تست نفوذ چیست + روش های تست نفوذ

این سوال که تست نفوذ چیست، شاید برای بیشتر شما علاقه‌مندان به سرور، شبکه و یا حتی دارندگان یک و یا چند سایت، که امنیت سرور برایشان اهمیت دارد، پیش آمده باشد، در این مطلب، به بررسی این موضوع و همچنین معرفی انواع تست نفوذ خواهیم پرداخت.

تست نفوذ چیست؟

در توضیح این که تست نفوذ چیست، تست نفوذ، که به عنوان تست قلم نیز شناخته می‌شود، یک حمله سایبری شبیه سازی شده علیه سیستم کامپیوتری شما برای بررسی آسیب پذیری‌های قابل بهره برداری است. در زمینه امنیت برنامه‌های کاربردی وب، تست نفوذ، معمولا برای تقویت دیوار آتش برنامه وب (WAF) استفاده می‌شود.

تست قلم، می‌تواند شامل تلاش برای نقض هر تعداد از سیستم‌های کاربردی، (به عنوان مثال، رابط‌های پروتکل برنامه (API)، سرورهای frontend/backend) برای کشف آسیب‌پذیری‌ها، مانند ورودی‌های ضدعفونی‌شده که مستعد حملات تزریق کد هستند، باشد.

بینش‌های ارائه شده توسط تست نفوذ را می‌توان برای تنظیم دقیق خط مشی‌های امنیتی WAF و اصلاح آسیب پذیری‌های شناسایی شده استفاده کرد.

تست نفوذ باید به عنوان روشی برای کسب اطمینان در ارزیابی آسیب‌پذیری و فرآیندهای مدیریت سازمان شما در نظر گرفته شود، نه به عنوان روش اولیه برای شناسایی آسیب پذیری‌ها.

تست نفوذ توسط چه کسی باید انجام شود؟

بهتر است یک تست نفوذ توسط شخصی انجام شود، که اطلاعات کمی در مورد نحوه ایمن سازی سیستم دارد، زیرا ممکن است بتواند نقاط کوری را که توسط توسعه دهندگان سازنده سیستم از دست داده‌اند، آشکار کند.

به همین دلیل معمولاً پیمانکاران خارجی برای انجام آزمایشات وارد می‌شوند. این پیمانکاران اغلب به عنوان “هکرهای اخلاقی” شناخته می‌شوند، زیرا آن‌ها برای هک کردن یک سیستم با مجوز و به منظور افزایش امنیت استخدام می‌شوند.

در آخر باید بدانید، فرد و یا تیمی که تست نفوذ را برای شما انجام می‌دهد، باید فردی قابل اعتماد باشد، ما در زاگریو توسط تیم حرفه‌ای که داریم، این خدمت را با پشتیبانی ۲۴ ساعته برای شما عزیزان انجام خواهیم داد.

انواع تست نفوذ چیست؟

تست نفوذ وب اپلیکیشن ( Web Application penetration testing)

تست‌ نفوذ اپلیکیشن‌های وب، مربوط به امنیت کلی و خطرات احتمالی اپلیکیشن‌های کاربردی وب، از جمله خطاها می‌باشد و آن‌ها را مورد بررسی قرار می‌دهد.

تست نفوذ شبکه (Network penetration testing)

تست نفوذ شبکه، با هدف جلوگیری از کارهای مخرب، به وسیله‌ی پیدا کردن نقاط ضعف شبکه، قبل از حمله است.

تست نفوذ جعبه سفید (White box penetration testing)

تست نفوذ جعبه سفید، با اسم‌های white box، crystal و oblique نیز، شناخته می‌شود، نوعی از تست نفوذ است، که تمام داده‌های شبکه و سیستم با آزمون گیرنده به اشتراک گذاشته می‌شود.

تست نفوذ جعبه سیاه (Black box penetration testing)

در تست نفوذ جعبه سیاه، آزمون‌گیرنده هیچ اطلاعاتی ندارد، تستر، در این روش، رویکرد یک مهاجم غیرمجاز را دنبال می‌نماید، از گرفتن دسترسی اولیه تا بهره‌برداری از آسیب پذیری‌ها.

تست نفوذ جعبه خاکستری (Grey box penetration testing)

تست نفوذ جعبه خاکستری، با نام‌های Gray box و translucent box هم شناخته می‌شود، در این روش، اطلاعاتی محدود به آزمون گیرنده داده می‌شود و این داده‌ها به صورت یک اعتبارنامه برای ورود به سیستم است.

تست نفوذ اینترنت IoT (IoT Security Tests)

تست نفوذ اینترنت، با توجه به شیوه لایه‌ای، که در آن هر لایه به صورت مجزا مورد بررسی قرار می‌گیرد اقدام به تجزیه و تحلیل هر جزء و نحوه تعامل بین اجزا می‌نماید. با استفاده از این روش، نقاط ضعیفی که ممکن است مورد توجه قرار نگیرد، شناسایی می‌شود.

تست نفوذ ابری (Cloud penetration testing)

در توضیحی ساده، همکاری تیم‌های تست نفوذ با ارائه دهندگان کلاد و فروشندگان شخص ثالث را که به منظور طراحی و امن سازی سیستم‌های ابری یا برنامه‌های مبتنی بر ابر انجام می‌گیرد، تست نفوذ ابری گویند.

تست نفوذ کلاد تاییدکننده، امنیت سیستم‌های مبتنی بر ابر می‌باشد و خطرات احتمالی را شناسایی می‌کند تا رفع آن‌ها محیط ابری امن‌تر را داشته باشیم.

روش‌های تست نفوذ

تست خارجی

تست‌های نفوذ خارجی، دارایی‌های یک شرکت را هدف قرار می‌دهند که در اینترنت قابل مشاهده هستند، به عنوان مثال، خود برنامه وب، وب‌سایت شرکت و سرورهای ایمیل و نام دامنه (DNS)، هدف دستیابی به داده‌های ارزشمند و استخراج آن است.

تست داخلی

در یک تست داخلی، یک آزمایش‌کننده با دسترسی به برنامه‌ای در پشت فایروال خود، حمله یک خودی مخرب را شبیه‌سازی می‌کند.

تست کور

در یک تست کور، یک آزمایش‌کننده فقط نام شرکتی را که هدف قرار می‌گیرد، داده می‌شود. این به پرسنل امنیتی امکان می‌دهد در زمان واقعی، نگاهی به نحوه انجام حمله واقعی به برنامه داشته باشند.

تست هدفمند

در این سناریو، هم تستر و هم پرسنل امنیتی با هم کار می‌کنند و یکدیگر را از حرکاتشان ارزیابی می‌کنند. این یک تمرین آموزشی ارزشمند است که به تیم امنیتی بازخورد بلادرنگ از دیدگاه هکرها را ارائه می‌دهد.

تست نفوذ سمت مشتری (Client Side Penetration Testing)

از تست نفوذ سمت کلاینت برای کشف آسیب‌پذیری‌ها یا ضعف‌های امنیتی در برنامه‌های سمت کلاینت استفاده می‌شود. این‌ها می‌توانند یک برنامه یا برنامه‌هایی مانند Putty، کلاینت‌های ایمیل، مرورگرهای وب (مانند کروم، فایرفاکس، سافاری و غیره)، Macromedia Flash و غیره باشند. برنامه‌هایی مانند Adobe Photoshop و Microsoft Office Suite نیز در معرض آزمایش هستند.

تست نفوذ بی سیم (Wireless Penetration Testing)

تست نفوذ بی‌سیم، شامل شناسایی و بررسی اتصالات بین تمام دستگاه‌های متصل به وای‌فای کسب‌وکار است. این دستگاه‌ها شامل لپ‌تاپ، تبلت، گوشی‌های هوشمند و سایر دستگاه‌های اینترنت اشیا (IoT) هستند.

آزمایش‌های نفوذ بی‌سیم معمولاً در محل انجام می‌شوند، زیرا تست نفوذ برای دسترسی به آن باید در محدوده سیگنال بی‌سیم قرار داشته باشد. روش دیگر، NUC و WiFi Pineapple را می‌توان در محل مستقر کرد، تا آزمایش را از راه دور انجام دهد.

تست نفوذ فیزیکی (Physical Penetration Testing)

آزمایش نفوذ فیزیکی یک تهدید در دنیای واقعی را شبیه‌سازی می‌کند که به موجب آن یک تستر نفوذ تلاش می‌کند، موانع فیزیکی را برای دسترسی به زیرساخت‌ها، ساختمان، سیستم‌ها یا کارکنان کسب‌وکار به خطر بیاندازد.