਕੇਸ਼ਨ ਹਮਲਾ ਕਿਵੇਂ ਹੋ ਸਕਦਾ ਹੈ।
- ਡਬਲ-ਬਲਾਈਂਡ ਟੈਸਟਿੰਗ: ਇੱਕ ਡਬਲ-ਬਲਾਈਂਡ ਟੈਸਟ ਵਿੱਚ, ਸੁਰੱਖਿਆ ਪੇਸ਼ੇਵਰ ਪਹਿਲਾਂ ਤੋਂ ਨਕਲੀ ਹਮਲੇ ਤੋਂ ਅਣਜਾਣ ਹੁੰਦੇ ਹਨ। ਉਹਨਾਂ ਕੋਲ ਅਸਲ ਸੰਸਾਰ ਦੀ ਤਰ੍ਹਾਂ, ਕਿਸੇ ਕੋਸ਼ਿਸ਼ ਦੀ ਉਲੰਘਣਾ ਤੋਂ ਪਹਿਲਾਂ ਆਪਣੇ ਕਿਲ੍ਹੇ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ ਸਮਾਂ ਨਹੀਂ ਹੋਵੇਗਾ।
- ਟਾਰਗੇਟਡ ਟੈਸਟਿੰਗ - ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਟੈਸਟਰ ਅਤੇ ਸੁਰੱਖਿਆ ਸਟਾਫ ਇੱਕ ਦੂਜੇ ਦੀਆਂ ਹਰਕਤਾਂ ਨੂੰ ਟਰੈਕ ਕਰਦੇ ਹਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਬਣਾਈ ਰੱਖਦੇ ਹਨ। ਇਹ ਇੱਕ ਸ਼ਾਨਦਾਰ ਸਿਖਲਾਈ ਅਭਿਆਸ ਹੈ ਜੋ ਇੱਕ ਸੁਰੱਖਿਆ ਟੀਮ ਨੂੰ ਇੱਕ ਹੈਕਰ ਦੇ ਨਜ਼ਰੀਏ ਤੋਂ ਅਸਲ-ਸਮੇਂ ਵਿੱਚ ਫੀਡਬੈਕ ਦਿੰਦਾ ਹੈ।
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਫਾਇਰਵਾਲ ਅਤੇ ਪ੍ਰਵੇਸ਼ ਟੈਸਟਿੰਗ
ਪ੍ਰਵੇਸ਼ ਟੈਸਟਿੰਗ ਅਤੇ WAFs ਦੋ ਵੱਖਰੀਆਂ ਪਰ ਪੂਰਕ ਸੁਰੱਖਿਆ ਤਕਨੀਕਾਂ ਹਨ। ਟੈਸਟਰ ਕਈ ਕਿਸਮਾਂ ਦੇ ਪੈੱਨ ਟੈਸਟਿੰਗ (ਅੰਨ੍ਹੇ ਅਤੇ ਡਬਲ ਬਲਾਈਂਡ ਟੈਸਟਾਂ ਦੇ ਅਪਵਾਦ ਦੇ ਨਾਲ) ਵਿੱਚ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਕਮਜ਼ੋਰ ਖੇਤਰਾਂ ਨੂੰ ਲੱਭਣ ਅਤੇ ਉਹਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ WAF ਡੇਟਾ, ਜਿਵੇਂ ਕਿ ਲੌਗਸ ਦਾ ਲਾਭ ਲੈਣ ਦੀ ਸੰਭਾਵਨਾ ਹੈ।
ਬਦਲੇ ਵਿੱਚ, ਪੈੱਨ ਟੈਸਟਿੰਗ ਡੇਟਾ WAF ਪ੍ਰਸ਼ਾਸਕਾਂ ਦੀ ਮਦਦ ਕਰ ਸਕਦਾ ਹੈ। ਇੱਕ ਟੈਸਟ ਦੇ ਪੂਰਾ ਹੋਣ ਤੋਂ ਬਾਅਦ, WAF ਸੰਰਚਨਾ ਨੂੰ ਟੈਸਟ ਦੌਰਾਨ ਖੋਜੀਆਂ ਗਈਆਂ ਖਾਮੀਆਂ ਤੋਂ ਬਚਾਉਣ ਲਈ ਸੋਧਿਆ ਜਾ ਸਕਦਾ ਹੈ।
ਅੰਤ ਵਿੱਚ, ਪੈੱਨ ਟੈਸਟਿੰਗ ਸੁਰੱਖਿਆ ਆਡਿਟਿੰਗ ਤਰੀਕਿਆਂ ਦੀਆਂ ਕੁਝ ਪਾਲਣਾ ਦੀਆਂ ਲੋੜਾਂ ਨੂੰ ਸੰਤੁਸ਼ਟ ਕਰਦੀ ਹੈ, ਜਿਵੇਂ ਕਿ PCI DSS ਅਤੇ SOC 2। ਕੁਝ ਲੋੜਾਂ, ਜਿਵੇਂ ਕਿ PCI-DSS 6.6, ਤਾਂ ਹੀ ਪੂਰੀਆਂ ਕੀਤੀਆਂ ਜਾ ਸਕਦੀਆਂ ਹਨ ਜੇਕਰ ਇੱਕ ਪ੍ਰਮਾਣਿਤ WAF ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਉਪਰੋਕਤ ਲਾਭਾਂ ਅਤੇ WAF ਸੈਟਿੰਗਾਂ ਨੂੰ ਸੋਧਣ ਦੀ ਸੰਭਾਵਨਾ ਦੇ ਕਾਰਨ, ਇਹ ਪੈੱਨ ਟੈਸਟਿੰਗ ਨੂੰ ਘੱਟ ਲਾਭਦਾਇਕ ਨਹੀਂ ਬਣਾਉਂਦਾ ਹੈ।
ਵੈੱਬ ਸੁਰੱਖਿਆ ਟੈਸਟਿੰਗ ਦਾ ਕੀ ਮਹੱਤਵ ਹੈ?
ਵੈੱਬ ਸੁਰੱਖਿਆ ਜਾਂਚ ਦਾ ਟੀਚਾ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਤੇ ਉਹਨਾਂ ਦੇ ਸੈੱਟਅੱਪ ਵਿੱਚ ਸੁਰੱਖਿਆ ਖਾਮੀਆਂ ਦੀ ਪਛਾਣ ਕਰਨਾ ਹੈ। ਐਪਲੀਕੇਸ਼ਨ ਲੇਅਰ ਪ੍ਰਾਇਮਰੀ ਟੀਚਾ ਹੈ (ਭਾਵ, HTTP ਪ੍ਰੋਟੋਕੋਲ 'ਤੇ ਕੀ ਚੱਲ ਰਿਹਾ ਹੈ)। ਸਮੱਸਿਆਵਾਂ ਪੈਦਾ ਕਰਨ ਅਤੇ ਸਿਸਟਮ ਨੂੰ ਅਣਕਿਆਸੇ ਤਰੀਕਿਆਂ ਨਾਲ ਜਵਾਬ ਦੇਣ ਲਈ ਇੱਕ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਇਨਪੁਟ ਦੇ ਵੱਖ-ਵੱਖ ਰੂਪਾਂ ਨੂੰ ਭੇਜਣਾ ਇਸਦੀ ਸੁਰੱਖਿਆ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਇੱਕ ਆਮ ਪਹੁੰਚ ਹੈ। ਇਹ "ਨਕਾਰਾਤਮਕ ਟੈਸਟ" ਇਹ ਦੇਖਣ ਲਈ ਦੇਖਦੇ ਹਨ ਕਿ ਕੀ ਸਿਸਟਮ ਅਜਿਹਾ ਕੁਝ ਵੀ ਕਰ ਰਿਹਾ ਹੈ ਜੋ ਇਸ ਨੂੰ ਪੂਰਾ ਕਰਨ ਦਾ ਇਰਾਦਾ ਨਹੀਂ ਸੀ।
ਇਹ ਸਮਝਣਾ ਵੀ ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੈ ਕਿ ਵੈੱਬ ਸੁਰੱਖਿਆ ਜਾਂਚ ਐਪਲੀਕੇਸ਼ਨ ਦੀਆਂ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ (ਜਿਵੇਂ ਕਿ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਅਧਿਕਾਰ) ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਤੋਂ ਇਲਾਵਾ ਹੋਰ ਵੀ ਬਹੁਤ ਕੁਝ ਸ਼ਾਮਲ ਕਰਦੀ ਹੈ। ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਵੀ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਹੋਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਤਾਇਨਾਤ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ (ਉਦਾਹਰਨ ਲਈ, ਵਪਾਰਕ ਤਰਕ ਅਤੇ ਸਹੀ ਇਨਪੁਟ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਆਉਟਪੁੱਟ ਏਨਕੋਡਿੰਗ ਦੀ ਵਰਤੋਂ)। ਉਦੇਸ਼ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਹੈ ਕਿ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਫੰਕਸ਼ਨ ਸੁਰੱਖਿਅਤ ਹਨ।
ਸੁਰੱਖਿਆ ਮੁਲਾਂਕਣਾਂ ਦੀਆਂ ਕਈ ਕਿਸਮਾਂ ਕੀ ਹਨ?
- ਡਾਇਨਾਮਿਕ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ (DAST) ਲਈ ਟੈਸਟ। ਇਹ ਸਵੈਚਲਿਤ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਟੈਸਟ ਘੱਟ-ਜੋਖਮ, ਅੰਦਰੂਨੀ-ਸਾਹਮਣੇ ਵਾਲੇ ਐਪਸ ਲਈ ਸਭ ਤੋਂ ਅਨੁਕੂਲ ਹੈ ਜਿਨ੍ਹਾਂ ਨੂੰ ਰੈਗੂਲੇਟਰੀ ਸੁਰੱਖਿਆ ਲੋੜਾਂ ਪੂਰੀਆਂ ਕਰਨੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ। ਆਮ ਕਮਜ਼ੋਰੀਆਂ ਲਈ ਕੁਝ ਮੈਨੂਅਲ ਔਨਲਾਈਨ ਸੁਰੱਖਿਆ ਜਾਂਚ ਦੇ ਨਾਲ DAST ਨੂੰ ਜੋੜਨਾ ਮੱਧਮ-ਜੋਖਮ ਵਾਲੀਆਂ ਐਪਾਂ ਅਤੇ ਮਾਮੂਲੀ ਤਬਦੀਲੀਆਂ ਤੋਂ ਗੁਜ਼ਰਨ ਵਾਲੀਆਂ ਮਹੱਤਵਪੂਰਨ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਸਭ ਤੋਂ ਵਧੀਆ ਰਣਨੀਤੀ ਹੈ।
- ਸਥਿਰ ਐਪਲੀਕੇਸ਼ਨਾਂ (SAST) ਲਈ ਸੁਰੱਖਿਆ ਜਾਂਚ। ਇਸ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਰਣਨੀਤੀ ਵਿੱਚ ਸਵੈਚਲਿਤ ਅਤੇ ਮੈਨੁਅਲ ਟੈਸਟਿੰਗ ਵਿਧੀਆਂ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਲਾਈਵ ਵਾਤਾਵਰਣ ਵਿੱਚ ਐਪਸ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਬਿਨਾਂ ਬੱਗਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਆਦਰਸ਼ ਹੈ। ਇਹ ਇੰਜੀਨੀਅਰਾਂ ਨੂੰ ਇੱਕ ਯੋਜਨਾਬੱਧ ਤਰੀਕੇ ਨਾਲ ਸੌਫਟਵੇਅਰ ਸੁਰੱਖਿਆ ਖਾਮੀਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਠੀਕ ਕਰਨ ਲਈ ਸਰੋਤ ਕੋਡ ਨੂੰ ਸਕੈਨ ਕਰਨ ਦੀ ਵੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
- ਪ੍ਰਵੇਸ਼ ਪ੍ਰੀਖਿਆ. ਇਹ ਮੈਨੂਅਲ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਟੈਸਟ ਜ਼ਰੂਰੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਆਦਰਸ਼ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਉਹਨਾਂ ਲਈ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਤਬਦੀਲੀਆਂ ਹੋ ਰਹੀਆਂ ਹਨ। ਉੱਨਤ ਹਮਲੇ ਦੇ ਦ੍ਰਿਸ਼ਾਂ ਨੂੰ ਲੱਭਣ ਲਈ, ਮੁਲਾਂਕਣ ਵਪਾਰਕ ਤਰਕ ਅਤੇ ਵਿਰੋਧੀ-ਅਧਾਰਿਤ ਟੈਸਟਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
- ਰਨਟਾਈਮ (RASP) ਵਿੱਚ ਐਪਲੀਕੇਸ਼ਨ ਸਵੈ-ਸੁਰੱਖਿਆ। ਇਹ ਵਧ ਰਹੀ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਵਿਧੀ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਬਣਾਉਣ ਲਈ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਤਕਨਾਲੋਜੀ ਤਕਨੀਕਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੀ ਹੈ ਤਾਂ ਜੋ ਖਤਰਿਆਂ ਨੂੰ ਦੇਖਿਆ ਜਾ ਸਕੇ ਅਤੇ, ਉਮੀਦ ਹੈ, ਅਸਲ ਸਮੇਂ ਵਿੱਚ ਵਾਪਰਨ ਦੇ ਨਾਲ ਰੋਕਿਆ ਜਾ ਸਕੇ।
ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਟੈਸਟਿੰਗ ਕੰਪਨੀ ਦੇ ਜੋਖਮ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਕੀ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦੀ ਹੈ?
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ 'ਤੇ ਜ਼ਿਆਦਾਤਰ ਹਮਲਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- SQL ਟੀਕਾ
- XSS (ਕਰਾਸ ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ)
- ਰਿਮੋਟ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
- ਪਾਥ ਟ੍ਰੈਵਰਸਲ ਅਟੈਕ
- ਪ੍ਰਤਿਬੰਧਿਤ ਸਮੱਗਰੀ ਪਹੁੰਚ
- ਸਮਝੌਤਾ ਕੀਤੇ ਉਪਭੋਗਤਾ ਖਾਤੇ
- ਖਤਰਨਾਕ ਕੋਡ ਸਥਾਪਨਾ
- ਵਿਕਰੀ ਮਾਲੀਆ ਗੁਆ ਦਿੱਤਾ
- ਗਾਹਕਾਂ ਦਾ ਭਰੋਸਾ ਟੁੱਟ ਰਿਹਾ ਹੈ
- ਬ੍ਰਾਂਡ ਦੀ ਸਾਖ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾਉਂਦਾ ਹੈ
- ਅਤੇ ਹੋਰ ਬਹੁਤ ਸਾਰੇ ਹਮਲੇ
ਅੱਜ ਦੇ ਇੰਟਰਨੈਟ ਵਾਤਾਵਰਣ ਵਿੱਚ, ਇੱਕ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਚੁਣੌਤੀਆਂ ਦੁਆਰਾ ਨੁਕਸਾਨ ਪਹੁੰਚਾਇਆ ਜਾ ਸਕਦਾ ਹੈ। ਉਪਰੋਕਤ ਗ੍ਰਾਫਿਕ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਕੁਝ ਸਭ ਤੋਂ ਆਮ ਹਮਲਿਆਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਹਰ ਇੱਕ ਵਿਅਕਤੀਗਤ ਐਪਲੀਕੇਸ਼ਨ ਜਾਂ ਪੂਰੇ ਕਾਰੋਬਾਰ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਨੁਕਸਾਨ ਪਹੁੰਚਾ ਸਕਦਾ ਹੈ। ਬਹੁਤ ਸਾਰੇ ਹਮਲਿਆਂ ਨੂੰ ਜਾਣਨਾ ਜੋ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਕਮਜ਼ੋਰ ਬਣਾਉਂਦੇ ਹਨ, ਅਤੇ ਨਾਲ ਹੀ ਇੱਕ ਹਮਲੇ ਦੇ ਸੰਭਾਵਿਤ ਨਤੀਜੇ, ਕੰਪਨੀ ਨੂੰ ਸਮੇਂ ਤੋਂ ਪਹਿਲਾਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਹੱਲ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਲਈ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਜਾਂਚ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।
ਕਮਜ਼ੋਰੀ ਦੇ ਮੂਲ ਕਾਰਨ ਦੀ ਪਛਾਣ ਕਰਕੇ ਕਿਸੇ ਵੀ ਮੁੱਦੇ ਨੂੰ ਰੋਕਣ ਲਈ SDLC ਦੇ ਸ਼ੁਰੂਆਤੀ ਪੜਾਵਾਂ ਦੌਰਾਨ ਘਟਾਉਣ ਵਾਲੇ ਨਿਯੰਤਰਣ ਸਥਾਪਤ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ। ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਟੈਸਟ ਦੇ ਦੌਰਾਨ, ਇਹ ਖਤਰੇ ਕਿਵੇਂ ਕੰਮ ਕਰਦੇ ਹਨ ਇਸ ਬਾਰੇ ਗਿਆਨ ਦੀ ਵਰਤੋਂ ਜਾਣੇ-ਪਛਾਣੇ ਦਿਲਚਸਪੀ ਵਾਲੀਆਂ ਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਵੀ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ।
ਹਮਲੇ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਪਛਾਣਨਾ ਕੰਪਨੀ ਦੇ ਜੋਖਮ ਦੇ ਪ੍ਰਬੰਧਨ ਲਈ ਵੀ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਕਿਉਂਕਿ ਇੱਕ ਸਫਲ ਹਮਲੇ ਦੇ ਪ੍ਰਭਾਵਾਂ ਦੀ ਵਰਤੋਂ ਸਮੁੱਚੀ ਕਮਜ਼ੋਰੀ ਦੀ ਗੰਭੀਰਤਾ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਜੇਕਰ ਸੁਰੱਖਿਆ ਜਾਂਚ ਦੌਰਾਨ ਕਮਜ਼ੋਰੀਆਂ ਲੱਭੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਤਾਂ ਉਹਨਾਂ ਦੀ ਗੰਭੀਰਤਾ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਕੰਪਨੀ ਨੂੰ ਉਪਚਾਰਕ ਯਤਨਾਂ ਨੂੰ ਵਧੇਰੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਤਰਜੀਹ ਦੇਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਕੰਪਨੀ ਦੇ ਜੋਖਮ ਨੂੰ ਘਟਾਉਣ ਲਈ, ਗੰਭੀਰ ਗੰਭੀਰਤਾ ਵਾਲੇ ਮੁੱਦਿਆਂ ਨਾਲ ਸ਼ੁਰੂ ਕਰੋ ਅਤੇ ਪ੍ਰਭਾਵ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ ਆਪਣੇ ਤਰੀਕੇ ਨਾਲ ਕੰਮ ਕਰੋ।
ਕਿਸੇ ਮੁੱਦੇ ਦੀ ਪਛਾਣ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਕੰਪਨੀ ਦੀ ਐਪਲੀਕੇਸ਼ਨ ਲਾਇਬ੍ਰੇਰੀ ਵਿੱਚ ਹਰੇਕ ਪ੍ਰੋਗਰਾਮ ਦੇ ਸੰਭਾਵੀ ਪ੍ਰਭਾਵ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨਾ ਤੁਹਾਨੂੰ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਜਾਂਚ ਨੂੰ ਤਰਜੀਹ ਦੇਣ ਵਿੱਚ ਮਦਦ ਕਰੇਗਾ। ਵੈਨਬ ਸੁਰੱਖਿਆ ਟੈਸਟਿੰਗ ਨੂੰ ਪਹਿਲਾਂ ਫਰਮ ਦੀਆਂ ਨਾਜ਼ੁਕ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਨਿਯਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਵਪਾਰ ਦੇ ਵਿਰੁੱਧ ਜੋਖਮ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ ਵਧੇਰੇ ਨਿਸ਼ਾਨਾ ਟੈਸਟਿੰਗ ਦੇ ਨਾਲ। ਉੱਚ-ਪ੍ਰੋਫਾਈਲ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਇੱਕ ਸਥਾਪਿਤ ਸੂਚੀ ਦੇ ਨਾਲ, ਵਪਾਰ ਦੇ ਵਿਰੁੱਧ ਜੋਖਮ ਨੂੰ ਘਟਾਉਣ ਲਈ ਵਧੇਰੇ ਨਿਸ਼ਾਨਾ ਟੈਸਟਿੰਗ ਦੇ ਨਾਲ, ਵੈਨਬ ਸੁਰੱਖਿਆ ਟੈਸਟਿੰਗ ਨੂੰ ਪਹਿਲਾਂ ਫਰਮ ਦੀਆਂ ਨਾਜ਼ੁਕ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਨਿਯਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਟੈਸਟ ਦੇ ਦੌਰਾਨ, ਕਿਹੜੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ?
ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਜਾਂਚ ਦੇ ਦੌਰਾਨ, ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਹੇਠਾਂ ਦਿੱਤੀ ਗੈਰ-ਸੰਪੂਰਨ ਸੂਚੀ 'ਤੇ ਵਿਚਾਰ ਕਰੋ। ਹਰੇਕ ਦੇ ਇੱਕ ਬੇਅਸਰ ਲਾਗੂ ਕਰਨ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਕਮਜ਼ੋਰੀਆਂ ਹੋ ਸਕਦੀਆਂ ਹਨ, ਕੰਪਨੀ ਨੂੰ ਖਤਰੇ ਵਿੱਚ ਪਾ ਸਕਦਾ ਹੈ।
- ਐਪਲੀਕੇਸ਼ਨ ਅਤੇ ਸਰਵਰ ਦੀ ਸੰਰਚਨਾ। ਏਨਕ੍ਰਿਪਸ਼ਨ/ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਸੈੱਟਅੱਪ, ਵੈੱਬ ਸਰਵਰ ਸੰਰਚਨਾ, ਅਤੇ ਹੋਰ ਬਹੁਤ ਸਾਰੀਆਂ ਸੰਭਾਵੀ ਖਾਮੀਆਂ ਦੀਆਂ ਉਦਾਹਰਣਾਂ ਹਨ।
- ਇਨਪੁਟ ਅਤੇ ਗਲਤੀ ਨਾਲ ਨਜਿੱਠਣ ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਖਰਾਬ ਇਨਪੁਟ ਅਤੇ ਆਉਟਪੁੱਟ ਪ੍ਰੋਸੈਸਿੰਗ SQL ਇੰਜੈਕਸ਼ਨ, ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS), ਅਤੇ ਹੋਰ ਆਮ ਇੰਜੈਕਸ਼ਨ ਮੁੱਦਿਆਂ ਵੱਲ ਲੈ ਜਾਂਦੀ ਹੈ।
- ਸੈਸ਼ਨਾਂ ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਰੱਖ-ਰਖਾਅ। ਕਮਜ਼ੋਰੀਆਂ ਜੋ ਉਪਭੋਗਤਾ ਦੀ ਨਕਲ ਕਰਨ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦੀਆਂ ਹਨ। ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਤਾਕਤ ਅਤੇ ਸੁਰੱਖਿਆ ਨੂੰ ਵੀ ਧਿਆਨ ਵਿੱਚ ਰੱਖਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
- ਅਧਿਕਾਰ. ਵਰਟੀਕਲ ਅਤੇ ਹਰੀਜੱਟਲ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਾਧੇ ਤੋਂ ਬਚਾਉਣ ਲਈ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਸਮਰੱਥਾ ਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ।
- ਵਪਾਰ ਵਿੱਚ ਤਰਕ. ਬਹੁਤੇ ਪ੍ਰੋਗਰਾਮ ਜੋ ਵਪਾਰਕ ਕਾਰਜਸ਼ੀਲਤਾ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ ਇਹਨਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ।
- ਗਾਹਕ ਦੇ ਅੰਤ 'ਤੇ ਤਰਕ. ਇਸ ਕਿਸਮ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਆਧੁਨਿਕ, ਜਾਵਾ-ਸਕ੍ਰਿਪਟ-ਭਾਰੀ ਵੈਬਪੇਜਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਹੋਰ ਕਿਸਮ ਦੀਆਂ ਕਲਾਇੰਟ-ਸਾਈਡ ਤਕਨਾਲੋਜੀਆਂ (ਜਿਵੇਂ ਕਿ, ਸਿਲਵਰਲਾਈਟ, ਫਲੈਸ਼, ਜਾਵਾ ਐਪਲਿਟਸ) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਵੈਬਪੇਜਾਂ ਨਾਲ ਵਧੇਰੇ ਆਮ ਹੁੰਦੀ ਜਾ ਰਹੀ ਹੈ।
ਪ੍ਰਮਾਣੀਕਰਣ ਪਾਠਕ੍ਰਮ ਨਾਲ ਆਪਣੇ ਆਪ ਨੂੰ ਵਿਸਥਾਰ ਵਿੱਚ ਜਾਣੂ ਕਰਵਾਉਣ ਲਈ ਤੁਸੀਂ ਹੇਠਾਂ ਦਿੱਤੀ ਸਾਰਣੀ ਦਾ ਵਿਸਤਾਰ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰ ਸਕਦੇ ਹੋ।
EITC/IS/WAPT ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਪੈਨੀਟ੍ਰੇਸ਼ਨ ਟੈਸਟਿੰਗ ਸਰਟੀਫਿਕੇਸ਼ਨ ਪਾਠਕ੍ਰਮ ਇੱਕ ਵੀਡੀਓ ਰੂਪ ਵਿੱਚ ਓਪਨ-ਐਕਸੈਸ ਡਿਡੈਕਟਿਕ ਸਮੱਗਰੀ ਦਾ ਹਵਾਲਾ ਦਿੰਦਾ ਹੈ। ਸਿੱਖਣ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਇੱਕ ਕਦਮ-ਦਰ-ਕਦਮ ਢਾਂਚੇ (ਪ੍ਰੋਗਰਾਮ -> ਪਾਠ -> ਵਿਸ਼ੇ) ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਹੈ ਜੋ ਪਾਠਕ੍ਰਮ ਦੇ ਸੰਬੰਧਿਤ ਹਿੱਸਿਆਂ ਨੂੰ ਕਵਰ ਕਰਦਾ ਹੈ। ਡੋਮੇਨ ਮਾਹਰਾਂ ਨਾਲ ਅਸੀਮਤ ਸਲਾਹ ਵੀ ਪ੍ਰਦਾਨ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਸਰਟੀਫਿਕੇਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਦੇ ਵੇਰਵਿਆਂ ਲਈ ਜਾਂਚ ਕਰੋ ਕਿਦਾ ਚਲਦਾ.
EITC/IS/WAPT ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਪੈਨੀਟ੍ਰੇਸ਼ਨ ਟੈਸਟਿੰਗ ਪ੍ਰੋਗਰਾਮ ਲਈ ਪੂਰੀ ਔਫਲਾਈਨ ਸਵੈ-ਸਿੱਖਣ ਦੀ ਤਿਆਰੀ ਸਮੱਗਰੀ ਨੂੰ ਇੱਕ PDF ਫਾਈਲ ਵਿੱਚ ਡਾਊਨਲੋਡ ਕਰੋ
EITC/IS/WAPT ਤਿਆਰੀ ਸਮੱਗਰੀ - ਮਿਆਰੀ ਸੰਸਕਰਣ
EITC/IS/WAPT ਤਿਆਰੀ ਸਮੱਗਰੀ - ਸਮੀਖਿਆ ਪ੍ਰਸ਼ਨਾਂ ਦੇ ਨਾਲ ਵਿਸਤ੍ਰਿਤ ਸੰਸਕਰਣ