بررسی امنیت وب اپلیکیشن با استفاده از ابزار تست Selenium

ابزار تست Selenium

تست نرم افزار، قسمت نهایی از مراحل تولید یک نرم افزار است. بسیاری از پروژه های کوچک و متوسط را پس از برنامه نویسی می توان به صورت دستی تست و بررسی کرد تا مشکلات احتمالی پیدا و برطرف شوند، اما در پروژه های بزرگ به دلیل گستردگی نرم افزار، تست عملکرد نرم افزار بسیار زمان بر و خسته کننده است. به همین دلیل مبحث تست خودکار یا Automated Testing در اینجا اهمیت پیدا می کند.

بررسی امنیت وب اپلیکیشن با استفاده از ابزار تست Selenium

به صورت کلی برای تست عملکرد (functional test) دو روش جعبه سفید (whitebox) و جعبه سیاه (blackbox) وجود دارد. در حالت جعبه سفید، خود برنامه نویس یک روال تست را در قالب unit test برای تک تک کلاس ها و توابع برنامه می نویسد و کد را تست می کند ولی در حالت جعبه سیاه ما دیگر کاری با ساختار داخلی کد نداریم و فقط ورودی لازم را به سیستم می دهیم و انتظار داریم که سیستم خروجی درستی به ما بدهد.

روش های قدرتمند بسیاری برای پیدا کردن مشکلات امنیتی سایتها با false positives / مثبت کاذب کمتر، وجود دارد.

false positives در صنعت نرم افزار های امنیتی به خصوص آنتی ویروس ها، به معنی خطای شناسائی یک فایل سالم، اشتباهاً به عنوان یک برنامه مخرب می باشد. قائدتا پاک شدن یک فایل یا برنامه سالم توسط آنتی ویروس برای هیچ کاربری خوشایند نیست. اما هر قدر حساسیت آنتی ویروس ها بیشتر شود، احتمال خطای حذف فایل های سالم نیز بیشتر است.

 

یکی از بهترین ابزارهای تست عملکرد وب سایت، Selenium است که با این نرم افزار، حین طراحی وب سایت ، نه تنها می توانید تست هایی را برای هر بخش تعریف کنید، بلکه می توانید تست ها را زمان بندی کنید و به طور خودکار انجام دهید.

 بررسی امنیت وب اپلیکیشن با استفاده از ابزار تست Selenium

در یک بررسی تعداد زیادی از مشکلات امنیتی کاربردی(usability) وجود داشت که اغلب به عنوان مسائل با اولویت کم شناخته می شدند. این‌ها مشکلات بسیار ساده ای بودند که با جایگزینی تگ (خط افقی)<hr> در فیلد نام کاربر ایجاد می شد؛

معرفی VMware ESXi و مقایسه VMware ESXi  و  XenServer

در‌واقع در نتیجه سایت به جای نام کاربری یک خط افقی را می بیند. از دیدگاه QA، نگرانی بزرگ نبود، و بنظر مشکل حادی نیست اما همین موردکوچک می‌تواند باعث هک شدن از طریق cross-site scripting (XSS) شود.

جهت این بررسی براحتی با عبارت جادویی <script> alert (1) </ script> می‌توان مشکلات امنیتی را تاحدودی پیدا نمود. در صورتی که با وارد نمودن این عبارت در کادرهای مربوط به فرم مانند نام و نام خانوادگی و… در فرم‌های نظرسنجی پنجره کوچک pop-up ظاهر شود، آنها اشکالات امنیتی هستند.

Gartner Magic روش های منحصر به فرد و دقیقی برای آزمایش های موجود برای اهداف هک پیدا کرده است. در ادامه نحوه انجام این کار توضیح داده می شود.

توجه داشته باشید که این فرایند کار پیچیده و زمانگیری نیست. البته که پیچیدگی تست بدلیل تعداد زیادی از مواردی که شما باید آزمایش کنید، بوجود می آید. برای هر ویژگی، موارد استفاده، تنظیمات را می بایست جداگانه بررسی نمایید.

به عنوان مثال، فقط 10 سوئیچ، بیش از 210 ترکیب ممکن را برای تست ایجاد می کنند، که بدین معنی است که برای بررسی کامل، شما نیاز به 1024 تست دارید! خوشبختانه، اکثر مسئولین می دانند که تعدد تست ها ایده آل نیست.

مسئولین امنیت از چند ترفند برای بررسی امنیت استفاده می کنند. یک مورد، استفاده از کدها جهت بررسی عملکرد هر تابع بصورت جداگانه می باشد. مورد دیگر این است که در برنامه تست اطمینان حاصل کنید که شما رایج ترین موارد امنیتی را پوشش می دهید و سپس موارد حاشیه ای را بررسی میکنید.

0 تا 100 مورد الگوریتم Google Dance

مسئولین امنیت همچنین می‌توانند از الگوریتم های هوشمندانه ای مانند PairWise برای بررسی عمیق و گستردگی باورنکردنی یک برنامه استفاده کنند.

علاوه بر این روش‌ها پیشنهاد می‌شود از برخی ترفندهای هکرها جهت نفوذ به سایت استفاده نمایید تا مطمئن شوید کلیه حفره های امنیتی را شناسایی نموده اید.

چگونگی بررسی امنیتی یکپارچه برای پیدا کردن نمونه های XSS با استفاده از Selenium

XSS یک مشکل امنیتی متداول برای برنامه های وب است و بصورت دائمی در ده مورد اول لیست OWASP (بزرگترین اجتماع آزاد آنلاین امنیت اپلیکیشن‌های حت وب)وجود دارد.

در اين حملات هدف اصلي هكرها، كاربراني هستند كه به سايت شما مراجعه كرده اند. در حقيقت هكرها در اين نوع از حمله اطلاعات كاربران يك سايت را بدون اينكه خودشان آگاهي داشته باشند، به سرقت مي برند.

به سادگی، کدهای سمت کلاینت از قبیل جاوا اسکریپت به سایت تزریق می شوند. این کار معمولا با تزریق ساده یک تگ اسکریپت، تگ تصویر، و غیره انجام می شود.

هکرها می توانند از این طریق کوکی(cookies) های قربانیان را سرقت نموده و اطلاعات مفیدی نظیر پسورد ها و.. را پیدا کندو یا با انجام اقدامات دیگر در مرورگر قربانیان از اطلاعات آن‌ها سواستفاده شود.

با استفاده از Selenium شما می توانید متداول ترین رشته‌(String)های مورد استفاده در OWASP، را توسط تولیدکننده اتوماتیک رشته (string generato) به کد Selenium اضافه کنید که مقدار زیادی از رشته‌های مخرب payloads را ایجاد کند.

 

توجه داشته باشید در این حالت از pop-up جهت هشدار استفاده نکنید زیراکه با نشان دادن هشدارهای مختلف موجب قطع شدن روند بررسی میشود.

10 نکته امنیتی مهم جهت جلوگیری از هک شدن سایت

بنابراین، به جای آن می توانید از console.error() برای ارسال یک شماره منحصر به فرد در قسمت logs مرورگر استفاده کنید. سپس قسمت لاگ مرورگر را از Selenium انتخاب کنید تا ببینید آیا شماره منحصر به فرد نشان داده شده است یا خیر، در صورت نمایش شماره موردنظر، نشان می دهد که آسیب پذیری XSS وجود دارد.

اگر علاقه مند به مطلب فوق هستید میتوانید ادامه این مقاله آموزشی را در بلاگ های زیر مطالعه نمایید :

معرفی بهترین تکنیک های سئو در سال۲۰۲۲ – قسمت دوم

 

معرفی بهترین تکنیک های سئو در سال ۲۰۲۲ – قسمت سوم

 

معرفی بهترین تکنیک های سئو در سال ۲۰۲۲ – قسمت چهارم

 

معرفی بهترین تکنیک های سئو در سال ۲۰۲۲– قسمت پنجم

فیس بوک
توییتر
لینکدین
تامبلر
پین ترست
رددیت
ایمیل

جدیدترین مطالب

عضویت در خبرنامه

اینستاگرام

فیسبوک

توییتر

12 آذر 1403

در 21:15

اگر شما هم سوال نقشه سایت یا سایت مپ چیست را در ذهن دارید، جای درستی را برای یافتن پاسخ سوال خود انتخاب کرده‌اید. در دنیای دیجیتال امروز، جایی که رقابت برای ...

23 آبان 1403

در 20:54

آیا تا به حال در مورد اینکه بازاریابی B2B چیست و چگونه می‌تواند به رشد و موفقیت کسب‌ وکارها کمک کند، فکرکرده‌اید؟ بازاریابی B2B به تعامل و تبادل محصولات و خد...

21 آبان 1403

در 09:23

شاید این سوال برای شما پیش آمده باشد که گوگل ادز چیست و چگونه می‌تواند به رشد کسب‌ وکار شما کمک کند. این پلتفرم یکی از بهترین ابزارها برای توسعه کسب‌ وکارهای...

16 آبان 1403

در 21:12

robots txt چیست؟ فایل robots.txt راهنمایی برای ربات‌های گوگل است تا به وبسایت شما سر بزنند. علاوه بر افراد عادی، ربات‌ها نیز از وبسایت شما بازدید می‌کنند. Ro...

14 آبان 1403

در 12:12

ساخت فایل htaccess در وردپرس، امکانات زیادی را در اختیار شما قرار می‌دهد. این فایل یکی از کاربردی‌ترین فایل‌های وردپرس است که نیاز به سایر افزونه‌ها را از بی...

30 مهر 1403

در 21:53

ارور ۴۰۱ خطایی است که هنگام دسترسی بدون شناسه کاربری و رمز عبور معتبر به یک سایت برای شما نمایش داده می‌شود. این خطا دسترسی به سایت مورد نظر شما را غیر ممکن ...

1 دیدگاه دربارهٔ «بررسی امنیت وب اپلیکیشن با استفاده از ابزار تست Selenium»

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.