آزمون نفوذپذیری (Penetration Test) چیست؟
آزمون نفوذپذیری (تست نفوذ یا Penetration Test)، فرآیند ارزیابی امنیتی شبکه ها، سایت ها یا سیستم های کامپیوتری است که بوسیله شبیه سازی یک حمله که توسط هکر انجام می شود، صورت می گیرد.
هدف از انجام تست نفوذ ، کسب اطمینان از صحت پیکربندی امنیتی سیستم ها، اطمینان از ایمنی در مقابل آخرین آسیب پذیری ها، یافتن نقاط ضعف پیش از سوءاستفاده مهاجمان از آنها، کاهش هزینه های ترمیم و کاهش مخاطرات نفوذ مهاجمان می باشد.
اهداف انجام آزمون نفوذپذیری عبارتند از:
- شناسایی نقاط ضعف و آسیبپذیری های امنیتی سیستمها و نرمافزارها
- شناسای آسیبپذیریهای درونی و بیرونی شبکه های کامپیوتری
- بررسی امکان نفوذ به سیستمها و برنامهها
- ارائه راه حل برای رفع مشکلات و آسیبپذیریهای امنیتی موجود
- دستیابی به راهحل جامع برای رفع آسیبپذیریهای احتمالی آینده
روش های انجام آزمون نفوذپذیری:
از منظر سطح اطلاعات اولیه ای که در اختیار فرد تستکننده (تستر) قرار میگیرد، آزمون نفوذپذیری را میتوان به سه نوع زیر تقسیم بندی نمود:
- جعبه سفید (White Box): فرد تستکننده با شناخت سیستم و بازبینی کدها و همچنین شبکه داخلی یک سازمان، آسیبپذیریهای موجود در برنامه های کاربردی و شبکه سازمانی را کشف میکند.
- جعبه خاکستری (Gray Box): در این روش، اطلاعات مختصری درباره سامانه ها و زیرساخت و سرویسهای شبکه هدف، در اختیار فرد تستکننده قرار داده میشود.
- جعبه سیاه (Black Box): در این روش، تستکننده بدون داشتن هیچ اطلاعات اولیه ای درباره زیرساخت و سرویسهای شبکه هدف، صرفا با اطلاعات و دانش خود و با استفاده از ابزارهای متداول، سعی در کشف آسیبپذیریها مینماید.
روش ها و متدولوژیهای مختلفی برای انجام آزمون نفوذپذیری وجود دارد که برخی از آنها عبارتند از: OWASP، OSSTMM، ISSAF، PTES، CWE
آیا انجام تست نفوذ (نفوذ به سیستم ها و سایت ها) جرم است؟
نظرات کاربران