هدکشناد یسدنهم و ینف
یشزومآ هوگر ترویپماک و قبر یسدنهم
اپ ی نا همان ارب ی رد ی تفا اپ هجرد ی نا همان سانشراک ی دشرا
هتشر رتویپماک یسدنهم ارگ
ی ش متسیس یرامعم یاه
یرتویپماک
بيسآ صيخشت همانرب يريذپ
يپ ياه چا
هكبش زا هدافتسا اب يپ ياه
فرژ يبصع
رگشهوژپ :
لصا یناقاخ یداه
امنهار داتسا :
یلامج مارهش رتکد
رواشم داتسا :
رایشون یدهم رتکد
رویرهش 1399
ناونع و :روآدیدپ مان بیسآ صیخشت
یريذپ همانرب اه ی یپ چا هكبش زا هدافتسا اب یپ فرژ یبصع یاه
لصا یناقاخ یداه /
داتسا نا امنهار : مارهش رتکد
یلامج
داتسا :رواشم نا رایشون یدهم رتکد
خیرات :عافد
دادعت حفص :تا 102
.ص
نایاپ هرامش :همان
اک و قرب یسدنهم هورگ م
رتویپ
:هدیكچ :فده مرن اهرازفا ی تحت سب رضاح لاح رد بو ی
را گارف ی ر هدش سب و دنا ی را ی نامزاس زا اه ی تلود ی غ و ی تلودر ی ارب ی روهما ماهانا رد تلوههس
مرن زا دوخ اهرازفا
ی تحت م هدافتسا بو ی
دننک مه . ی ن هدش ببس رما نما هک تسا
ی ت مرن رازفا اه ی تحت عوضوم هب بو ی
دبت مهم ی ل .دوش
هداس رت ی ن سآ ی ب ذپ ی ر ی اه ی نما ی ت ی م ی دناوت ذپان ناربج تاراسخ ثعاب ی
ر ی اشفا هب رانم و دوش ی
صخش تاعلاطا ی
ح و ی تا ی .دوهش ناربراهک
نما تامازلا ی
ت ی مرن هتکن ،رازفا ی مهم ی اب هک تسا ی د هداد ناشن تاعلاطم .درک هجوت نادب سآ رثکا هک دنا
ی ب ذپ ی ر ی اه اهاطخ زا ی همانرب ون ی س ی
شم کرت ی شان ی م ی دوش انشآ تروص رد . یی
هعسوت مرن ناگدنهد شور اب رازفا
اه ی ان همانرب نما ون ی س ی م ی ناوت گرزب ماگ ی ر ارهب ا ی و شهاهک هی
ا
سآ فذح ی ب ذپ ی ر ی ی ک مرن سب اما تشادرب نآ راشتنا زا لبق رازفا ی
را ی هعسوت زا مرن ناگدنهد ز نامز ،رازفا
ی دا ی ارب ی ی گدا ی ر ی نما ثحابم ی
ت ی
رادن دن من و ی دنناوت نما ثحابم ی
ت ی لحت هک اانآ زا .دنهد ششوپ لماک ار ی
ل تهسد ی مع شهناد و ناهمز مزلتهسم هی
ق س ی متهس و شور ،تهسا
رازبا اه ی دج ی د ی ارب ی همانرب هب کمک ون
ی ناس ارب ی سآ فشک ی ب ذپ ی ر ی رورض ی خا لاسدنچ رد .تسا ی
،ر راکهار زا هدافتسا اه
ی شوه عونصم ی
نما هزوح رد ی
ت اس ی رب ی ور قن .تسا هتفرگ بیسآ صیخشت و ییاسانش
یریذپ همانرب یاه یپ یاه
چا زا هدافتسا اب یپ هکبهش
ر یبهصع یاهه ف
رب ینتبم (LSTM) Long Short-Term Memory
یم .دشاب هزوح نیا رد یرثوم ماگ ناوت
شور :شهوژپ یسانش
رد شهوژپ نیا سروس
پ همانرب دک ی
چا پ ی سآ فشک روظنم هب ی
ب ذهپ ی ر ی اهه ی ار هی ج زات هی ه لحتو هی ل اتهسیا و هدهش
سآ ی ب ذپ ی ر ی اه هسسوم درادناتسا قبط OWASP
هقبط دنب ی یم دنوهش . ههقبط یارهب یدهنب
زا هکبهش فر یبهصع یاهه LSTM
هدافتهسا
یم .مییامن
هتفاي اه : هکبش یاه بصع ی فر مLSTM ی دنناوت سآ ی ب ذپ ی ر ی همانرب رد یپ چا یهپ خهشت ار ی ص .دهنهد هنچمه ی ن ههقبط ههب رداهق دهنب
ی و
صیخشت بسانم هسآ ود ی ب ذهپ ی ر ی ار هی ج Cross-site Scripting (XSS) و
SQL Injection(SQLI ( درادناتهسا قهبط
OWASP .تهسا
نینچمه یم شور نیا اب ت
ناو دادخر هدودحم سآ
ی ب ذپ ی ر ی ار .داد صیخشت
هجیتن :یریگ هکبش یاه بصع ی مLSTM ی دنناوت سآ ی ب ذپ ی ر ی رد همانرب یاه یپ چا یپ خشت ار ی ص دنهد . درهکیور نهیا رد
، صیخهشت تهقد
سآ ی ب ذپ ی ر ی وSQLI .تسا لااب رایسبXSS
یهتینما یاههدرکیور رد فر یریگداهی بهسانم درهکلمع تسا دوهشم هچنآ و تهسا
ههب تبهسن
دراد یبسانم تقد و درکلمع یمیدق یاهدرکیور .
نینچمه هکبش زا هدافتسا اب اه
ی بصع ی طخرب هناماسLSTM
ی پ ی هدا زاهس ی اهب ههک دهش
سب تقد ی را بسانم ی اسانش هب رداق یی
سآ ی ب ذپ ی ر ی اه ی همانرب اه ی پ ی چا پ ی م ی دشاب متیروگلا رگید زا هدافتسا . شوه یاه
یم یعونصم ماگ ناوت
.دشاب هزوح نیا رد یرگید رثوم هژاو :یدیلک یاه بیسآ
یریذپ همانرب ،بو تلامح ، یپ
چا یپ
،
،فر یبصع هکبش LSTM
، ،XSS .SQLI
1 - فده و همدقم
1-1 - هلئسم حرش نما هب هجوت رضاح رصع رد ی
ت هصرع مامت رد اه
ی گدنز ی مهم زا رت ی ن هم رامهش ههب تاعوضوم ی
دور نما عوهضوم . هی
ت
نامزاس رد تاعلاطا صوصخ هب و اه
تکرش ای اه نامزاس اه یی ح تاهعلاطا اب هک هی
تا ی هم راهک ی دهننک هسب ی را هنررپ رهت
م ساسحا ی
دوش تاعلاطا . ی م هک ی دناوت لخاد لماوع طسوت ی
ی ا جراخ ی
، تروص هب هتساوخ
ی ا و دورهب تقرس هب هتساوخان
ناربج تاراسخ ذپان
ی ر ی دشاب هتشاد هارمه هب .
مرن یاهرازفا تحت
سب رضاح لاح رد بو ی
را گارف ی ر هدش دنا و یسب را ی نامزاس زا یاه
تلود ی غ و ی تلودر ی ارب ی تلوههس
مرن زا دوخ روما ماانا رد یاهرازفا
تحت م هدافتسا بو ی
دننک مه . ی ن هدش ببس رما نما هک تسا
ی ت مرن رازفا اه ی تحت بو
عوضوم هب ی
دبت مهم ی ل ور رب هلمح نارازه هنازور روطب .دوش ی
مرن یاهرازفا ور رب هک هکبش
ی ا ی تنرتن ماهانا دهنراد رارق
م ی دوش تروص رد و ی
هک مرن رازفا نما دشابن یا ن م تلامح ی
دناوت سب تارثا ی را گنس تاراسخ و برخم ی
ن ی نامزاس هب ار اهه
امن دراو ی د . 1] [
تلود حرط عورش اب نورتکلا
ی
،ک همانرب شقن اه
ی اضف رد بو ی
اس ی رب ی ا ی نار زور و دش نررپ هب
مها رب زور هی
ت نآ اهه
م نوزفا ی دوش تقو . ی سب تاعلاطا اب ی
را ی م راکورس ناربراک زا ی
،دوش نما ی ت ب مه نآ ی رتش مها دروهم هی
ت همرارق ی گ هی در .
هداس رت ی ن بیسآ یریذپ اه ی نما ی ت ی م ی دناوت ذپان ناربج تاراسخ ثعاب ی
ر ی اشفا هب رانم و دوش ی
هصخش تاهعلاطا ی
و
ح ی تا ی نما تامازلا .دوش ناربراک ی
هت ی مرهن ههتکن ،رازهفا ی
همهم ی اب ههک تهسا هی
د نما .درهک ههجوت نادهب هی
ت تاهمازلا زا
غ ی درکلمعر ی م هک هدوب ی
اب ی تس ور رب ی همانرب ره یا
رازبا ی ارهب ههک ی راهات فادهها ی
هی ا هتلود ی رارهق هدافتهسا دروهم
م ی گ ی
،در .دوش هتفرگ رارق نما هزوح رد
ی ت اهرازفا مرن ی
پماک ی رتو ی
، لد ی ل فعض مامت اه
ی نما ی ت ی مرن رازفا ی هم ار ی ناوهت
لاخ تروص هب تن ،هص
ی ها لهس راگنا ی ب و ی مظن ی همانرب راک ون
ی ناس س ناحارط و ی
متس و لوا و ی ت اپ یی ن نما ی ت د زا هی هاگد
نآ اه .درب مان 2]
[
بو اس ی ت
W3Techs
ناونع هب هک ی
ک ی مز رد ربتعم عجارم زا ی
هن ی سررب ی روانف ی اه ی تحت هم هتخانش بو ی
،دوهش
شرازگ رد ی
هپ ناهبز ههک هدوهمن ملاهعا ی
چا هپ ی رهحم روهتوم 79.0
% بو لهک زا اهس
ی ت اهه ی ند هی ا لوا ههبتر و تهسا
هدافتسارپ رت
ی ن کب رد نابز دنا
ار اراد یم نچمه .دشاب ی
ن اش ساسارب صخ
اس ی ت
TIOBE
همانرب نابز ون
ی س ی پ ی چا هپ ی رد
بی رتش لاس وزج اه 10 د زا بوبحم نابز ی
د ند رسارس ناگدنهد هعسوت ی
ا .تهسا هدوهب 3]
تن رد[
ی هها اب هی د ارهب ی ماهت ی ن
نما ی ت ا ی ن همانرب اه ی تحت و هجوت بو ی
گژ ی .دش لئاق خا
ی ار سررب ی اه یی ور ی ۵0 مرن رازه هدش ماانا رازفا ماهمت هک تسا
ای ن مرن رد اهرازفا 1۸
نابز اب و هتشذگ هام اه
ی همانرب هدش هتشون فلتخم یسیون .دنا
ا رد ی ن هسررب ی نما هی ت ههمانرب اهه ی
هتخاس نابز اب هدش اه
ی فلتخم انس ی هد نما و هدش رت
ی ن
، نماان رت ی ن سآ و ی ب ذپ ی رتر ی ن نابز اه ی همانرب ون ی هس ی ند هی ا ن هی ز
هدش صخشم .دنا
ی ک ی د زکارم زا ی
هد نما ناب ی ت اس ی رب ی مان هب
Veracode
ای ن سررب ی ار اهه اپ رد و هداد ماهانا هی
نا راهمآ
بلاج ی نما زا ی ت نابز اه ی همانرب ند حرطم یسیون ی
ا هدرک رشتنم ط .تسا
ی ا هی ن ناهبز دهش صخهشم شرازهگ یهپ
چا یهپ
2 بیسآ صیخشت
همانرب یریذپ یپ یاه
چا هکبش زا هدافتسا اب یپ فر یبصع یاه
سآ ی ب ذپ ی رتر ی ن همانرب نابز ون
ی س ی ند ی ا م ی همانرب و دشاب اه
ی نآ اب هدش هتخاس نما زا
هی ت اهپ یی ن ی ههب و هدوهب رادروهخرب
تحار ی م که ی دنوش . 4 ]
قبط[
ا رظن ی ن دودح ناسانشراک ۸۶
همانرب دصرد اه
ی ناهبز اهب هدهش هتشون یهپ
چا یهپ عوهن ی
سآ ی ب پ ذ ی ر ی هب طوبرم هک دنراد دوخ رد
1XSS
یم دشاب دزن هدهش هتفگ . هی
ک ههب ۵۶ مرهن دهصرد اههرازفا
ی هنتبم ی رهب
یپ چا یپ نما هرفح ی ت ی طوبرم هب هتشادSQL
ع رد و دنا ی
ن لاح 73 نآ دهصرد ن اهه
هی ز تلاکهشم ی رد مز ی ههن راذهگزمر ی
هداد تن رد .دنراد اه ی
ها پ ناگدنهد هعسوت ی
چا پ ی نما لئاهسم تسا مزلا ی
هت ی وندک رد ار ی
هس ی اعر هی ت امن ی دهن راهچد اهت
نارحب اه ی ن ناربج ا ذپ ی ر .دنوشن ۵] [
فاکش و اهاطخ ،تلاکشم لاد ،همانرب قطنم رد اه
ی ل لصا ی سآ ی ب ذپ ی ر ی مرن رازفا اه دنتهسه هحارط . ی پ و هی هدا زاهس ی
مرن بسانمان اهرازفا
ی نما تلاکشم بو ی
ت ی ددعتم ی ههمانرب تاهابتهشا ،دراوهم بهلغا رد .دراد هارمه هب ون
ی هس ی ههب ههک
گداس ی دنتسه بانتجا لباق
، سآ زورب هب رانم ی
ب ذپ ی ر ی مرن رد هدافتساءوس لباق م اهرازفا
ی لحت .دنوش ی
ل اه یی طسوت هک
صصختم ی ن نما ی ت مرن هدرک تابثا ،هتفرگ تروص رازفا ب هک تسا
ی رتهش بیهسآ یریذهپ اهه لد ههب هی ل تاهابتهشا و اههاطخ
همانرب ون ی س ی اربانب ؛دنتسه ی
ن هعسوت هب کمک و شزومآ مرن ناگدنهد
مز رد رازفا ی
هن وندک ی س ی ههب نما هی ک ارهب مازهلا ی
نامزاس تکرش و اه دبت اه
ی ل هدش .تسا ۶]
انشآ تروص رد[
یی هعسوت مرن ناگدنهد شور اب رازفا
اه ی همانرب نماان ون
ی س ی و
اج ی زگ ی ن نآ ندرک اب اه
شور اه ی م نما ی ناوت گرزب ماگ ی ارب ار ی و شهاک یا
بیسآ فذح یریذپ
ی ک مرن تهشادرب رازفا
سب اما ی را ی هعسوت زا مرن ناگدنهد ز نامز ،رازفا
ی دا ی ارب ی ی گدا ی ر ی نما ثحابم ی
ت ی من و دنرادن ی
دنناوت نما ثحابم ی
هت ی ار
.دنهد ششوپ لماک لحت هک اانآ زا
ی ل تسد ی مع شناد و نامز مزلتسم ی
ق س ی متس رازبا و شور ،تسا اه
ی دج ی د ی ارهب ی
هب کمک همانرب
ناسیون ارب ی سآ فشک ی
ب ذپ ی ر ی رورض ی .تسا رد خا لاسدنچ ی
،ر راکهار زا هدافتسا اه
ی شوهه یعونهصم
نما هزوح رد ی
ت اس ی رب ی اهرازبا زا هدافتسا .تسا هتفرگ قنور ی
تاموتا ی ک نتبم ی رب شوه یعونصم یم
اش کمک ناوت ی
نا ی
ارد ی ن مز ی هن .درک ۸-7] [
1-2 - شهوژپ فادها زور دشر هب هجوت اب س نوزفا
ی متس اه ی پماک ی رتو
،ی مها ی ت تاعلاطا ظفح ،
میرح نامزاس و دارفا یصوصخ اه
ی
فلتخم و زاس نما ی س ی متس اه ی پماک ی رتو ی سب ی را مها زئاح ی ت وس زا .تسا هتفرگ رارق هجوت دروم و هدوب ی
د ی
،رگ دشر
رس ی ع مرن اهرازفا ی نآ زا هدافتساءوس و تلامح زا فلتخم تاشرازگ و بو مها ،اه
ی ت و هدرک نادنچ ود ار عوضوم
ا هلوقم هب نتخادرپ ی
داا نما ی ت ارب ی ازفا مرن ر یاه تحت بو رما هب ار ی ح ی تا ی دبت ی ل هدرک .تسا دربراک نینچمه نابز
یپ چا یپ نشیکلپا رد یاه
تحت بو هجوت دیاب و تسین هدیشوپ یسک چیه یارب هژیو
.درک یا
تاعلاطم هداد ناشن
سآ رثکا هک دنا ی
ب ذپ ی ر ی اه اهاطخ زا ی
همانرب ون ی س ی کرتشم ی شان ی م ی دوش انهشآ تروهص رد . یی
هعسوت مرن ناگدنهد شور اب رازفا
اه ی ان همانرب نما اج و یسیون
ی زگ ی ن نآ ندرک شور اب اه
اه ی م نما ی ناوت هگرزب ماهگ ی
ار
ارب ی و شهاک یا
بیسآ فذح یریذپ
ی ک مرن هسب اما تشادرب نآ راشتنا زا لبق رازفا ی
را ی هعهسوت زا ناراهمعم و ناگدهنهد
مرن ز نامز ،رازفا ی
دا ی ارب ی ی گدا ی ر ی نما ثحابم ی
ت ی من و دنرادن ی
دنناوت نما ثحابم ی
ت ی هک اانآ زا .دنهد ششوپ لماک ار
لحت ی ل تسد ی مع شناد و نامز مزلتسم ی
ق س ی متس با و شور ،تسا راز
اه ی دج ی د ی ارب ی هب کمک ههمانرب
ناهسیون ارهب
ی
سآ فشک ی
ب ذپ ی ر ی رورض ی تسا . 9] [
OWASP
نامزاس ی ب ی ن للملا ی غ و ی عافتنار ی م ی دشاب اتسار رد هک ی
ا ی نم زاس ی حارط ی
، پ ی هدا زاس ی
، تهست و هعهسوت
ه ورپ اه ی مرن رازفا ی لاعف ی ت م ی دنک ا . ی ن لاسدنچ ره نامزاس ی
ک
،هبترم ل ی تهس ی صخاهش زا رهت
ی ن هسآ ی ب ذهپ ی ر ی اهه ی
مرن رد لوادتم اهرازفا
ی تحت رط زا ار بو ی
ق دنتسم ی هئارا یم دهد ا هک ی ن ل ی تس انبم ی نما ی ت ی مرن اههرازفا ی تهحت بو
1Cross-site Scripting
فده و همدقم 3
هب م رامش ی زا دروم ود هب رگا .دور جیار
نیرت لپا تلامح عاونا ی
ک ی نش اه ی نک تقد بو ی
م
، م ی بی ن ی م بیسآ هک یریذهپ
اهه ی
Injection
و ب مهسXSS
ی رتش ی بیسآ رد یریذپ
.دراد اه 10]
[
ا رد ی ن شهوژپ
، نمض انشآ یی بیسآ اب یریذپ اه ی ار ی ج رد همانرب یاه زورما ی
، عاوهنا اب درهکیور اهه ی عاهفد ی ارهب ی
هاوخ انشآ نامجاهم ذوفن اب هلباقم ی
م مها و دش ی
ت نما ی ت ب ار ی ش پ زا ی ش ناشن رطاخ میهاوخ
درک . رد خا لاهسدنچ هی
،ر
راکهار زا هدافتسا اه
ی شوه یعونصم نما هزوح رد
ی ت اس ی رب ی تسا هتفرگ قنور نیا رد و
شهوژپ یعس میهاوخ درک ههک
صیخشت یارب یشور بیسآ
یریذهپ یهنتبم رهب هکبهش یبهصع یاهه میههد هعهسوت و عادهبا ارLSTM
ا رد . هی ن ،شور
سروس دک همانرب یپ چا یپ سآ فشک روظنم هب ی
ب ذپ ی ر ی اه ی ار ی ج زات ی ه و یلحت ل اتسیا م ی دوش ور . ی درک ا هی ن اپرب رازهبا هی
ه
یریگدای لصا فده .تسا فر
ی ا رد هک ی ن راد شهوژپ ی
،م و شور هئارا یا
رازبا ی رازهبا ههب تبهسن رتلااهب تهقد اهب اهه
ی
پ ی ش ی ن سا ت ا رد . ی ن عس شهوژپ ی
سآ دش دهاوخ ی
ب ذپ ی ر ی اهه ی ار هی ج بو
1SQLI
و ههسسوم درادناتهسا قهبط ارXSS
OWASP
هقبط دنب ی ئامن ی م .
1-3 - ناياپ راتخاس همان
نایاپ همان رب لمتشم جنپ
هک تسا لصف هب
ذ تروص ی ل هتسد یدنب واح لوا لصف :تسا هدش ی
هللهسم حرش ،
فادهها
شهوژپ و نایاپ راتخاس همان
تسا ناونع تحت مود لصف . هنیشیپ و ینابم
ت قیقح هسقت شهخب دنچ هب ی
م هدهش رد .تهسا
نآ تسخن شخب سررب هب
ی هافم ی م انبم یی نما ی ت یبصع هکبش و سررب هب همادا رد و هدش هتخادرپ
ی بیسآ یریذپ یاهه
ار ی ج همانرب یپ یاه چا یپ ار نآ اب هلباقم یاهراکهار و یم
میزادرپ موس لصف رد . لدم دنیارف و قیقحت ماانا شور
ار یزاس
یسررب میهاوخ درک . هتفای و جیاتن مراهچ لصف رد ا لهصاح یاهه
یهسررب ار شهوژهپ ز یهم
میهنک . لهصف مانهپ زهین ههب
عمج یدنب ن و ت ی ها گ ی ر ی لک ی ب ثحابم دروم رد ی
نا هدش یم میزادرپ .
1SQL Injection
2 - نابم ی پ و ی ش ی هن قحت ی ق
2-1 - همدقم
نما ی ت ند رد ی ا ی عقاو ی ارب هراومه ی
ناسنا اه یح تا ی ادتبا رد .تسا هدوب ی
رات ی خ رشب نما هی ت زا دوهب تراهبع لوهصا
اقب ظفح هک
مات ی ن ربارب رد تظافح و ییاذغ داوم دارفا
، ح ی تاناو ، بط ثداوح ی
ع ی
، بی رام ی اه لماش ار یم
دش .
لکش اب یگ ر ی ناسنا عماوج
،ی نما موهفم ی
ت دج داعبا ی
د ی لکش اب ادتبا رد .تفرگ دوخ هب یگ
ر ی هداوناخ
، هورگ یاه
عامتجا ی ناسنا عماوج و
،اه ناربهر لابند هب سب
ی ج ن ی اهور ارب تاناکما و ی
دهت اب هلباقم ی
تاد ماظن ی و یا ب تلامح ی
نور ی
دندوب و ما موهفم ن
ی ت ماظن دراوم رد ی
دوب نایامن رتشیب .
رعت و روهظ اب ی
ف اهورملق ی لم ،ی بی ن ،یللملا عامتجا ،ی
س ی سا ،ی داصتقا ی روانف و ی زا ی ک کفت و وس ی
ک اراد یی یاه صخش ،ی نامزاس ی ب و ی ن یللملا وس زا ی د ی
،رگ هافم ی م
دج ی د ی رح نوچمه ی
م صوصخ ی گنامرحم و ی
هزوح رد یاه عامتجا
،ی س ی سا ی داصتقا و ی .دش حرطم ناونع هب تاعلاطا
یاراد زا یکی ی
دارفا دنمشزرا لاوما و اه دش بوسحم
. تملاس زا تظافح ،
زا نآ نتشاد هگن یفخم و تاعلاطا یتسرد
ب تاعلاطا ناکلام هجوت دروم ادتبا نامه زا زاامریغ دارفا و
.د
نامز هب تاعلاطا تینما مدق نیلوا یم زاب نتشون شیادیپ نیزاغآ یاه
ددرگ . ناهدنامرف و نامکاح ،نارود نآ رد
موزل هب یماظن مهارف
یروآ یلاسرا تابتاکم یگنامرحم زا تظفاحم تهج یمزیناکم یپ
دندوب هدرب و
یرارقرب یارب
و موم زا ،نما یطابترا هتشون ندرک رهم یارب رازبا رگید ای
یم هدافتسا اه .دوش ظفح یگنامرحم ات دندرک
اب و نامز رذگ
هعسوت نج و دش هدافتسا رازس طسوت یزمر فورح اه هزوح رد تفرشیپ نیرتشیب
تینما تاعلاطا نج یط رد
یناهج
.داد خر مود و یکیزیف تظفاحم یریگراکب و یحارط هرود نیارد
هقبط یدنب رب تاعلاطا و یگنامرحم تیساسح ساسا
دارفا یسرتسد حطس یسرتسد هب زاام
و درکروهظ تاعلاطا .دش یتایلمع
2-1] [
رد ن هتشذگ ی اهزا ی نما ی ت ی
، ف روضح اب ی
ز ی ک ی تراظن و ی مات ی ن م ی دش هلو ی تاهعلاطا هوهبنا مهاح تهلع ههب هزورهما ،
گدنکارپ ی هداد مه طابترا عون و اه ی
هش ا ی ن م قافتا ی رس ن ی تس نما هب رگا . ی
ت ور ود اب تاعلاطا ی
درک تنس ی ون و ی ن رگنب ی
،م
م ی بی ن ی م نما هک ی ت تنس تاعلاطا ی
رادهگن لماش هک ی
هسفق رد تاعلاطا اه
ی لفق س ،نابهگن زا هدافتسا ،راد ی
متهس اهه ی
نما ی ت ی نورتکلا ی ک ی د دوب ی رگ ن باوج یم دهد اب و ی د ند رد اپ ی ا ی ون ی ن رادههگن ی پماهک رد تاهعلاطا ی
رتو زا و تهشاذگ اهه
زاربا اه ی ناکم و راکدوخ ی
مز اه ی ارب دنمشوه ی
هداد زا تظافح .درک هدافتسا اه
11] [
هب لکروط ی ارب ی ا ی ن ن ی زا اه ی نما ی ت ی اب ی د نما تامادقا ی
ت ی نما تامادقا .درک ظاحل ار ی
ت ی ز دراوم لماش ی
ر تسا 11]
:[
- پ ی گش ی ر
3ی : ثعاب هک ییاهراک هعومام گولج
ی ر ی ز و تراسخ زا ی
نا یم .دوش
- خشت ی ص در و ي با
4ی : هب رانم هک ییاهراک هعومام خشت
ی ص وه ی ت ،مجاههم دروآرهب
م هی ناز و تراهسخ نتفاهی
لاد ی ل فعض طاقن یم
.دوش
3Prevention
4Detection & Tracing
- شنکاو :5
هب رانم هک یتایلمع هعومام مرت
ی
،م زاب ی با ی تاراسخ ناربج و یم
و دوش گولج ددام تلامح زا ی
یر
یم .دنک
رد ا ی ن ار تاحلاطصا و تافیرعت نایب هب ادتبا لصف ی
ج نما هزوح ی ت یم .میزادرپ پهس هراهبرد ی بیهسآ یریذهپ یاهه
همانرب جیار یپ یاه
چا یپ تبحص راصتخا هب هدرک
تلاهمح و وXSS
SQL Injection
واهکدروم ار ی
هم رارهق ی ههد ی م رد .
شخب اه ی
،رتولج هکبش هب یزیرگ و هدز یبصع یاه
بیسآ رباربرد یعافد یاهدرکیور یریذپ
ار هدهش حرطم یاه دروهم
سررب ی رارق یم میهد هک اتن زا ی ج یم نآ گنوگچ هب ناوت ی
ش و نامجاهم درکلمع ی
هو نآ اب هلباقم پ اه
ی .درب
2-2 - راعت ي ف مهم تاحلاطصا و
ا رد ی ن هافم اب راصتخا هب شخب ی
م انبم یی ن دروم ی زا م انشآ ی وش ی م ب همادا رد هک ی
رتش نآ اب اه دروخرب میهاوخ درک :
1 - 2 - 2 اراد
6یي
زا روظنم یاراد
ی
، یزیچ ره تسا
یارب هک ای هورگ ،درف
نامزاس .دشاب تیمها و شزرا یاراد یاراد نیا
ی اه یهم دهنناوت
بلاق رد یاه یفلتخم .دشاب
یم ییاراد بلاق رد دناوت
دشاب ریز یاه :
1 . یتاعلاطا
2 . / ی ولونکت یرازفا مرن
3 . یورس و تامدخ اه
4 . صصخت و یناسنا عبانم دوجوم یاه
۵ . رابتعا تکرش ای درف
۶ . ...
زا یئزج ای هداد تسا نکمم ییاراد کی نینچمه هعومام هک دشاب متسیس کی
ماانا و لرتنک ار تیلاعف زا یا یم
دهد
هک اراد دارفا اهنت ی
سرتسد زوام ی
و هدهاشم ار تاعلاطا دنناوتب تاعلاطا هب یا
غت یی ر .دنهد
هک تسا حضاو تکرش شزرا نتفر لااب
یم تارطاخم نتفر لااب ثعاب اه دوش
. نیمه زا هرطاهخم ور یارهب دهیدهت زا یهشان
یاراد اب ی شزرا رتمک یرتمک همطل انلمطم دراو ار
یم یامن .د 12] [
2 - 2 - 2 بیسآ یريذپ
7
سآ ی ب ذپ ی ر ی هب ناونع ی ک صقن یا نما رد فعض ی
ت س ی متس رعت ی ف لکروهط ههب .تهسا هدش ی
رد فعهض ههطقن ههنوگ رهه
صوت ی
،ف حارط ی
، پ ی هدا زاس ی
، پ ی دنبرک ی
، س و هدرک هدافتساءوس نآ زا ناوتب هک ارجا ی
تسا یاه نما ی ت ی س ی متس .درک ضقن ار
اراد نامزاس یی
تاعلاطا و ی م هک دراد ی
دنناوت رط زا ی ق سد سرت ی غ ی ر زاام نآ هب گب رارق هدافتساءوس دروم اه ی
دنر هدافتهساءوس .
زا قفوم ی ک سآ ی ب ذپ ی ر ی
، راکتسد هب رانم تسا نکمم ی
غ ی ر هداد زاام سرتسد نتفرگ و اه
ی ب ی رتش .دوش ...و 12]
[
5Reaction
6Asset
7Vulnerability
۶ بیسآ صیخشت
همانرب یریذپ یپ یاه
چا هکبش زا هدافتسا اب یپ فر یبصع یاه
3 - 2 - 2 دهت ي
8د
لماوع هعومام ی
س رد ی متس سناتپ هک ی ل سآ ندرک دراو ی
ب اهاطخ هلمج زا دنراد ار ررض و ی
ناسنا ی
، مرن تلاکشم رازهفا
ی
و دهت . ...
ی د ارب نکمم رطخ هدنهد ناشن ی
س ی متس اه ی پماک ی رتو ی ا .تسا ی ن قافتا ی نامزاس هک تسا همن زهگره اه
ی دهنهاوخ
رادرب هرهب .دهدب خر ی
قفوم ی ت مآ ی ز بیسآ زا یریذپ ی ک دهت ی د دهت ره .تسا ی
د یم دناوت ی ک ی ز عاونا زا ی ر دشاب 12] : [
1 - 3 - 2 - 2
9دونش
سرتسد ی ی ک دوجوم ی ت غ ی زاامر هداد هب اه ی رج لاح رد ی
نا هب ی ن دهصقم و ادهبم یهم دونهش ار
.دهنیوگ دوجوم هی ت
غ ی زاامر یم س ،صخش دناوت ی
متس پماک ی رتو ی همانرب ، اه ی پماک ی رتو ی :لاهثم .دشاب ...و هپک
ی غ ی نوناهقر ی هداد دونهش ، اهه
هداد اه ی هکبش
2 - 3 - 2 - 2
10هفقو
و ندرهک رراهخ سرتهسد زا ،نتخادهنا راک زا هی
ا غ ی لهباقر ندرهک هدافتهسا هی
ک اراد یهی س ی متهس .دهنیوگ ار :لاهثم
نتخادناراکزا ی
ک تخس اپ ، رازفا تاعلاطا ندرک
ی ک اف ی ل هداد
2-2-3-3 راكتسد
ی
رحت هنوگره ی
ف ی ا راکتسد ی هداد رد طسوت اه ی
ک غ صخش ی زاامر .دنیوگ ار یارب
غت :لاهثم هیی
ر هداد رادهقم رد اهه
ی
ی ک اپ ی هاگ غت ،هداد یی ر لمع رد ی تا ارجا یی ی ک پماک همانرب ی
رتو ی
4 - 3 - 2 - 2 وه لعج ي
11ت
ای داا دوجوم ی ت لعج ی طسوت ی ک غ صخش ی
زاامر ارب . ی هفاضا :لاثم ندرک
ی ک اپ رد دروکر ی
هاگ ا ، هداد ی داا شنکارت
لعج ی هکبش رد
4 - 2 - 2
12هنخر س ضقن ،هنخر زا روظنم ی
تسا نما ی ت ی ی ک س ی متس تسا .
2-2-5 هلمح
دمع شلات ی
ارب ی رد هنخر ی
ک س ی متس ی ا وگ هلمح ار نآ زا هدافتسا ءوس ی
دن هسآ هنوگره . ی
ب ذهپ ی ر ی تهلاح زا ههک
دبت لعفلاب هب هوقلاب ی
ل ،دوش ی ک هب هلمح رامش
یم دور هاگ.
ی ناسنا رب هولاع هلمح ماانا تسا نکمم تقو هم اهه
ی دهناوت
س طسوت ی متس اه ی د ی رگ پب عوقو هب ی
ددنو . 12] [
8Threat
9Interception
10Interruption
11Fabrication
12Breach
6 - 2 - 2
13ذوفن
ارف ی دن شان هنخر و هلمح ی
نآ زا .دنیوگ ذوفن ار
7 - 2 - 2 تيولپسکا
14
سآ زا ی ب ذپ ی ر ی ی ک اراد یی س ی متس م هدافتسا ی
ات دنک ی ک س رد هتساوخان راتفر ی
متس ا فده ی داا امن ی د مجاههم هب و
سرتسد هزاجا ی
هداد هب م ار تاعلاطا و اه ی
دهد .
8 - 2 - 2
15رطخ
ی ک شان تراسخ ناونع هب رطخ ی
قفوم شزاس زا ی
ک اراد یی ارب .تسا ی نامزاس ،لاثم ی
هک ی ک هسآ رورهس ی
ب ذهپ ی ر
Apache دهت راچد ،دراد
ی د تراسخ و تسا ی
ا هک ی ن دهت ی د اراد هب یی م ی ب دنز ه ناونع ی ک رعت رطخ ی
ف م ی دوش . 12] [
م توافت ی نا دهت ي
،د بیسآ :هلمح و یريذپ
یم لاثم کی اب ت ناوت
ف نیا توا :درک رد ار اه ناونع هب دس رد دوجوم رت
ی ک بیسآ یم هتخانش یریذپ بآ .دوش
،دس نتسکش ناکما تلع هب دس تشپ دوجوم ی
ک دهت ی د ارب ی دنکشب دس رگا .تسا صخش هی
ک هداد خر عوهقو ههلمح
.تسا
2-2-9 لرتنک ناونع هب لرتنک ی
ک تظفاحم مادقا ی
م هتخانش ی
دوش . ور ،رازبا ،لمع ره ی
ه و هی ا نکت ی هک ی فذهح روهظنم ههب ههک هی
ا
سآ شهاک ی
ب ذپ ی ر ی اه م رارق هدافتسا دروم ی
یگ در . دهت ی د اه سآ لرتنک اب ی
ب ذپ ی ر ی اه م فذح ی دنوش ا اتدهمع . هی
ن مادهقا
پ تامادقا وزج ی
گش ی ر ی م حرطم ی دوش حارط نامز رد . ی
س ره ی متس اب ی د هلباقم دراوم و هتفرگ رظن رد ار صقن هنوگره یا
امن صخشم ار اهنآ عفر یی
م . 2] [
10 - 2 - 2 مجاهم ركه و16
17
رد که نعم هب عقاو ی
اقح فشک روظنم هب شاکنک ی
ق راک هوحن و ی
ک س ی متس .تسا ی ک ارب شلات ،هلمح ی
ههب ذوفن
س ی متس اه ی د ی نارگ .تسا هنامصخ که عقاو رد و
ی ک م رگذوفن ی دناوت ذوفن هار ره زا ی
ارب ی س هب دورو ی
متس ا ههک دهنک هدافتهسا هی
ن حهضاو هراوهمه ذوهفن هار رهت
ی ن و
صخشم رت ی ن هار ی م ام هک ی سانش ی م هدومن مواقم ار نآ و ای
م ن ی تس ا هب هجوت اب . ی
ن س فعهض طاهقن ماهمت ،لصا ی
متهس
اب ی د سآ و هدش هتخانش ی
ب اه تمسق زا مادک ره .دنوش فرطرب اه
ی ی ک س ی متس پماک ی رتو ی هم ی دهناوت فدهه ناوهنع ههب
.دنوش هتخانش تلامح 12]
[
13Intrusion
14Exploit
15Risk
16Attacker
17Hacker
۸ بیسآ صیخشت
همانرب یریذپ یپ یاه
چا هکبش زا هدافتسا اب یپ فر یبصع یاه
2-2-11 نما ناکرا ی
ت تاعلاطا
س ره ی متس پماک ی رتو ی اراد ی فعض اه ی تاذ ی ارجا و یی پ فده .تسا ی
داهنش هار اه یی ارب ی گولج ی ر ی هدافتهساءوس زا
فعض زا م اه ی دشاب نما . ی ت س ی متس نتبم ی س ققحت رب ی
تسا اه ی نما ی هت ی هی ا نما ناهکرا حلاطهصا ههب هی
ت نما .تهسا هی
ت
اراد تاعلاطا ی
لصا نکر هس ی
،تحص سرتسد ذپ ی ر ی و گنامرحم ی م ی دشاب ب همادا رد هک ی
رتش نآ اهب هاوهخ انهشآ اهه ی
م
دش 12]
:[
1 - 11 - 2 - 2
18تحص
حص رب تحص ی
ح دوجوم و تاعلاطا ندوب ی
ت اه ی ار ی هنا ا ی هداد(
و اه تاهعلاطا عباهنم ی
ا و دراد تهللاد ) هی
ن تاهعلاطا
دارفا طسوت یا
مرن غ یاهرازفا ی
زاامر راکتسد ی .دوشن :تسا عون ود رب لمتشم دوخ تحص
)فلا تحص
19هداد : مطا ی نان ا زا ی هکن هداد و اه یا همانرب غ دارفا طسوت اه ی
زاامر و یراکتسد یا
غت یی ر من ی ی دنبا .
عبنم تحص : 20
مطا ی نان تسرد زا ی تاعلاطا )هدنتسرف( عبنم تحص و
لک راک و زاس ود ی
ارب ی تحص ظفح :دراد دوجو
)فلا سرتسد لرتنک
21ی
)ب وه زارحا ی
22ت
2 - 11 - 2 - 2 سرتسد يذپ ر
23ی
سرتسد زا روظنم ذپ
ی ر ی
؛ تاعلاطا عبانم ندوب هدافتسا لباق و ندوب رئاد ی
ورهس و ی اهه و زاهام تهساوخرد زا هپ
و تسا ربتعم یا
ترابع هب ی د ی
،رگ هداد .دشاب سرتسد لباق نامزره رد و ناکم ره رد زاام دارفا طسوت اه
امومع سرتسد یذپ ر ی م حرطم دعب هس رد ی
دوش :
- سرتسد یذپ ر ی رورس
- سرتسد یذپ ر ی طابترا هناسر ی
- سرتسد یذپ ر ی ربراک
3 - 11 - 2 - 2 گنامرحم
24ی
گنامرحم ی نما هزوح رد ی
ت گنامرحم لماش تاعلاطا ی
تاعلاطا عبانم ی
ار(
ی هنا ا ی
، ورس ی
، تهلپ گناهمرحم ،)...و مرهف ی
هداد گنامرحم و اه ی
گنامرحم زا فده .تسا تاعلاطا ی
و ندومن ناهنپ هی
ا نتهشادهگن ناههنپ هی
ک دوجوم هی ت ار ی ههنا ا ی
گنامرحم .تسا ی
ارش هب ی ط ی صاخشا هک دراد هراشا یا
هام ی ت غ ی زاامر سرتسد ناکما ی
هی ا اهشفا ی هتهشادن ار تاهعلاطا
.دنشاب :تسا عون ود رب لمتشم دوخ یگنامرحم
18Integrity
19Data Integrity
20Origin Integrity
21Access Control
22Authentication
23Availability
24Confidentiality
یگنامرحم )فلا
25هداد : مطا ی نان ا زا ی هکن هداد صوصخ و هنامرحم یاه ی
غ دارفا هب ی
زاامر من ءاشفا ی دنوش .
)ب رح ی م صوصخ
26ی : مطا ی نان ا زا ی هکن م دارفا ی دنناوت عمج هوحن و ناکما یور رب خذ ،یروآ
هی هر راهشتنا و یزاهس هی
ا
هداد یاشفا صوصخ یاه
ی د طسوت دوخ ی
نارگ ثات و لرتنک ی
ر .دنشاب هتشاد
زا اتدمع یراگنزمر راکوزاس ود
و یسرتسد لرتنک ارب
ی گنامرحم ظفح یم هدافتسا ی
.دوش
25Data Confidentiality
26Privacy
10 بیسآ صیخشت
همانرب یریذپ یپ یاه
چا هکبش زا هدافتسا اب یپ فر یبصع یاه
2-3 - بیسآ یريذپ همانرب رد یاه
تحت بو
2-3-1 نب ی OWASPدا
OWASP
نب ی دا ب ی ن للملا ی غ و ی ر عافتنا ی م ی اتسار رد هک دشاب ی
ا ی نم زاس ی هحارط ی
، هداهیپ یزاهس
، تهست و هعهسوت
ه ورپ اه ی مرن رازفا ی لاعف ی ت م ی هملک .دنک
OWASP
هدش ففخم
Open Web Application Security Project
.تسا
مامت ی ل کچ و اهرازبا ،تادنتسم ی
تس اه ی اس رد رردنم ی
ت مسر ی آ ن ار نامزاس ی
ناگ ندوهمن فرهطرب تهج رد و هدوب
سآ ی ب ذپ ی ر ی اه ی نما ی ت ی مامت رد لوادتم ی
بلاق اه ی راک ی مرن .تسا هدش هداد هعسوت رازفا دنچ
ی ن رد لاهعف ربراهک رازه
ا رد ناهج رساترس ی
ن لاعف ه ورپ ی
ت ا هب رازبا و ه ورپ دوبهب تهج رد و هتشاد ی
ن نب ی دا ی را ی م ی .دنناسر ا هب هجوت اب ی
ههکن
مرن م رازفا ی دناوت م دنچ ی ل ی نو دشاب هتشاد دک طخ
، نیمات تینما نآ یرادناتسا چیه نودب هداس راک ادبا
ا ی ن ی تس . 10] [
2-3-1-1 داینب فادها
OWASP
OWASP
ی ک غ ه ورپ ی ر تلود ی ز رد هک تسا ی
ر ه ورپ اه ی وخ هناگ هن
؛د عم ی اهرا زلا ، ا دودهحم و تام ی
ت اهه یی ارهب ار ی
نما زاس ی بو هزوح پ
ی داهنش هصفت تروص هب و هدرک ی
ل ی زا مادهکره ههب نآ
اهه هم ی ا .دزادرهپ هی
ن ه ورهپ هی ک درادناتهسا
بی ن للملا ی ه هب هک تسا ی
چ و تکرش ،درف یا
زاس نام و صاخ ی ا صاخ روشک ی
ن هتسباو ی تس و ی ک تهسا زاهب نتهم ه ورپ
هورگ هک اه ی فلتخم ی زا ناگدنسیون نما تلااقم
ی ت ی تکرش ، یاه درادناتسا هزوح رد لاعف نچمه و
ی ن هزوهح ناهسانشراک
نما ی ت روشکرد بو اه
ا لاعف هعماج رد ی
ن لاعف لاح رد ه ورپ ی
ت لک .دنتسه ی
ه و دعاوق ،اهدرادناتسا ولودتم
ی اه ی لوت هی د
ا رد هدش ی
ن ب ه ورپ ی ن للملا ی ک لاما ار ی ناگ تنرد و هدوب ی
ها .دراد رارق مومع سرتسد رد
OWASP
هب نامزاس و دارفا م کمک اه
ی همانرب ات دنک اه
ی دربراهک ی نآ .دهنهد هعهسوت ار نهما ،اهدرادناتهسا اهب اهه
اهرازبا ی ار ی ناگ نارفنک و اه
یی نامزاس هب هک م هئارا اه
ی دنهد ازفا ثعاب ی
ش هاگآ ی نآ م اه ی دنوش . یمن ناوهت نما زا هی ت
نما زا اما درک تبحص بو ی
ت لوت راکوزاس و ی
د ههمانرب اهه ی هفرح بو هزوهح ی
ا .دزهن هی ن ( روکذهم درادناتهسا
OWASP-
مه رد )ASAV
ی ن .تسا هدش هئارا اتسار هعسوت هب کمک روظنم هب
نهد د شلاهچ اهب ههلباقم تههج رد ناگ اهه
ی نما ی هت ی
مرن رازفا ی
، ای ن اب دارهفا ی تهس ی اهب ه ورهپ نهیا انهشآ
دنهشاب زرا ماهگنه هپ . هی
با ی هی ک لدهم ساهسا رهب ار نآ ،ههمانرب
Software Assurance Maturity
نامزاس
OWASP
سررب ی امن دنی . 13] [
2-3-1-2 هژورپ
داینب یاه OWASP
ه ورپ
OWASP
گدرتسگ هب هجوت اب ی
ولونکت ی اه ی بو ، پ ی چ ی هد رت اهراتخاس ندش ی
همانرب نما ثحبم و یسیون ی
ت
دوخ هب ی دنچ هب دوخ ی
ن دبت رتکچوک ه ورپ ی
ل دش .
OWASP
زا لکشتم هزورما 9
ز ی ر تروهصب مادک ره هک تسا ه ورپ
صوصخ رد هناگادج ی
ک ی رم دراوم زا نما اب طبت
ی ت مرن هزوح اهرازفا
ی تحت لاعف بو ی ت هم ی دهنک ههک روهط ههب ههمادا رد
نآ اب رصتخم یم انشآ اه
میوش 13]
: [
2-3-1-2-1 OWASP Application Security Verification Standard (ASVS)
ه یئات تفایرد یارب تسادیپ ه ورپ نیا مان زا هک روط نام هید
درادناتهسا تهیاعر صوصخ رد ،بو یاهرازفا مرن یاهه
یم هتفرگ راک هب تینما .دوش
ای ن سررب روظنم هب هک درادناتسا
،ی حارط ی هناماس تست و اه
ی مرن رازفا ی هدمآ دوجوب بو
؛
اش کمک ی
نا ی هب همانرب ناسیون هعسوت و مرن ناگدنهد اهرازفا
ی م بو ی امن ی د هناماس ناوتب ات ا
ی نما اب ی ت دوهجوب ،اراک و لااب
روآ ن د . ای ن س ات دراد شلات درادناتسا ی
متس اه ی حارط رظن زا ار بو ی
قد ی ق نما ی ت ی نچمه و ی ن سررب ی بیسآ یریذپ اهه ی
ای ن لرتنک و تست هزوح اه
ی امن لامعا نآ رب ار مزلا ی
د و اهنرد ی ت لوبق لباق حطس ی
نما زا ی ت .دروآ مهارهف ار رهب
قهبط
ای ن درادناتسا ی
ک رس ی تست اه ی نما ی ت ی ور رب ی مرن بق زا رازهفا لهی
Cross Site Scripting
و
SQL Injection
ماهانا
یم اعر تروص رد و دوش ی
ت ا ندش ی ن مرن رد دراوم رد هب قفوم ،رازفا
ی تفا م درادناتسا ی
.دنوش 13] [
2-3-1-2-2 OWASP XML Security Gateway
ی XSGا
ای ن اپ تروصب درادناتسا ی
تول ا ی داا هدش تسا و تروصب یو هژ ارب ی رارقرب ی نما ی ت ارب ی راتخاس هدافتسا درومXML
م رارق ی یگ در .
2-3-1-2-3 OWASP Development Guide
امنهار ی مرن هعسوت ارب رازفا
ی همانرب ناسیون ا بو ی داا لماهش و تهسا هدهش هی
ک رهس ی اهدهک ههنومن ی
دربراهک ی و
ثمت ی ل ی نابز زا یاه همانرب ون ی س ی دننام وJ2EE ASP.NET
و یپ چا یپ م ی دشاب ا رد . ی ن وهن همانرب ،امنهار ی
و عاوهنا اهب
تحت تلامح ماسقا بق زا بو
ی ل
SQL Injection
نچمه و ی ن لامح ت دج هی رتد لماهش
Phishing
،
Session Fixation
و
سب ی را ی د ی رگ رح تلاکشم زا معا مهم لئاسم زا ی
م صوصخ ی اس بو رد ی
ت اه م انشآ ی نآ ههب و دنوهش عهفر تههج رد اهه
لامتحا تلاکشم ی
ا صوصخ رد ی
ن مرن رازفا امنهار اه یی
اه ی م هئارا مزلا ی
دوش . 13] [
2-3-1-2-4 OWASP Testing Guide
نامه هکروط زا مان یا ن امنهار ،تسا صخشم ه ورپ یی
ارب ی مرن زا نتفرگ نومزآ و تست اهرازفا
ی ربراهک ی تهحت بو
ا .تسا ی ن عقاو رد ه ورپ ی
ک امنهار ی تامدهقم ی ارهب ی ههمانرب ناهسیون بو
یهم دهشاب اهت ه ورهپ رد دهنناوتب اهه
ی تهست
ذوفن انس ی مرن هب اههرازفا ی تهحت و هدرهک هدافتهسا نآ زا بو نآ
عم ار هی را نما ی هت ی ا رد .دهنهدب رارهق دوهخ هی
ن اهمنهار
نکت ی ک اه ی تامدقم ی مرن هب هلمح و ذوفن ورس و رازفا
ی یاه تحت رشت بو ی ح .تسا هدش 13]
[
2-3-1-2-5 OWASP Code Review Guide
امنهار یی ارب ی اهدک رورم ی
زاس دنتسم و هدش هتشون ی
اهدک ی م هدش هتشون ی
دشاب همانرب هک یون
زا هپ دهناوتب
نتشون یا مرن هعسوت دربراک رازفا
ی امزآ ار نآ دوخ ،بو ی
ش اهدک رد فعض طاقن و هدرک ی
.دنک فرطرب ار هدش هتشون
2-3-1-2-6 OWASP ZAP Project
ای ن ه ورپ ی ک مرن انسذوفن تست رازفا ی
رقت ی اب هداس یم دشاب ارب هک ی تست ماانا اه
ی انس ذوفن ی
مرن هب رازهفا اهه ی
دربراک ی تحت م رارق هدافتسا دروم بو ی
یگ در ا . ی ن ارب رازبا ی همانرب هدافتسا یون
ناس اهرکه و ی سب دنمنوناق ی
را و بهسانم
دربراک ی م ی دشاب .
2-3-1-2-7 OWASP Software Assurance Maturity Model
ای ن ه ورپ ی ک ارب امنهار ی
نامزاس دنناوتب ات تسا اه ی
ک نما تسرد بوچراچ ی
ت ی لحت و ی ل نما ی ت ی ارب ی مرن اهرازفا ی
تحت ا دوخ بو ی
داا نما تلاکشم اب و دننک ی
ت ی مرن اهرازفا ی دربراهک ی تهحت ر و بو ی کهس اهه ی و دهنمفده تروهصب نآ
هلباقم دنمشور .دننک دروخرب و
12 بیسآ صیخشت
همانرب یریذپ یپ یاه
چا هکبش زا هدافتسا اب یپ فر یبصع یاه
2-3-1-2-8 Webgoat
ای ن ،ه ورپ ی ک مرن دربراک رازفا ی
تحت بو یم دشاب مامت هک ی فعض طاقن ی
طهسوت لاهح هب ات هک
OWASP
هتخانهش
هدش زاام تروصب ار دنا ی
بلاق رد و ی
ک حم ی ط همانرب ون ی س ی بش هدش ی ه زاس ی تخا رد و ی را همانرب ناسیون م رارق ی .دهنهد
دارفا ی انشآ تلامح عاونا اب هک یی
پ ی اد هدرک دنا یلو م ی لمع تروصب ار نآ دنهاوخ ی
فاک دننک رد ی
تس ا ی ن مرن ار رازهفا
رط زا و بصن ار نآ و هدرک دولناد ی
ق امنهار ی مامت نآ ی بش تروصب ار تلامح ی
ه زاس ی .دنهد ماانا هدش
2-3-1-2-9 OWASP Top Ten
ا زا فده ی
ن علاطا ه ورپ ناسر
ی نما تلاکشم صوصخ رد ی
ت ی ار ی ج مرن اهرازفا ی تحت هد رادشه و بو ی
نامزاس هب اهه
نما صوصخ رد ی
ت همانرب اه ی تحت بو یم دشاب . 10]
نب[
ی دا
OWASP
لاسدنچره ی
ک هبترم ل ی تهس ی صخاهش زا رهت
ی ن
سآ ی ب ذپ ی ر ی مرن رد تلامح و ورس و رازفا
ی اه ی تهحت هدهش هئارا د بو
ر رط زا ار ناههج رهساترس هی
ق دنتهسم ی ههئارا
م ی دهد ا هک ی ن ل ی تس انبم ی نما ی ت ی مرن اهرازفا ی تحت هب بو هم رامهش ی
دور ا . هی ن رهه رد لاوهمعم تهسرهف 3
- 4 لاهس
دات ی د م ی دوش رخآ هصلاخ . ی
ن سآ ی ب ذپ ی ر ی اه ی لاس رد هدش رشتنم 2017
ا طسوت ی ن نب ی دا ز حرش هب ی
ر تسا 13]
:[
1 - 9 - 2 - 1 - 3 - 2 رزت ي
27ق
تلامح رزت ی ق نامز ی م قافتا ی دتفا هداد دناوتب ربراک هک اه
ی غ ی لهباقر مطا ی ناهن بو رد ار لپا
ی ک ی نهش ا .دهنک دراو هی
ن
سآ ی ب ذپ ی ر ی ا زا ی ن شان ی م ی دوش ه هک ی چ هنوگ سررب ی ور رب ی رئوک ی اه ی دورو ی لپا هب ی ک ی نش .دوشن لامعا اتدمع
ا هی ن
سقت شخب ود هب هلمح عون ی
م م ی دوش 13]
:[
- سم ی ر اه ی ارجا تاروتسد لاسرا یی
- ارجا ی فده مرفتلپ رد تاروتسد
رد سم اب هطبار ی
ر اه ی ارجا تاروتسد لاسرا یی
، لک تروص هب ی
3 ش ی هو ارب ی ارجا تاروتسد لاسرا یی
دوهجو رورس هب
:دراد - رط زا لاسرا ی
ق غتم ی ر اه ی رعت ی ف سردآ رد هدش اس بوURL
ی ت (
Query String
)اه
- رط زا لاسرا ی
ق نع رصا نتم هبعج دننام مرفHTML
اه هک رد مرن رازفا یاه تحت هب بو رد روظنم ی
تفا زا تاهعلاطا
ارب ناربراک ی
دننام صاخ دصاقم ماانا ای
،داا و ی ار ی ش و یا رد ی تفا م هدافتسا تاعلاطا ی
دنوش .
- رط زا لاسرا ی
ق اف ی ل اه یی مرن هک نآ رازفا م شزادرپ ار اه ی
دنک اف . ی ل اه یی دهننام راتخاهس ههکXML
ی اوهتحم یی
ارب و دنراد ی
مرن و دنتسه رورس هب تاعلاطا لاقتنا نآ رازفا
تسد روظنم هب ار اه ی
با ی م شزادرپ تاعلاطا هب ی
دنک .
یم ریز تروص هب فده مرفتلپ رد تاروتسد یارجا هوحن دشاب
:
- بو رورس : لمع ماانا روظنم هب ی
تا رخت یب ی ور رب ی رورس یا تسد هب روآ ی و رورهس لرهتنک هی
ا ندرهک ارهجا هی
ک
و ی سور ور رب ی .رورس
- اپ رورس ی هاگ هداد : دک ندرک ارجا روظنم هب اه
ی اپ ی هاگ هداد ا ی ارهب ی ههب تهسد ههب نآ رد دوهجوم تاهعلاطا ندروآ
تروص ی لرتنک هک اه
ی نما ی ت ی مرن هداد ،رازفا اه
ی رد ی تفا ی ف ار ی رتل .دنکن
27Injection