تست نفوذ فرایندی است که در آن فرد متخصص تست نفوذ در قالب یک هکر اخلاقی تلاش میکند امنیت شبکه، نرم افزار وب یا سرویسها را ارزیابی کند.
هدف اصلی در اینگونه تستها یافتن آسیب پذیری ها و راه هایی است که توسط هکرهای کلاه سیاه استفاده می شود تا از سیستم و شبکه استفاده غیرمجاز کنند.
تست نفوذ به دو روش دستی و اتوماتیک انجام میشود :
همانگونه که از نام تست دستی مشخص است این روند آهسته و وقت گیر است و نیازمند بکارگیری اشخاص بسیار متخصص و با تجربه است.
در تست نفوذ دستی متخصص مورد نظر آسیب پذیری ها را با دقت بسیار بالا و تک به تک تست می نماید. فاکتور تجربه در این نوع تست نفوذ نقش بسیار مهمی را ایفا می نماید، برای مثال ممکن است متخصص تست نفوذ تنها با یافتن نسخته سیستم مدیریت محتوا یا سرویس استفاده شده در هدف به آسیب پذیر بودن آن پی ببرد.
در تست نفوذ اتوماتیک، تست کننده اقدام به استفاده از ابزار های اتوماتیک مانند nessus و acunetix و ... می نماید. این ابزار ها معمولا توسط تیم های امنیتی ماهر طی سال های زیادی تست نفوذ و برنامه نویسی آماده شده است.
تست اتوماتیک موجب افزایش سرعت و تست دستی منجر به افزایش دقت می گردد.
دو نکنه بسیار مهم که همواره باید در نظر گرفته شود این است که :
اولاً ابزار های اتوماتیک قابلیت و توانایی تست آسیب پذیری های خاص و ترکیبی مانند دسترسی های غیر مجاز و سطوح دسترسی غیر مجاز را ندارند.
دوماً در تست نفوذ دستی متخصص حتما به یاد دارد که چه تغییراتی در برنامه یا روند آن اعمال کرده است اما ابزار های تست اتوماتیک این قابلیت را ندارند و حتی ممکن است به دلیل تست های بی رویه موجب آسیب به سامانه شوند.
روش هاي اجراي تست نفوذ :
روش جعبه سياه یا Black Box
در اين روش سيستم به شكل يك جعبه سياه ناشناخته در نظر گرفته شده وآزمون گيرنده با فرض عدم شناخت ساختار سيستم وفقدان دانش كافي، به تست آن مي پردازد .
روش جعبه سفيد یا white Box
در اين روش بر خلاف روش پيشين آزمون گيرنده از ساختار سيستم اعم از دياگرامهاي شبكه ،كدها وآدرسهاي IP اطلاع كافي داشته وبا اين پيش فرض به تست سيستم مي پردازد .
روش جعبه خاكستري Gray Box
روش جعبه خاکستری تلفيقي از دو روش فوق مي باشد ودر عين اينكه آزمون گيرنده به يك تست صرفاً كور كورانه (blind)نمي پردازد اما ممكن است به تمام ساختار سيستم نيز اشراف نداشته باشد.
ادامه دارد...
هدف اصلی در اینگونه تستها یافتن آسیب پذیری ها و راه هایی است که توسط هکرهای کلاه سیاه استفاده می شود تا از سیستم و شبکه استفاده غیرمجاز کنند.
تست نفوذ به دو روش دستی و اتوماتیک انجام میشود :
همانگونه که از نام تست دستی مشخص است این روند آهسته و وقت گیر است و نیازمند بکارگیری اشخاص بسیار متخصص و با تجربه است.
در تست نفوذ دستی متخصص مورد نظر آسیب پذیری ها را با دقت بسیار بالا و تک به تک تست می نماید. فاکتور تجربه در این نوع تست نفوذ نقش بسیار مهمی را ایفا می نماید، برای مثال ممکن است متخصص تست نفوذ تنها با یافتن نسخته سیستم مدیریت محتوا یا سرویس استفاده شده در هدف به آسیب پذیر بودن آن پی ببرد.
در تست نفوذ اتوماتیک، تست کننده اقدام به استفاده از ابزار های اتوماتیک مانند nessus و acunetix و ... می نماید. این ابزار ها معمولا توسط تیم های امنیتی ماهر طی سال های زیادی تست نفوذ و برنامه نویسی آماده شده است.
تست اتوماتیک موجب افزایش سرعت و تست دستی منجر به افزایش دقت می گردد.
دو نکنه بسیار مهم که همواره باید در نظر گرفته شود این است که :
اولاً ابزار های اتوماتیک قابلیت و توانایی تست آسیب پذیری های خاص و ترکیبی مانند دسترسی های غیر مجاز و سطوح دسترسی غیر مجاز را ندارند.
دوماً در تست نفوذ دستی متخصص حتما به یاد دارد که چه تغییراتی در برنامه یا روند آن اعمال کرده است اما ابزار های تست اتوماتیک این قابلیت را ندارند و حتی ممکن است به دلیل تست های بی رویه موجب آسیب به سامانه شوند.
روش هاي اجراي تست نفوذ :
روش جعبه سياه یا Black Box
در اين روش سيستم به شكل يك جعبه سياه ناشناخته در نظر گرفته شده وآزمون گيرنده با فرض عدم شناخت ساختار سيستم وفقدان دانش كافي، به تست آن مي پردازد .
روش جعبه سفيد یا white Box
در اين روش بر خلاف روش پيشين آزمون گيرنده از ساختار سيستم اعم از دياگرامهاي شبكه ،كدها وآدرسهاي IP اطلاع كافي داشته وبا اين پيش فرض به تست سيستم مي پردازد .
روش جعبه خاكستري Gray Box
روش جعبه خاکستری تلفيقي از دو روش فوق مي باشد ودر عين اينكه آزمون گيرنده به يك تست صرفاً كور كورانه (blind)نمي پردازد اما ممكن است به تمام ساختار سيستم نيز اشراف نداشته باشد.
ادامه دارد...