تست نفوذ دستی یا ابزار اتوماتیک
تست نفوذ دستی و اتوماتیک، هدف یکسانی دارند. تنها تفاوت بین آنها، مسیر اجراست. همانطور که از اسم تست نفوذ دستی پیداست توسط انسان انجام می شود(متخصصان این زمینه) و تست نفوذ اتوماتیک هم توسط خود ماشین انجام می شود.
این بخش؛ مفهوم، تفاوت ها، و کاربرد هر دو را آموزش می دهد.
تست نفوذ دستی چیست؟
این تست توسط انسان انجام می گیرد و آسیب پذیری و خطر دستگاه بوسیله مهندس متخصص تست می شود.
به طور کلی، مهندسان تست، روش های زیر را انجام می دهند:
- جمع آوری داده ها- جمع آوری داده ها نقش مهمی در تست دارد. می توان داده ها را بصورت دستی جمع آوری کرد یا می توان از خدمات ابزار (مانند تکنیک تجزیه و تحلیل سُرسْ کدِ یک صفحه و غیره) استفاده کرد که بصورت آنلاین در دسترس است. این ابزارها به جمع آوری اطلاعاتی مانند نام جدول، نسخه های DB، دیتابیس، نرم افزار، سخت افزار، یا حتی در مورد پلاگین های مختلف شخص ثالث و غیره هم کمک می کنند.
- ارزیابی آسیب پذیری– پس از جمع آوری داده ها، به آزمایش کنندگان کمک می کند نقاط ضعف امنیتی را تشخیص، و بر این اساس اقدامات پیشگیرانه را انجام دهند.
- بهره برداری واقعی- این یک روش معمول است که تستر متخصص استفاده می کند تا حمله به سیستم هدف را راه اندازی کند و به این ترتیب، ریسک حمله را کاهش می دهد.
- تهیه گزارش- پس از انجام نفوذ، تستر گزارش نهایی را تهیه می کند که همه موارد سیستم را شرح می دهد. سرانجام گزارش، تجزیه و تحلیل می شود تا برای محافظت از سیستم هدف، اقدامات اصلاحی انجام شود.
انواع تست نفوذ دستی
این تست معمولا به دو روش زیر طبقه بندی می شود:
- تست نفوذ دستی متمرکز- این یک روش بسیار متمرکز است که آسیب پذیری ها و خطرات خاص را آزمایش می کند. تست نفوذ خودکار نمی تواند این آزمایش را انجام دهد و فقط توسط متخصصان انسان انجام می شود که آسیب پذیری های کاربردی خاص را در دامنه های معین بررسی می کنند.
- تست نفوذ دستی جامع– از طریق تست کل سیستم های متصل به هم برای شناسایی انواع خطر و آسیب پذیری است. با این حال، عملکرد این تست به موقعیت بستگی دارد، مثل بررسی اینکه آیا چندین نقص دارای ریسک پایین تر می توانند سناریوی حمله آسیب پذیرتری را به همراه داشته باشند یا خیر.
تست نفوذ اتوماتیک چیست؟
این تست بسیار سریع، کارآمد، آسان و قابل اطمینان است که آسیب پذیری و خطر دستگاه را بطور اتوماتیک تست می کند. این فناوری به هیچ مهندس خبره ای احتیاج ندارد، بلکه می تواند توسط هر شخص دارای حداقل دانش در این زمینه هم اجرا شود. ابزارهای این تست شامل Nessus، Metasploit، OpenVAs ، backtract (سری 5) و غیره می باشند و بسیار کارآمد هستند که کارایی و مفهوم تست نفوذ را تغییر دادند.
با این حال، جدول زیر تفاوت اساسی بین تست نفوذ دستی و اتوماتیک را نشان می دهد:
تست نفوذ دستی |
تست نفوذ اتوماتیک |
برای اجرای تست، به مهندس خبره نیاز است. | اتوماتیک است بنابراین حتی یک مبتدی هم می تواند تست را اجرا کند. |
ابزارهای متفاوتی برای تست لازم است. | به ابزارهای یکپارچه ای از بیرون نیاز دارد. |
نتایج هر تست می توانند با هم فرق داشته باشند. | نتایج ثابتی دارد. |
به پاکسازی حافظه توسط تستر نیاز دارد. | به پاکسازی حافظه نیازی نیست. |
جامع و زمانبر است. | کارآمدتر و سریع تر است. |
مزایای بیشتری دارد مثلا اگر متخصصی تست نفوذ را انجام دهد می تواند تحلیل بهتری داشته باشد، فکر هکر و نقطه حمله اش را بخواند و از این رو می تواند امنیت را اجرا کند. |
نمی تواند موقعیت را تحلیل کند. |
طبق نیاز، متخصص می تواند چندین تست را انجام دهد. |
نمی تواند چندین تست را انجام دهد. |
برای شرایط بحرانی، قابل اطمینان تر است. | برای شرایط بحرانی، قابل اطمینان نست. |