اطلاعیه

بستن
هیچ اطلاعیه ای هنوز ایجاد نشده است .

تست نفوذ چیست؟

بستن
X
  • فیلتر
  • زمان
  • نمایش
پاک کردن همه
نوشته‌های جدید

  • تست نفوذ چیست؟

    تست نفوذ فرایندی است که در آن فرد متخصص تست نفوذ در قالب یک هکر اخلاقی تلاش میکند امنیت شبکه، نرم افزار وب یا سرویس‌ها را ارزیابی کند.

    هدف اصلی در اینگونه تست‌ها یافتن آسیب پذیری ها و راه هایی است که توسط هکرهای کلاه سیاه استفاده می شود تا از سیستم و شبکه استفاده غیرمجاز کنند.


    برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: Pentest.jpg
مشاهده: 71
حجم: 42.7 کیلو بایت


    تست نفوذ به دو روش دستی و اتوماتیک انجام می‌شود :

    همانگونه که از نام تست دستی مشخص است این روند آهسته و وقت گیر است و نیازمند بکارگیری اشخاص بسیار متخصص و با تجربه است.

    در تست نفوذ دستی متخصص مورد نظر آسیب پذیری ها را با دقت بسیار بالا و تک به تک تست می نماید. فاکتور تجربه در این نوع تست نفوذ نقش بسیار مهمی را ایفا می نماید، برای مثال ممکن است متخصص تست نفوذ تنها با یافتن نسخته سیستم مدیریت محتوا یا سرویس استفاده شده در هدف به آسیب پذیر بودن آن پی ببرد.

    در تست نفوذ اتوماتیک، تست کننده اقدام به استفاده از ابزار های اتوماتیک مانند nessus و acunetix و ... می نماید. این ابزار ها معمولا توسط تیم های امنیتی ماهر طی سال های زیادی تست نفوذ و برنامه نویسی آماده شده است.

    تست اتوماتیک موجب افزایش سرعت و تست دستی منجر به افزایش دقت می گردد.


    دو نکنه بسیار مهم که همواره باید در نظر گرفته شود این است که :

    اولاً ابزار های اتوماتیک قابلیت و توانایی تست آسیب پذیری های خاص و ترکیبی مانند دسترسی های غیر مجاز و سطوح دسترسی غیر مجاز را ندارند.

    دوماً در تست نفوذ دستی متخصص حتما به یاد دارد که چه تغییراتی در برنامه یا روند آن اعمال کرده است اما ابزار های تست اتوماتیک این قابلیت را ندارند و حتی ممکن است به دلیل تست های بی رویه موجب آسیب به سامانه شوند.


    روش هاي اجراي تست نفوذ :

    روش جعبه سياه یا Black Box

    در اين روش سيستم به شكل يك جعبه سياه ناشناخته در نظر گرفته شده وآزمون گيرنده با فرض عدم شناخت ساختار سيستم وفقدان دانش كافي، به تست آن مي پردازد .

    روش جعبه سفيد یا white Box

    در اين روش بر خلاف روش پيشين آزمون گيرنده از ساختار سيستم اعم از دياگرامهاي شبكه ،كدها وآدرسهاي IP اطلاع كافي داشته وبا اين پيش فرض به تست سيستم مي پردازد .


    روش جعبه خاكستري Gray Box

    روش جعبه خاکستری تلفيقي از دو روش فوق مي باشد ودر عين اينكه آزمون گيرنده به يك تست صرفاً كور كورانه (blind)نمي پردازد اما ممكن است به تمام ساختار سيستم نيز اشراف نداشته باشد.

    ادامه دارد...
صبر کنید ..
X