Ushbu o‘quv bo‘limi quyidagi o‘quv maqsadlarini o‘z ichiga oladi:

• Veb-ilovalarni xavfsizlik nuqtai nazaridan test qilish talablari bilan tanishish
• Veb-ilovalarni test qilishning turli xil turlari va metodologiyalarini o‘rganish
• OWASP Top 10 ro‘yxati va eng ko‘p uchraydigan veb zaifliklar haqida ma’lumotga ega bo‘lish

Biz aniqlash (enumeration) va ekspluatatsiya (exploitation) haqida muhokamaga kirishishdan oldin, veb-ilovalarni pen-test qilish (penetration testing) bo‘yicha turli metodologiyalarni ko‘rib chiqamiz.

Penetratsion test qiluvchi sifatida, veb-ilovani tekshirishda bizga taqdim etilgan ma’lumotlarga, ko‘lamga (scope) va aniq belgilangan tekshiruv qoidalariga qarab uch xil usuldan foydalanishimiz mumkin:

White-box (oq quti) testlash — bu holatda bizga ilovaning manba kodi, uni joylashtirgan infratuzilma va dizayn hujjatlari bo‘yicha to‘liq cheklanmagan kirish huquqi beriladi. Bu turdagi testlash ilovaning yanada kengroq ko‘rinishini taqdim etadi, shu sababli, manba koddagi zaifliklarni aniqlash uchun alohida malakalar zarur bo‘ladi. White-box testlashda talab qilinadigan ko‘nikmalar qatoriga manba kodini va ilova logikasini tahlil qilish kiradi. Bu usul, ayniqsa kod bazasi katta bo‘lsa, ko‘proq vaqt talab qilishi mumkin.

Boshqa tomondan, black-box (qora quti) testlash — bu nol bilimli (zero-knowledge) testlash deb ham ataladi — bizga nishon bo‘lgan ilova haqida hech qanday ma’lumot taqdim etilmaydi. Shu sababli, bu usulda testlovchi ko‘p vaqtini aniqlash bosqichiga sarflashi kerak bo‘ladi. Aksariyat bug bounty (xatolik uchun mukofot) dasturlarida aynan shu yondashuv qo‘llaniladi.

Grey-box (kulrang quti) testlash esa — bu holatda bizga ma’lum bir chegaralangan miqdordagi ma’lumotlar, masalan autentifikatsiya usullari, hisob ma’lumotlari yoki ramka (framework) haqida qisqacha tafsilotlar beriladi.

Ushbu modulda biz qora quti — black-box testlashga e’tibor qaratamiz, bu orqali veb-ilovalar bilan ishlash bo‘yicha ko‘nikmalarni rivojlantiramiz.

Shuningdek, ushbu va keyingi modullarda veb-ilovadagi zaifliklarni aniqlash (enumeration) va ekspluatatsiya (exploitation) qilishni o‘rganamiz. Garchi zaifliklar va hujumlar murakkabligi jihatidan farq qilsa-da, biz OWASP Top 10 ro‘yxatidagi bir nechta keng tarqalgan zaifliklardan qanday foydalanishni amaliy ko‘rsatamiz.

OWASP jamg‘armasi dunyo bo‘ylab dasturiy ta’minot xavfsizligini yaxshilashga qaratilgan. Ular bu maqsad doirasida har yili veb-ilovalar uchun eng muhim xavfsizlik tahdidlarini o‘z ichiga olgan OWASP Top 10 ro‘yxatini ishlab chiqadilar.

Ushbu hujum yo‘llarini (attack vectors) tushunish, keyingi modullarda o‘rganiladigan yanada ilg‘or hujumlarni qurish uchun zarur bo‘lgan asosiy bilim poydevorini yaratadi.