تصویر [نام شما]
آمادهٔ پذیرش اولین پروژه‌های جدی پنتست
Web Application Security, Ethical Pentest

دکتر نوید قلی زاده

متخصص امنیت وب با تمرکز بر تست نفوذ، گزارش‌دهی شفاف و مشاوره بعد از پنتست

سال‌هاست روی امنیت وب، تمرین، تست و مطالعهٔ مداوم کرده‌ام و حالا تمرکز من روی پنتست وب‌اپ، تبدیل نتیجه‌ها به گزارش‌های قابل فهم برای تیم فنی و غیر فنی، و همراهی در مرحلهٔ بعد از پنتست است؛ جایی که تصمیم‌های واقعی گرفته می‌شوند.
در کنار آن، دانشجوی پزشکی هستم؛ چیزی که برای من بیشتر از هر چیز، یادآور دقت، مسئولیت‌پذیری و کار سیستماتیک است.

وب‌اپلیکیشن‌های حساس به داده و حریم خصوصی
تمرکز روی کیفیت گزارش، نه تعداد باگ

امنیت وب، بدون اغراق و بدون شعار

به‌جای رزومه‌سازی و پروژه‌های اغراق‌شده، روی یک چیز تمرکز کرده‌ام: کار عمیق و واقعی روی امنیت وب. سال‌ها تمرین روی سناریوهای واقعی، تحلیل باگ ها، کار با CTFها و وسواس نسبت به جزئیات. هدفم همکاری با تیم‌هایی است که امنیت را جدی می‌گیرند و دنبال خروجی واقعی—نه شعار—هستند.

آن‌چه می‌توانید از من انتظار داشته باشید
  • تمرکز روی تحلیل دقیق و گزارش قابل‌اقدام؛ نه ساختن یک لیست بلند از اصطلاحات OWASP.
  • هر یافته هم با جزئیات کامل برای تیم فنی توضیح می‌شود، هم برای مدیران غیرفنی به زبان تصمیم‌گیری ساده‌سازی می‌شود.
  • صداقت در ریسک: جایی که تهدید واقعی نیست، بزرگ‌نمایی نمی‌کنم؛ جایی که خطر جدی است، بدون تعارف هشدار می‌دهم.
پزشکی چه نقشی دارد؟

پزشکی برای من فقط یک رشته نیست؛ بلکه یک نوع نگاه است:

  • توانایی کار با داده‌های زیاد، تصمیم‌گیری زیر فشار و پذیرش مسئولیت.
  • تفکر مبتنی بر شواهد؛ رویکردی که به شکل طبیعی وارد کار امنیت شده است.
  • احترام مطلق به داده‌های حساس—چه پروندهٔ پزشکی باشد چه اطلاعات کاربران یک وب‌اپ.

تمرکز اصلی: پنتست وب + گزارش و مشاوره

اگر وب‌اپ شما در محیط واقعی استفاده می‌شود و می‌خواهید بدانید در برابر حملات واقعی چقدر مقاوم است، یا اگر گزارش قبلی دارید اما نمی‌دانید از کجا باید شروع کنید، این‌جا احتمالاً نقطهٔ هم‌فکری ماست.

تست نفوذ اپلیکیشن‌های تحت وب (Web Pentest)
تمرکز روی سناریوهای واقعی، نه فقط چک‌لیست

ارزیابی وب‌اپ شما با نگاه یک مهاجم واقعی؛ بر پایهٔ استاندارد OWASP، تجربه عملی و تمرین روی سیستم‌های واقعی—not checklist. تمرکز روی:

  • احراز هویت و آسیب پذیری های دسترسی به حساب، سشن، نقش‌ها و کنترل دسترسی
  • حملات تزریقی، XSS، OAuth، JWT tokens، Cache Poisoning، CSRF و سوءاستفاده از منطق کسب‌وکار
  • APIهای داخلی و عمومی و مسیرهایی که معمولاً زیر رادار می‌مانند
گزارش‌دهی دو لایه (فنی + غیرفنی)
گزارش قابل اقدام، نه PDF که کسی نخواند

پنتست زمانی ارزش دارد که منجر به اقدام شود. گزارش‌ها را در دو نسخه آماده می‌کنم:

  • نسخهٔ فنی: جزئیات کامل، PoC، مسیر exploit و پیشنهاد رفع.
  • نسخهٔ مدیریتی: سطح ریسک، اولویت‌ها، پیامدهای کسب‌وکاری و «سه اقدام اول» که باید فوراً انجام شوند.
مشاوره بعد از پنتست
همراهی تا اجرای تغییرات واقعی

بعد از پنتست معمولاً سؤال اصلی این است: «از کجا شروع کنیم؟». در این مرحله کمک می‌کنم:

  • اولویت‌بندی ریسک‌ها و ساختن نقشه‌راه رفع
  • تصمیم‌گیری درباره ریسک‌های قابل‌پذیرش vs ریسک‌هایی که باید رفع شوند
  • ترجمه خروجی‌ها به زبان تیم توسعه برای رفع سریع‌تر و کم‌هزینه‌تر
نتیجه ای که دریافت میکنید
خروجی تحویلی

خلاصه ای از آنچه که دریافت میکنید:

  • گزارش PDF حرفه‌ای
  • لیست آسیب پذیری ها به ترتیب ریسک
  • نحوه رفع آسیب پذیری ها
  • PoC
  • جلسه توضیح نتایج و مشاوره

از شناخت محصول تا گزارش و تصمیم‌گیری

فرآیند همکاری ساده است؛ اما در هر مرحله تلاش می‌کنم همه‌چیز شفاف بماند و هیچ نقطهٔ مبهم یا نیمه‌کاره‌ای باقی نماند.

چهار گام اصلی
  • ۱ شناخت محصول گفت‌وگوی کوتاه درباره نوع وب‌اپ، داده‌های حساس، کاربران و نگرانی‌های اصلی.
  • ۲ تعریف محدوده و هدف تعیین بخش‌های قابل تست، بخش‌های خارج از محدوده و خروجی مورد انتظار.
  • ۳ تست و تحلیل اجرای پنتست با تحلیل سناریوهای واقعی؛ جایی که منطق حمله مهم‌تر از چک‌لیست است.
  • ۴ گزارش و همراهی تحویل گزارش فنی + مدیریتی و در صورت نیاز، جلسه توضیح و طراحی نقشه راه رفع.
اگر اولین بار است پنتست می‌گیرید…

طبیعی است اگر دقیق ندانید چه می‌خواهید. کافی است در چند جمله بگویید:

  • وب‌اپ شما چه‌کار می‌کند
  • چه داده‌ای در آن مهم‌تر است
  • چه چیزی بیشترین نگرانی را ایجاد کرده

از همان‌جا به بعد، من کمک می‌کنم محدوده و هدف تست را مشخص کنیم و مسیر کاملاً روشنی بسازیم.

اگر امنیت وب‌اپ شما برای‌تان جدی است، از همین‌جا شروع کنیم

برای شروع همکاری، لازم نیست یک توضیح طولانی آماده کنید. چند خط دربارهٔ محصول، وضعیت فعلی و نگرانی‌تان کافی است تا بتوانیم تصویر اولیه‌ای بسازیم.

فرم تماس

محتوای فرم پس از ارسال به ایمیل من فرستاده میشود.
پاسخ در کمتر از ۲۴ ساعت 🚀

راه‌های ارتباط مستقیم

ترجیح میدم ابتدا از طریق ایمیل یا لینکدین یک تصویر اولیه از نیاز شما داشته باشم و بعد، اگر لازم بود، جلسهٔ کوتاهی (آنلاین) برای مرور جزئیات تنظیم کنیم.