تست نفوذ چیست؟ راهنمای سریع برای سال 2020

امنیت رایانه هرگز اهمیت بیشتری نداشته است. با هکرها که حساب بانکی شما را تهدید می کنند ، باج افزارهایی را که می توانند رایانه شخصی شما را خاموش کنند اگر هزینه سؤال را پرداخت نکنید و هرکسی که از هر کس دیگری جاسوسی می کند ، عادلانه است که بگوییم تصویر امنیتی پیچیده تر از گذشته است.


خوشبختانه ، هر کسی که مهارت های امنیتی دارد برای جذب شما نیست. برخی از هکرها به خوبی کار می کنند و به دنبال آسیب پذیری هستند و هدف از این کار برطرف کردن آنهاست نه اینکه از آنها برای منافع شخصی بهره برداری کنند.

در این مقاله ، ما می خواهیم به نقش آنها بپردازیم و توضیح دهیم آزمایش نفوذ چیست.

اولین بار: سیاه کلاه مقابل کلاه سفید

تست نفوذ

بچه های خوب معمولاً به عنوان تست کننده کلاه سفید شناخته می شوند. بچه های بد کلاه سیاه هستند و کلاه های خاکستری در جایی هستند. اگر دیدید که هر یک از آنها در حال کار است ، آنها اکثراً همان کارها را انجام می دهند: چک کردن وب سایت ها برای آسیب پذیری. تفاوت این است که وقتی آنها یک مسئله را پیدا می کنند اتفاق می افتد.

کلاه های سفید موضوع را به صاحب وب سایت یا برنامه گزارش می دهند. کلاه های سیاه به دنبال هک کردن وب سایت یا فروش اطلاعات مربوط به بهره برداری به دیگران هستند. کلاه های خاکستری کاملاً مناسب با این دسته ها نیستند. آنها ممکن است برای سرگرمی یا کنجکاوی هک شوند ، به طور بالقوه قانون را زیر پا می گذارند اما به دنبال پول درآوردن یا آسیب رساندن نیستند.

چرا موارد امنیتی برنامه کاربرد وب است

هرکسی که حضور آنلاین داشته باشد می تواند هک شود. حساب توییتر همسایه شما و بانکهای بین المللی هر دو هدف هستند. جوایز ورود به وب سایت می تواند بی حد باشد.

در صورت به خطر افتادن یک وب سایت ، هکر می تواند از نام کاربری و کلمه عبور تا اطلاعات کارت اعتباری یا سوابق پزشکی را بردارد. بیشتر ما کسی را می شناسیم که ایمیل وی هک شده است ، و اغلب برای همه افراد در لیست تماس خود پیام ارسال می کند ، بنابراین جرایم سایبری تأثیر همه ما را می گذارد.

هنگامی که هکرها یک وب سایت را کنترل کردند ، می توانند از آن برای سرقت اطلاعات بیشتر مشتری استفاده کنند ، که می تواند برای دسترسی به حساب های بانکی یا سرقت بیت کوین استفاده شود. آنها همچنین ممکن است بتوانند اطلاعات فنی یا فنی محرمانه را بدست آورند.

به طور طبیعی ، شرکت ها علاقه دارند هر کاری که می توانند انجام دهند تا از نقض امنیت جلوگیری کنند. استخدام یک تست نفوذ یا متخصص در حال انجام ، روش بسیار خوبی برای کمک به آنها است تا بتوانند از هکرها استفاده کنند.

ارزیابی آسیب پذیری توسط یک متخصص امنیتی شامل استخدام شخصی برای تلاش برای ورود به وب سایت است. آنها می توانند به همان روشی که یک مجرمان درمورد حفره های امنیتی تحقیق کرده و مشکلاتی را که پیدا می کنند به صاحب وب سایت گزارش دهند ، که می تواند آنها را برطرف کند.

ارزیابی آسیب پذیری

ارزیابی آسیب پذیری

نقاط ضعف جدید در نرم افزار و وب سایت ها دائماً کشف می شوند. آخرین نسخه های نرم افزار معمولاً شامل رفع نقاط ضعف شناخته شده می شوند ، بنابراین بروزرسانی بر روی آنها معقول است.

این می تواند در یک برنامه وب بالغ مشکل باشد. نسخه های مختلف نرم افزار همیشه با یکدیگر سازگار نیست ، بنابراین به روز بودن امور و اطمینان از کار همه چیز آسان نیست.

از آنجا که این موارد همیشه در حال تغییر است ، تضمین امنیت برنامه در کنار این غیر ممکن است. به عنوان مثال ممکن است هیچ کس از آسیب پذیری های موجود در آخرین نسخه نرم افزار سرور شما آگاهی نداشته باشد. با این وجود بعید است که در آینده هیچ عیب و نقصی پیدا نشود.

اگر نگران هک شدن وب سایت خود هستید ، باید مقاله ما را در مورد امنیت وب سایت برای چند نکته بخوانید.

جعبه سیاه در مقابل جعبه سفید

روشهای مختلفی برای انجام ارزیابی آسیب پذیری در وب سایت یا برنامه وجود دارد. یک روش این است که در مورد آسیب پذیری ها به همان روشی که یک هکر انجام می دهد ، بدون دانش و یا کمک درونی تحقیق کند. این تست جعبه سیاه نامیده می شود.

از طرف دیگر ، آزمایش جعبه سفید به معنای تست امنیت با دسترسی به اطلاعاتی از قبیل کد منبع برنامه مورد بررسی یا جزئیات مربوط به کاربرد نرم افزار است..

رویکرد جعبه سیاه بیشتر شبیه کاری است که یک جنایتکار انجام می داد. کسب اطلاعات در مورد سیستم مورد آزمایش ، چالشی اساسی برای افرادی است که از این روش استفاده می کنند.

استراتژی جعبه سفید ، پیدا کردن آسیب پذیری ها را آسان تر می کند ، زیرا آزمایش کننده می تواند همه چیز را مرور کند و ببیند که چگونه همه اینها با هم هماهنگ هستند. اگر آنها بدانند چه نرم افزاری در حال اجرا است ، می توانند بر این اساس حملات خود را مورد هدف قرار دهند. گفته می شود ، ممکن است نشانگر آسیب پذیری های یک هکر واقعی باشد.

ابزار تجارت Pentest

لینوکس یک سیستم عامل محبوب برای افرادی است که در تست امنیتی درگیر هستند. اگر شما نیاز به ارزیابی آسیب پذیری در وب سایت دارید ، Kali Linux توزیع ویژه ای است زیرا با انواع نرم افزارهای مربوطه از جمله Wireshark و مجموعه Burp و بسیاری از ابزارهای مفید دیگر نصب شده است..

استفاده از ابزاری مانند مجموعه Burp یا Charles برای نظارت بر ترافیک وب می تواند تصویر مفصلی از آنچه در هنگام اتصال به یک وب سایت اتفاق می افتد به شما بخشد. آنها تمام اتصالات رایانه شما را کنترل می کنند و جزئیات مورد نیاز شما را به شما می دهند. آنها همچنین برای توسعه منظم و اشکال زدایی وب مفید هستند.

شما می توانید از آنها برای تغییر درخواست های ارسال شده استفاده کنید ، که اگر بخواهید ببینید که چگونه یک سرور به نوع ترافیک غیر استاندارد پاسخ می دهد که ممکن است از هکر باشد پاسخ می دهد بسیار عالی است.

شارل

همچنین ابزارهایی برای خودکارسازی حملات رمزعبور نیرویی وجود دارد که در واقع هر چه تعداد ترکیب ممکن را امتحان کنید. کلمات عبور ساده و آسان را هدف قرار می دهد. استفاده از یک مدیر گذرواژه می تواند به شما در تولید موارد طولانی تر آسیب پذیرتر از حمله آن کمک کند.

فرم های گذرواژه همچنین یک خطر برای تزریق SQL است – کنده شدن از طریق کد داده های داده شده به سرور. یک تستر امنیتی می تواند مکان هایی را که می تواند رخ دهد و کد را به روز کند تا اطمینان حاصل شود که از اطلاعات ورودی با خیال راحت اداره می شود.

با بررسی چگونگی استفاده یک برنامه از حافظه رایانه ، می توان آسیب پذیری ها را نیز نمایان کرد. جابجایی در داخل برنامه های اجرایی را می توان با debugger GNU یا GDB انجام داد. این نوع آزمایش آسیب پذیری شامل جستجوی سوءاستفاده هایی است که می تواند هکرها را به یک پوسته دسترسی دهد و به آنها اجازه دهد یک سرور را به دست بگیرند..

gdb

بیشتر مرورگرها دارای کنسول dev هستند که برای بررسی آنچه در یک وب سایت اتفاق می افتد نیز مفید است. ابزارهای اختصاصی Chrome نشان می دهد که چه صفحه ای بارگیری می شود و خطاها را نشان می دهد. علاوه بر ایجاد مشکل برای کاربران ، خطاها ممکن است یک وب سایت را در معرض حمله قرار دهد.

می توانید کنسول dev را در Chrome با کلیک کردن روی سه نقطه در بالا سمت راست برای باز کردن منو ، و سپس انتخاب “ابزارهای بیشتر” پیدا کنید. > “ابزارهای توسعه دهنده” برای مشاهده خطاها در وب سایت مورد نظر خود ، روی برگه “کنسول” کلیک کنید. شاید از تعجب یاد بگیرید که حتی در وب سایتهای پرمصرف چه چیزهایی اشتباه می رود.

کروم کنسول

برخی از شرکت ها ممکن است از یک شبکه خصوصی مجازی برای کمک به خود در برابر صدمه استفاده کنند. یک مهاجم می تواند این مسئله را تشخیص دهد که ارتباط کمتری با امنیت کمتر در معرض بهره برداری قرار دارد. به همین دلیل مهم است که هنگام انتخاب سرویس مراقب باشید و یکی از بهترین ارائه دهندگان VPN را در اطراف خود انتخاب کنید.

کسب درآمد در آزمایش امنیت

کسب درآمد با آزمایش نفوذ

اگر امنیت رایانه به شما علاقه دارد ، هرگز درگیر شدن آسان نبوده است. شرکت های بیشتری از هر زمان دیگری برای کسانی که مشکلات را با وب سایت های خود پیدا کرده و گزارش می دهند ، جوایز عمومی ارائه می دهند. جوایز می تواند به ارزش صدها هزار دلار برسد. اگر شکارچیان بالقوه هدیه داده شوند ، هشدار داده می شود ، اما بیشتر آنها بسیار پائین هستند و اگر می خواهید یک زمین بخرید ، باید زمان قابل توجهی سرمایه گذاری کنید.

گفته می شود ، چند جایزه کوچک را خریداری کنید و ممکن است بتوانید یک کار را به عنوان مشاور امنیتی یا آزمایش نفوذ کنید ، و به شرکتها آموزش دهید که چگونه خود را از شکارچیان با اشکال کمتر در آنجا محافظت کنند..

افکار نهایی

با داشتن منظره ای در حال تغییر و تحولات دیجیتال ، نیاز به امنیت بیشترین حد ممکن است. خوشبختانه ، آگاهی از موضوعات مربوط به امنیت برنامه های وب و امنیت به طور کلی ، نیز افزایش یافته است.

آزمایش نفوذ بخش بزرگی از امنیت است. این یک زمینه چالش برانگیز است ، اما برای مطالعه جذاب است. اگر این مقاله را مفید یافتید ، یا تجربه‌ای در حال تعقیب دارید ، در نظرات زیر به ما اطلاع دهید. ممنون از خواندن.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map