• صفحه اصلی
  • محصولات
    • سامانه فایروال / UTM
      • فایروال P1 Enterprise
      • فایروال P1 Pro
      • فایروال P1-Basic
    • سامانه های اکانتینگ و احراز هویت
      • سامانه اکانتینگ
      • هات اسپات P-HS100
    • سامانه دسترسی سازمانی
      • سامانه ی دور کاری سازمانی (PAM)
    • سامانه APN Security Gateway
      • سامانه APN Security Gateway
    • کش سرور
      • کش سرور—-RCS Pro
    • نرم افزارهای امنیتی
      • Port Information
      • IP Calculator
      • Pavan Configurator
      • نرم افزار Ip Information
    • نرم افزار های سازمانی
      • نرم افزارهای سازمانی
    • Web Application Firewall (WAF)
  • خدمات
    • انجام تست نفوذ و ارزیابی امنیتی
      • انجام تست نفوذ و ارزیابی امنیتی
      • تست نفوذ و ارزیابی امنیتی شبکه
      • ارزیابی امنیتی سامانه های تحت وب
      • ارزیابی امنیتی شبکه و اتوماسیون صنعتی
      • تست نفوذ نرم افزار موبایل
      • استعلام گواهی ارزیابی امنیت محصول
    • مشاوره واکنش به رخدادهای امنیتی با پاوان CSIRT
    • مشاوره و راه اندازی مرکز عملیات امنیت ( SOC )
    • بازیابی از بحران و تداوم کسب و کار
    • خدمات مدیریت وصله ها و بروزرسانی امنیتی
    • خدمات شبکه با رویکرد پدافند غیر عامل
    • طراحی نرم افزار و وب سایت
    • اجرای طرح های مطالعاتی و تحقیقاتی
  • مقالات آموزشی
    • اخبار تست نفوذ و آسیب پذیری ها
    • امنیت شبکه
    • اخبار امنیت شبکه و اطلاعات
    • آموزش امنیت سایبری
    • تازه های شبکه
  • پاوان
    • درباره شرکت
    • تماس با ما
    • قوانین و مقررات
    • همکاری با ما
    • گزارش خطا

انواع تست نفوذ

مرداد 10, 1398اخبار تست نفوذ و آسیب پذیری هابدون دیدگاهپاوان

انواع تست نفوذ معمولاً به دامنه و خواسته ها و شرایط سازمانی بستگی دارد. در این قسمت، در مورد انواع تست نفوذ بحث می کند و  همچنین به عنوانPen  Testing هم شناخته می شود.

 

انواع Pen Testing(تست نفوذ)

نمونه های مهم تست نفوذ عبارتند از:

  • تست نفوذ جعبه سیاه
  • تست نفوذ جعبه سفید
  • تست نفوذ جعبه خاکستری

برای شناخت بهتر، بیایید هر کدام را به طور مفصل توضیح می دهیم:

تست نفوذ جعبه سیاه

در تست نفوذ جعبه سیاه، نفوذگر هیچ ایده ای در مورد تست سیستم ها ندارد. او علاقمند به جمع آوری اطلاعات در مورد سیستم یا شبکه هدف است. برای مثال، در این تست، نفوذگر فقط در مورد نتایج مورد انتظار می داند و در مورد راه رسیدن به این نتایج چیزی نمی داند. او هیچ کد برنامه نویسی را امتحان نمی کند.

 

مزایای تست نفوذ جعبه سیاه عبارتند از:

  • نفوذگر نباید لزوما متخصص باشد چون دانش زبان خاصی درخواست نمی شود.
  • نفوذگر، تناقضات و ویژگی هایی را در سیستم واقعی مشخص می کند.
  • به طور کلی تست، با دیدگاه کاربر انجام می شود و نه دیدگاه طراح.

 

معایب تست نفوذ جعبه سیاه عبارتند از:

  • طراحی این نوع موارد تست، به طور ویژه ای متفاوت هستند.
  • احتمالا فایده ای ندارد چون طراح قبل از این، تست را اجرا کرده است.
  • هر چیزی را اجرا نمی کند.

 

تست نفوذ جعبه سفید

این یک آزمایش جامع است، زیرا نفوذگر طیف وسیعی از اطلاعات سیستم ها و یا شبکه مانند Schema ، Source code، جزئیات سیستم عامل ، آدرس IP و غیره را تهیه کرده است. معمولا به عنوان شبیه ساز حمله توسط یک منبع داخلی ارزیابی می شود. همچنین به عنوان تست جعبه باز، جعبه شفاف، و جعبه شیشه ای ساختاری شناخته می شود.

تست نفوذ جعبه سفید، پوشش کد را بررسی می کند و آزمایش جریان داده ها، تست مسیر، تست لوپ(تکرار) و غیره را انجام می دهد.

 

مزایای تست نفوذ جعبه سفید عبارتند از:

  • تضمین می کند که تمام گذرگاههای ماژول، بکار گرفته شده است.
  • تضمین می کند که تمام تصمیمات منطقی، به همراه ارزش درست و نادرستشان بررسی شده اند.
  • خطاهای تایپوگرافی(تایپی) را کشف می کند و بررسیsyntax انجام می دهد.
  • خطاهای طراحی را پیدا می کند که ممکن است به دلیل تفاوت بین روند منطقی برنامه و اجرای واقعی رخ داده باشد.

 

تست نفوذ جعبه خاکستری

در این نوع تست، معمولاً نفوذگر اطلاعات جزئی یا محدودی درباره جزئیات داخلی برنامه یک سیستم ارائه می دهد. می تواند به عنوان یک حمله توسط یک هکر خارجی در نظر گرفته شود که به طور غیرقانونی به اسناد زیرساخت شبکه سازمان دسترسی پیدا کرده است.

 

مزایای تست نفوذ جعبه خاکستری عبارتند از:

  • چون نفوذگر نیازی به دسترسی به کد سُرس(source) ندارد پس غیرمزاحم و بیطرف است.
  • ازآنجایی که تفاوت روشنی بین توسعه دهنده و نفوذگر وجود دارد، بنابراین دارای حداقل خطر تعارض شخصی می باشد.
  • شما نیازی به تهیه اطلاعات داخلی در مورد فعالیت های برنامه و سایر عملیات ندارید.

 

نواحی تست نفوذ

معمولا تست نفوذ در سه بخش زیر انجام می شود:

  • تست نفوذ شبکه- در این تست، ساختار فیزیکی یک سیستم باید مورد آزمایش قرار گیرد تا آسیب پذیری و خطری که امنیت یک شبکه را تضمین می کند، شناسایی شود. در محیط شبکه سازی، نفوذگر نقص های امنیتی را در طراحی، اجرا یا عملیات شبکه شرکت یا سازمان مربوطه شناسایی می کند. دستگاه هایی که توسط نفوذگر تست می شوند می توانند رایانه ، مودم یا حتی دستگاه های ریموت و غیره باشند.

 

  • تست نفوذ برنامه- در این تست، ساختار منطقی سیستم باید مورد آزمایش قرار گیرد. این یک شبیه ساز حمله طراحی شده برای نشان دادن کارایی کنترل های امنیتی شبکه است که آسیب پذیری و خطر را شناسایی می کند. برای محافظت از سیستم امنیتی از فایِروال و سایر سیستم های مونیتوتورینگ(نظارتی) استفاده می شود، اما گاهی اوقات، تست متمرکز به خصوص در مواقعی نیاز است که ترافیک، اجازه عبور از فایروال را داشته باشد.

 

  • پاسخ یا روندکار سیستم- این سومین بخشی است که باید آزمایش شود. مهندسی اجتماعی برای کسب اطلاعات سازمان و کامپیوترهای آن، به جمع آوری اطلاعات مربوط به تعامل انسان می پردازد. تست توانایی اجتناب سازمان مربوطه از دسترسی غیرمجاز به سیستم های اطلاعاتی آن بسیار سودمند و مفید است. به همین ترتیب، این تست منحصرا برای روند کار شرکت یا سازمان، طراحی می شود.

 

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

جستجو

جدیدترین مطالب سایت

  • PAVAN ACCESS TERMINAL
  • مباحث قانونی و حقوقی تست نفوذ
  • تست نفوذ - اصلاحات و راهکارهای پیشنهادیاصلاحات و راهکارهای پیشنهادی تست نفوذ
  • محدودیت های تست نفوذ
  • تست نفوذ و تفاوت ها با هک اخلاقی
  • تست نفوذ- هک اخلاقی
  • تست نفوذ- گزارش نویسی
  • تست نفوذ- انتخاب پیمانکار
  • تست نفوذ – شبکه و زیرساخت
  • تست نفوذ – ابزارها
  • تست نفوذ دستی یا ابزار اتوماتیک
  • انواع تست نفوذ
  • تست نفوذ یا ارزیابی آسیب پذیری ؟
  • مراحل تست نفوذ
  • تست نفوذ چیست و چرا لازم است؟
  • تست نفوذ چیست ؟
  • Adobe Flash Player Vulnerabilitiesآسیب پذیری های متعدد Adobe Flash Player
  • آسیب پذیری متعدد Microsoft Windows PDF Libraryآسیب پذیری های متعدد Windows PDF Library
  • Microsoft Silverlightآسیب پذیری های متعدد Microsoft Silverlight
  • IE vulnerabilitiesآسیب پذیری متعدد اینترنت اکسپلورر IE
آشنایی با شرکت پاوان

شرکت ارتباط گستر رشد پاوان در سال 1385 با هدف خدمت به جامعه علمی و صنعتی کشور در زمینه های مختلف عرصه ارتباطات و فناوری اطلاعات از جمله امنیت شبکه در مرکز رشد فناوری دانشگاه شهید چمران متولد گردیده است. این شرکت مبتکر طرح امنیت شبکه ملی هوشمند پاوان است که منطبق با نیازهای راهبردی و استراتژیک منطقه بویژه با درنظر گرفتن حملات و سناریوهای تهدیدات سایبری علیه امنیت ملی می باشد. و همچنین در تولید برخی تجهیزات ارتباط بیسیم فرکانس 2.4 مگاهرتز ترکیبی فعالیت نموده و علاوه بر طراحی و ابداع چندین پروژه در زمینه ارتباطات و انتقال اطلاعات به روش های ارسال رادیویی، در زمینه های ذیل خدمات شایان ذکری را به نهادها و سازمان های مختلف ارائه نموده است.
اطلاعات بیشتر

خدمات امنیتی

  • انجام تست نفوذ و ارزیابی امنیتی
  • آخرین تهدیدات امنیتی کشف شده
  • اجرای طرح های مطالعاتی و تحقیقاتی
  • ارزیابی امنیتی سامانه های تحت وب
  • خدمات مدیریت وصله ها و بروزرسانی امنیتی
  • خدمات شبکه با رویکرد پدافند غیر عامل
  • طراحی نرم افزار و وب سایت
  • مشاوره واکنش به رخدادهای امنیتی

پیوند ها

  • همکاری با ما
  • تماس با ما
  • درباره ما
  • گزارش خطا

تمامی حقوق این سایت متعلق به شرکت پاوان می باشد.

همکاری با ما