شما هم اکنون در حال مشاهده مطلب تست های نفوذسنجی از استار سکوریتی می باشید

این صفحه تاکنون 95 بار بازدید داشته است
چکیده مطلب

با استار سکوریتی همراه باشید . و ما را دنبال کنید .در اینجا با تست های نفوذسنجی آشنا می شوید . تست های نفوذسنجی برای ارزیابی مقاومت سیستم های اطلاعاتی در برابر حملاتی که باعث به وجود آمدن دسترسی های غیر مجاز می شود انجام می شوند . در این میان قدرت سیستم های تدافعی […]

تست های نفوذسنجی
دسته‌بندی نشده ۳۰ مهر ۹۷ 95 بازدید

با استار سکوریتی همراه باشید . و ما را دنبال کنید .در اینجا با تست های نفوذسنجی آشنا می شوید .

تست های نفوذسنجی برای ارزیابی مقاومت سیستم های اطلاعاتی در برابر حملاتی که باعث به وجود آمدن دسترسی های غیر مجاز می شود انجام می شوند . در این میان قدرت سیستم های تدافعی سیستم های اطلاعاتی که در این حمله دخیل هستند نیز ارزیابی می شود. تست های نفوذسنجی یا به قولی هک های قانونمند یکی از سطح بالاترین روش های ارزیابی سیستم های تدافعی و تجزیه و تحلیل دقیق نقاط ضعف سیستم های اطلاعاتی به حساب می آیند. یک عملیات تست نفوذسنجی چگونگی پاسخگویی یا بهتر بگوییم عکس العمل سیستم هدف را در مقابل حمله انجام شده را فارق از اینکه حمله بصورت موفقیت آمیز یا ناموفق انجام شود و یا چه میزان اطلاعات از سیستم بدست می آید را بررسی و تشخیص می دهد.

بصورت کلی تست های نفوذسنجی به سه گروه عمده طبقه بندی می شوند :

 

  1. تست با دارا بودن اطلاعات کامل یا Full Knowledge Test : در این نوع تست تیم تست نفوذسنجی تا جایی که امکان دارد در خصوص سیستم اطلاعاتی مورد حمله اطلاعات در اختیار دارد. معمولا این نوع حملات توسط پرسنل خود سازمان که دارای دانش لازم جهت انجام تست های نفوذسنجی هستند انجام می شود. به این نوع تست نفوذسنجی جعبه سفید یا White Box Penetration Test نیز گفته می شود.
  2. تست با دارا بودن اطلاعات نسبی یا Partial Knowledge Test : در این نوع تست ، تیم تست نفوذ سنجی اطلاعاتی در خصوص یک قسمت خاص از شبکه را دارا هستند که بایستی حمله به آن قسمت انجام شود. اعضای تیم تست نفوذسنجی می بایست صرفا به این قسمت از سیستم نفوذ کرده و آنرا هک کنند و سپس نقاط ضعف امنیتی آن را بررسی و تحلیل کنند . به این نوع تست ، نفوذ سنجی جعبه خاکستری یا Gray box Penetration Test نیز گفته می شود.
  3. تست بدون داشتن اطلاعات یا Zero Knowledge Test : در این نوع تست هیچگونه اطلاعاتی در خصوص سیستم هدف در اختیار تسم تست های نفوذسنجی قرار نگرفته و مهاجمین بایستی خودشان تمامی این اطلاعات را بدست بیاورند. به این نوع تست نفوذسنجی جعبه سیاه یا Black box Penetration Test نیز گفته می شود .

یکی دیگر از طبقه بندی هایی که برای تشریح انواع تست های نفوذسنجی بکار می شود ، تست های نفوذسنجی جعبه باز یا Open-Box و جعبه بسته یا Closed-Box می باشد. در تست های جعبه باز یا Open-Box نفوذگر به کدهای داخلی سیستم دسترسی دارد ، این نوع نفوذها معمولا بر روی سیستم عامل های همه منظوره ای مانند لینوکس و یونیکس انجام می شوند. در تست های جعبه بسته یا Closed-Box نفوذگر به کدهای داخلی سیستم دسترسی ندارد. این نوع تست ها معمولا بر روی سیستم هایی انجام می شود که کاربرهای خاصی داشته و به کاربران اجازه اجرای کد بر روی خود را نمی دهند .

این امر بدیهی است که کسانی که مامور انجام تست های نفوذسنجی برای یک سازمان می شوند ، بایست تابع قوانینی باشند که در آن سازمان تعریف شده است ، این بدین معنا نیست که تست نفوذ را انجام ندهند بلکه به این معناست که تست نفوذ نبایستی از حریم های تعیین شده از طریق سازمان به مجری تست خارج شود و محدودیت هایی که سازمان در انجام تست اعمال می کند بایستی رعایت شود. تست های نفوذسنجی به هیچ عنوان نبایستی باعث به وجود آمدن خلل در روند کاری سازمان و یا دستکاری و خرابکاری در داده های سازمان شود. تست های نفوذسنجی معمولا شامل مراحل زیر هستند :

  1. شناسایی یا Discovery : اطلاعات و داده های مرتبط با سازمان و سیستم ها از طریق کانال های عمومی ، پایگاه های داده ، وب سایت ها ، سرور های ایمیل و … ارزیابی و جمع آوری می شوند.
  2. شمارش یا Enumeration : تیم نفوذگر تلاش می کند که تا می تواند اطلاعات در خصوص شبکه هدف مورد نظر بدست بیاورد ، این اطلاعات می تواند شامل نسخه های سیستم عامل های مورد استفاده در سیستم هدف ، شناسه ها ، نام های کاربری و … باشد.
  3. تشخیص نقاط ضعف یا Vulnerability Mapping : تیم نفوذگر اطلاعات بدست آورده در مراحل قبلی را بررسی کرده و بر اساس آن نقاط ضعف امنیت مرتبط را شناسایی و با توجه به بستر مورد استفاده از آنها استفاده می کند.
  4. سوء استفاده یا Exploitation : تیم نفوذگر با استفاده از نقاط ضعف امنیتی موجود در سیستم هدف به آن حمله کرده و به منابع اطلاعاتی آن دست پیدا می کند .

 

مطالب پیشنهادی استار سکوریتی

کلیه حقوق این وب سایت نزد استار سکوریتی محفوظ می باشد و هرگونه کپی برداری از قالب و محتوا پیگرد قانونی دارد

طراحی و توسعه توسط سرخ گرافیک