تست نفوذ وب
تست نفوذ اپلیکیشن
تست نفوذ شبکه
hafizit.ir

تست نفوذ و ارزیابی آسیب پذیری

یکی از مهمترین معیارهای سنجش عملکرد یک سایت امنیت آن می باشد. امروزه با توجه به تنوع حملات، افزایش امنیت سایت اهمیت بالایی دارد. تست نفوذ یکی از بهترین روش ها برای بالا بردن امنیت می باشد.

Penetration test
فرایند آزمون نفوذ و ارزیابی آسیب پذیری

همواره وب سایت ها و صفحات تحت وب یکی از مهمترین دارائی های یک سازمان می باشد. در واقع در دنیای دیجتال می توان وبسایت را ویترین یک سازمان نامید که مشتریان برای آشنایی با سازمان ابتدا به آن مراجعه می­کنند. یک سایت مناسب می تواند مشتریان را ترغیب به  برقراری ارتباط بیشتر با سازمان نماید و نیز یک سایت ضعیف می توان نتنیجه ای عکس داشته باشد.

امنیت سایت

امنیت در جوامع بشری به حفاظت در مقابل تهدیدات گفته می شود. در واقع امنیت یعنی دور بودن از خطراتی که جان، سلامتی و منافع مارا تهدید میکنند.

امنیت در کامپیوتر به معنی دسترسی غیرمجاز به منابع دیگران می باشد. هدف از امنیت یک سامانه اطمینان از صحت عملکرد آن می باشد. سامانه های که در دسترس عموم می باشند بالاترین ریسک را در مقابل دسترسی های غیرمجاز دارند.

 

تست نفوذ سایت

تست نفوذ وبسایت را می توان یک مانور واقعی برای شناسایی و برطرف سازی آسیب پذیری های سامانه نامید. در عملیات تست نفوذ تمامی آسیب پذیری ها بررسی می شوند. ممکن است مواردی وجود داشته باشند که از نظر طراحان سایت اهمیت بالائی نداشته باشند اما باعث نفوذ به وب سایت شوند. تست نفوذ سایت به مدیران کمک می‌کند تا یک ارزیابی کامل از وضعیت سایت خود داشته باشند متوجه شوند که آیا احتمال نفوذ به سایت وجود دارد یا خیر؟

کاری که یک تست نفوذ سایت خوب باید برای ما انجام دهد این است که سایت را به صورت کامل اسکن کرده و کلیه راههای نفوذ را از کم اهمیت ترین و جزئی‌ترین حملات تا بالاترین آنها بررسی کرده و هر کجا که نیاز به تغییری بود اطلاع دهد تا انجام شود. در واقع تست نفوذ سایت باید هر چه که ممکن است به وسیله‌ی آن به سایت ما آسیب زده شود، را پیدا کرده و در اختیار ما قرار دهد.

انواع روش‌های تست نفوذ

مانند تمامی عملیاتهای مهم گزینه های مختلفی پیش روی سازمان ها برای عملیات تست نفوذ می باشد. روشهای رایج در تست نفوذ عبارتند از: black Box ، White Box  و gray box

hafizit.ir
Black Box
تست نفوذ  Black Box

تست جعبه‌‌ی سیاه یا همان  Black Box یکی از مهمترین تست‌هایی است که برای تست نفوذ سایت به سراغ آن می روند. جعبه‌ی سیاه به این معنا است که مهاجمین در مورد اینکه سایت از چه تکنولوژی‌هایی استفاده می‌کند و چه نقاط ضعف و قوتی دارد هیچگونه اطلاعاتی ندارند و تنها چیزی که می دانند این است مع سایتی وجود دارد.

در این نوع از حملات تمامی احتمالاتی که نفوذگران می‌توانند از آن استفاده کنند بررسی می شود در واقع تیم تست نفوذ به صورت کورکورانه جلو می‌رود و سعی می‌کند از هر روشی که می‌داند به این سایت نفوذ کند.

hafizit.ir
Gray Box
grabo
تست نفوذ  Gray Box

در این روش تست نفوذ سایت با استفاده ازحملات مختلفی که ترکیبی از موارد قبلی هستند انجام می‌شود و باید گفت که تست نفوذ سایت با این روش به هر دو صورت انجام می‌شود. حملات با این روش تنوع بالایی دارد و از مزایای هردو روش قبلی استفاده می شود. در این روش یک سری اطلاعات  مانند آدرس سایت و کلمه عبور جهت تست داده می شود و همچنین سامانه های امنیتی بر روی سایت مورد نظر غیرفعال می شوند تا امنیت خود سایت به تنهایی مورد بررسی قرار گیرد.

White Box

تست نفوذ White Box

این نوع تست نفوذ سایت دقیقا بر خلاف مورد قبل می باشد و در آن همه چیز در اختیار تیم تست قرار می‌گیرد. در این روش از تست نفوذ سایت اطلاعاتی مانند، کدهای برنامه، تکنولوژی های مورد استفاده و حتی کلمه عبورهایی با دسترسی بالا در اختیار تیم تست نفوذ  قرار می گیرید و این بار تست به صورت آگاهانه و با اطلاعات بالا انجام می شود.

white
Penetration Testing Methodologies and Standards

استاندارد های تست نفوذ

معرفی استاندارد  OWASP

hafizit.ir

OWASP خلاصه شده Open Web Application Security Project  می باشد. این استاندارد معروف ترین استاندارد مربوط به امنیت برنامه های کاربردی می‌باشد. این متدولوژی در اکثر نقاط دنیا مورد استفاده قرار می گیرد به بسیاری از سازمان ها و شرکت های بزرگ  کمک کرده تا آسیب‌پذیری‌های برنامه خود را برطرف نمایند. این روش نه تنها برای کشف آسیب پذیری‌های وب و موبایل مورد استفاده قرار می گیرد، بلکه می‌تواند اشکالات منطقی و پیچیده‌ای را که از شیوه‌های توسعه ناامن ناشی می‌شود را شناسایی نماید. آخرین ورژن آن با نام WSTG شناخته می شود.

os

OSSTMM مختصر Open-Source Security Testing Methodology Manual توسط شرکت ISECOM، برای اولین بار در سال 2001 ارائه شد.

متد OSSTMM یکی از معروف ترین استاندارد‌های تست‌ نفوذ می‌باشد. این استاندارد یک روش علمی برای آزمون نفوذ به شبکه و ارزیابی آسیب‌پذیری می باشد که شامل یک راهنمای جامع برای افرادی است که تست نفوذ انجام می دهدتا بتوانند آسیب‌پذیری‌های امنیتی درون یک شبکه (و اجزای آن) را شناسایی کنند. این روش بر دانش و تجربه مهاجم و  همچنین هوش انسانی برای تفسیر آسیب‌پذیری های شناسایی شده، متکی است.

pet

PTES مخفف عبارت Penetration Testing Methodologies and Standards میباشد. این متد، یک روش هفت مرحله ای سازمان یافته جهت تست نفوذ ارائه می دهد. همچنین دارای راهنمای کاملی جهت تست نفوذ می باشد که از مراحل شناسایی و جمع آوری داده ها شروع شده و تا بهره برداری و گزارش دهی ادامه می یابد.

اسکرول به بالا