الصفحة الرئيسية>موارد بناء الموقع>بيانات الموقع
تنزيل

القفز مباشرة إلى المنهجية ، التي تم استضافتها في ويكي هذا الريبو.

بدلاً من ذلك ، تحقق من قالب Google Sheets لتتبع الاختبار.

حول المنهجية

تعرض هذه المنهجية دليلًا مقبولًا حول كيفية إجراء تقييم أمان تطبيق الويب. ينصب التركيز الأساسي على تعداد جميع المجالات الرئيسية التي يجب أن يغطيها المختبر أثناء مراجعة الأمان. كأداة ، يمكن لمختبري الأمن التعلم من المستند واستخدامه لتشكيل عملية الاختبار الخاصة بهم. يمكن أيضًا استخدامه من قبل المطورين لفهم أنواع نقاط الضعف التي قد تكون موجودة في تطبيقاتهم وأفضل الممارسات التي يجب عليهم تنفيذها لتقليل مخاطر الهجمات.

إذا كنت مبتدئًا ، فقد تعتبر هذه المنهجية أكثر من وثيقة مرجعية بدلاً من تعليمي أو مقدمة. بدلاً من ذلك ، أوصي بأكاديمية أمان الويب الخاصة بـ Portswigger وسلسلة مدونة إريك ريسورلا لفهم نموذج أمان الويب .

أهداف المنهجية

الهدف من هذه المنهجية هو أن تكون فعالًا قدر الإمكان في توصيل القضايا التي يجب اختبارها ، ولماذا تهم هذه القضية ، و (حيثما أمكن) تقديم توصيات حول كيفية اختبار المشكلة ومعالجتها بكفاءة. المبادئ التوجيهية التي أتابعها عند كتابة المستند هي:

المرونة ، الموثوقية ، قابلية الاستخدام : يجب الحفاظ على وثيقة محدثة وقابلة للاستخدام عبر مجموعة واسعة من التطبيقات المختلفة. إذا كانت المنهجية تركز بشكل كبير على تقنيات أو أطر محددة ، فلن يكون القراء متأكدين مما إذا كانت مشكلة معينة تنطبق على وضعهم. يجب أن يكون قابلاً للاستخدام من قبل القراء الأقل خبرة (لتوفير مقدمة لما يبدو عليه الاختبارات الأمنية الحديثة) والقراء ذوي الخبرة العالية (للحفاظ على تحديثهم والمساعدة في تحقيق التغطية الكاملة).

كن موجزًا : يجب أن تكون الوثيقة موجزة قدر الإمكان في شرح كل فئة أو مشكلة. انطلق مباشرة إلى قلب الأمر وقم بتوفير مراجع عالية الجودة عند الحاجة لمزيد من المعلومات. تجنب انتفاخ المستند بمعلومات عن أي مشكلة واحدة ، عندما تكون هناك مشكلة واحدة فقط جزء صغير من المستند بأكمله.

كن رأيًا : لا تخجل من ذكر أفضل الممارسات بوضوح. والأهم من ذلك ، لا تحاول تغطية كل مشكلة أمنية ممكنة - خاصةً عندما يكون للمسألة الحد الأدنى أو معدوم في معظم المواقف. إذا كانت هناك مشكلة في التوصيات المقبولة ، فقم بتقديم اقتراح آمن وقابل للتطبيق على نطاق واسع والاعتماد على القارئ لضبط التوصية لسياقها المحدد.

في النهاية ، لا توجد منهجية بديلاً عن حكم اختبار ذي خبرة يمكنه مراعاة سياق تطبيقه المحدد. سيكون لخادم HTTP المدمج محليًا محليًا في C أن يكون له نقاط ضعف مختلفة تمامًا عن الخدمات الصغيرة Kubernetes باستخدام أحدث إطار عمل على شبكة الإنترنت مع واجهة React. يعرّف هذا المستند خط الأساس الذي يمكن أن يستخدمه أي شخص مهتم بتحسين أمان تطبيقات الويب ، ويعمل كمعيار يمكن للمختبرين الاحتفاظ به من أجل تقديم نتائج عالية الجودة.

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل