penetration testing method

بررسی روش های انجام تست نفوذ پذیری

تست نفوذ پذیری ( Penetration Tests ) شامل آزمایش سیستم های کامپیوتری، شبکه ، وب سایت و برنامه  تحت وب است تا نقاط آسیب پذیری که مهاجم می تواند از…

تست نفوذ پذیری ( Penetration Tests ) شامل آزمایش سیستم های کامپیوتری، شبکه ، وب سایت و برنامه  تحت وب است تا نقاط آسیب پذیری که مهاجم می تواند از آن ها استفاده کند، شناسایی و آزمایش شوند.

تست نفوذ می تواند به صورت خودکار با برنامه های نرم افزاری و یا به صورت دستی انجام شود.روش کلی تست به این صورت است که ابتدا فرد یا گروه تست کننده شروع به جمع آوری اطلاعات در مورد هدف مورد نفوذ میکنند تا بتوانند نقاط ورودی احتمالی  را شناسایی و به انها نفوذ کنند.

هدف اصلی تست نفوذ، تعیین نقاط ضعف امنیتی است و به افرادی که این کار را انجام میدهند در اصطلاح هکر کلاه سفید میگویند زیرا هدف انان تخریب یک سیستم نیست و میخواهند به افزایش امنیت در سازمان ها کمک کنند.

موارد کاربردی این تست شامل شناسایی نقاط ضعف ساختار امنیتی سازمان و شناسایی اگاهی افراد سازمان از انواع خطرات احتمالی و توانایی سازمان در پاسخ به انواع حملات است.

 

انواع روش های انجام تست نفوذ پذیری

تست نفوذ جعبه سیاه

تست نفوذ جعبه سفید

تست نفوذ جعبه خاکستری

 

تست نفوذ جعبه سیاه (Black Box Penetration Testing):

در تست نفوذ جعبه سیاه، نفوذگر هیچ ذهنیتی در مورد سیستم هایی که در حال آزمایش هستند ندارد. او علاقه مند به جمع آوری اطلاعات در مورد شبکه یا سیستم هدف است. به عنوان مثال، در این تست یک نفوذگر فقط می داند که باید نتیجه مورد انتظار بدست بیاید اما او نمی داند که نتایج چگونه به دست می آیند. او کدهای برنامه نویسی را بررسی نمی کند.

مزایای تست نفوذ جعبه سیاه:

نفوذگر لزوما یک کارشناس نیست، زیرا به دانش خاص زبان نیاز ندارد

    نفوذگر تناقض در سیستم واقعی و مشخصات را تایید می کند

تست عموما با نگاهی به یک کاربر، نه طراح انجام می شود

معایب تست نفوذ جعبه سیاه:

طراحی و انجام چنین آزمایش هایی بسیار دشوار است

درصورتی که روش دیگری برای تست وجود داشته باشد انجام این تست ارزش ندارد

تست نفوذ جعبه سفید(White Box Penetration Testing):

این تست جامع است، زیرا نفوذگر با طیف گسترده ای از اطلاعات در مورد سیستم ها و یا شبکه مانند Schema، کد منبع، جزئیات سیستم عامل، آدرس IP و غیره درارتباط است.این نوع تست به طور معمول به عنوان شبیه سازی یک حمله توسط یک منبع داخلی وهمچنین به عنوان ساختار، جعبه شیشه ای، جعبه روشن و آزمایش جعبه باز شناخته می شود.

تست نفوذ جعبه سفید بررسی پوشش کد و تست جریان داده ها، آزمایش مسیر، تست حلقه و غیره است.

مزایای تست نفوذ جعبه سفید

اشتباهات طراحی که ممکن است به دلیل تفاوت بین اجرای منطقی برنامه و اجرای واقعی رخ دهد را پیدا میکند.

تضمین می کند که تمام تصمیمات منطقی همراه با ارزش درست و نادرست آنها تأیید شده اند.

اشتباهات تایپی را می یابد وکد ها را چک میکند.

تست نفوذ جعبه خاکستری( Grey Box Penetration Testing):

در این نوع تست، نفوذگر معمولا اطلاعات جزئی یا محدودی درباره جزئیات داخلی برنامه یک سیستم ارائه می دهد. همچنین می تواند به عنوان یک حمله توسط یک هکر خارجی که دسترسی نامشروع به اسناد مربوط به زیرساخت های شبکه سازمان را به دست آورد، در نظر گرفته شود.

مزایای تست نفوذ پذیری جعبه خاکستری:

نیازی به ارائه اطلاعات داخلی در مورد توابع برنامه و سایر عملیات نیست چرا که نفوذگر دسترسی به کد منبع را ندارد، پس این تست غیر مغضوب و بی طرفانه است.


مهدی قناد – تیم امنیت پاوان

 

دسته: امنیت شبکه
Penetration Testing

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

keyboard_arrow_up