تعلم مفهوم اختبار الاختراق في 10 دقيقة
ما هو اختبار الاختراق؟
اختبار الاختراق هو نوع من نهج اختبار الصندوق الأسود الذي يقترح إجراء محاولات مخالفة لانتهاك أمن وسلامة نظام أو تطبيق أو شبكة أو قاعدة بيانات. ويهدف إلى اكتشاف وتوثيق جميع الثقوب الأمنية في النظام الذي من المحتمل أن يضر به قبل القراصنة.
على الرغم من أن لديها العديد من الأسماء ولكن "اختبار القلم" هو من بين الأكثر شعبية. هدفها هو اغلب المتسللين من خلال كشف الروابط الضعيفة أو الثغرات الأمنية داخل النظام. أيضا، الشخص الذي يدير اختبار الاختراق يسمى اختبار الاختراق أو بنتستر.
بدلا من ذلك، يمكنك تصنيفه كنوع من اختبار الأمان الذي يتراجع عن المناطق غير الآمنة للنظام أو التطبيق. ويهدف إلى تحديد الثغرات الأمنية في النظام المستهدف.
مراحل اختبار الاختراق.
الاختبارات التي هي جزء من اختبار القلم هي المعروفة اختبارات الاختراق. ويشمل كل اختبار من هذا القبيل المراحل الخمس التالية. يرجى الاطلاع على الرسم البياني أدناه للحصول على وضوح.
الاستطلاع - هو عملية جمع المعلومات قبل نشر أي هجمات حقيقية.
التعداد - هي عملية تحديد نقاط الدخول المحتملة في النظام المستهدف.
تحليل الثغرات الأمنية - وهي العملية التي تحدد وتحدد وتصنف تسريبات الأمان في كمبيوتر أو شبكة أو تطبيق.
الاستغلال - هو عملية تمكين اختبار القلم لتسوية نظام وفضح لمزيد من الهجمات.
التقارير - هو عملية توثيق جميع الخطوات التي أدت إلى هجوم ناجح أثناء الاختبار.
أيضا، دعونا الآن مراجعة عدد قليل من المعلمات اختبار القلم الرئيسية التي يجب أن تعرف.
ما هو الضعف؟
الضعف هو عيب أمني في قطعة من البرمجيات أو الأجهزة أو نظام التشغيل الذي يترك نظام عرضة للهجوم. يمكن أن يكون الخلل بسيطا مثل كلمة مرور ضعيفة أو معقدة مثل تجاوزات المخزن المؤقت أو حقن سكل.
ما هو استغلال؟
الاستغلال هو برنامج أو خدمة مصممة لتحويل الثغرة إلى فرصة للحصول على دخول غير مصرح به. فإنه يتيح وصول القراصنة إلى النظام المستهدف. تشكل معظم المآثر حمولة لاختراق النظام المستهدف ومنح الوصول للدخيل.
ما هي الحمولة؟
حمولة هي قطعة من التعليمات البرمجية التي تمكن الوصول غير المصرح به إلى نظام الكمبيوتر مع مساعدة من استغلال. فإنه يسافر كجزء من استغلال الذي تفريغ في وقت لاحق ويبدأ الهجوم.
ميتاسبلويت هي الأداة الأكثر شعبية لاختبار الاختراق الذي يجعل من استخدام حمولة تسمى ميتربريتر. وبمجرد انقطاع الحمولة في النظام، فإنه يمكن إطلاق مجموعة متنوعة من الهجمات. على سبيل المثال تحميل / تحميل الملفات من النظام، والتقاط لقطات وسرقة التجزئة كلمة المرور. حتى أنه يمكن أن تعطيك السيطرة الكاملة على النظام المتضرر.
لماذا هو اختبار الاختراق المطلوبة؟
ويتحقق اختبار الاختراق من قدرة النظام على حماية شبكاته وتطبيقاته ونقاطه النهائية ومستخدميه من التهديدات الداخلية أو الخارجية.
وبالإضافة إلى ذلك، فإنه يهدف إلى تأمين الضوابط النظام ويجنب أي محاولة للوصول غير المصرح به.
وهنا بضع نقاط للتأكيد على الحاجة لاختبار الاختراق.
وبمساعدتها، يمكننا تحديد البيئة التي يمكن للمهاجم استخدامها لكسر أمن النظام.
في حين تنفيذ اختبارات الاختراق، يمكن اختبار التعرف على مجالات التطبيق التي هي عرضة للهجمات.
انها تعتزم منع هجمات قبعة سوداء وحراسة البيانات الأصلية.
وقد تؤدي الهجمات الضارة إلى إلحاق الضرر بالبيانات الهامة، مما يؤدي بدوره إلى خسارة في الأرباح. وبالتالي، فإنه لامر جيد إذا كنت يمكن التنبؤ الخسارة المحتملة من الأعمال التي هي واحدة من الفوائد التي ستحصل عليها.
وتساعد نتائج اختبار الاختراق في دفع القرارات الاستثمارية لتحسين معايير الأمن القائمة.
ما هي أنواع مختلفة من اختبار الاختراق؟
يمكننا تشعب اختبار الاختراق إلى ثلاث فئات: أسود مربع، أبيض مربع، والرمادي مربع.
اختبار الصندوق الأسود.
وبما أنه من غير العملي للقراصنة معرفة الطوبولوجيا الدقيقة للبنية التحتية للشركة، لذلك إطلاق كل، هجوم القوة الغاشمة هو أفضل الغريب انه أو انها يمكن أن تحاول معرفة نقاط الضعف المحتملة في النظام.
وبالمثل، في هذا النوع من اختبار الاختراق، لا يعرف المختبر الداخلي للتطبيقات على شبكة الإنترنت ولا لديه أي فكرة عن التعليمات البرمجية المصدر أو تصميم النظام. وبالتالي، قد يستغرق هذا النوع من الاختبارات وقتا أطول من الوقت المتوقع لإكماله.
ومع ذلك، مع الأتمتة، وقال انه يمكن أن تقلل من النفقات العامة قليلا والتركيز على الكشف عن نقاط الضعف ومواطن الضعف. "التجربة والخطأ" هو أيضا اسم شعبي آخر لهذا النوع من النهج.
أسود بوكس الإيجابيات.
فإنه يتطلب تفاصيل قليلة قبل البدء.
سلوك التنفيذ يشبه المهاجم الحقيقي. لذلك، هناك احتمال كبير لإيجاد قضايا حقيقية.
أسود مربع سلبيات.
سوف اختبار لا يكون لها نفس الوقت كما مهاجم حقيقي يمكن أن يكون لتخطيط الهجوم.
وهي لن تغطي جميع الجوانب.
وسيؤدي التنفيذ إلى ارتفاع التكاليف.
ليست أداة للامتثال يسي.
اختبار مربع أبيض.
مربع أبيض يفترض أن المختبر سيكون معرفة عميقة من رمز التطبيق وهندسته المعمارية. وبما أنه على بينة من داخل وخارج التطبيق، حتى انه يمكن تنفيذها أسرع من اختبار الصندوق الأسود. بدلا من ذلك، فإن الاختبار سيكون أيضا أكثر شمولا بكثير.
ومع ذلك، فإنه سيشكل بعض التحديات التي يجب أن تعالج كمختبر. على سبيل المثال، يمكن أن تكون معرفة النظام المفصلة عقبة في البت في المنطقة أو المكون للتركيز على إجراء الاختبارات والتحليل. أيضا، فإن الاختبار تحتاج إلى استخدام أدوات متقدمة مثل تحليل رمز ثابت، مصحح الأخطاء، وشماس الشبكة.
الأبيض مربع الإيجابيات.
هو أكثر دقة وتفصيلا بكثير من نهج الصندوق الأسود.
التخطيط في هذا النهج هو سهل. والتنفيذ أسرع.
الأبيض مربع سلبيات.
وسيلزم وقت كبير لفهم النظام وإعداد البيانات للتحليل.
سوف يؤدي تنفيذ الأداة المتقدمة إلى زيادة التكاليف.
اختبار صندوق رمادي.
بل هو مزيج من كل من الصندوق الأسود وتقنيات اختبار مربع أبيض. أيضا، في هذا النوع من الاختبار، اختبار تحتاج فقط على مستوى عال من المعرفة الداخلية لتطبيقات الويب. وذلك لأن حتى هذه المعرفة المحدودة كافية لاختبار للوصول إلى التعليمات البرمجية المصدر وتصميم النظام.
ويعزز نهج الصندوق الرمادي استخدام كل من الاختبار اليدوي والآلي. أيضا، أثناء التنفيذ، يمكن اختبار القلم أولا اختيار على مجالات التطبيق الذي يعرف عن أكثر. وسوف يجعله يركز على استغلال مواطن الضعف القائمة. وبالتالي، فإن اختبار مربع رمادي يؤكد تحديد موقع حتى من الصعب العثور على تسريبات الأمن.
رمادي بوكس الإيجابيات.
منخفضة التكلفة بالمقارنة مع أنواع أخرى من الاختبار.
يمكن اختبار القلم تحقيق نفس المستوى من التغطية كما كان قد حصلت خلال اختبار مربع أبيض.
رمادي مربع سلبيات.
الاعتماد على العميل لتقديم المعلومات لاختبار القلم للبدء.
ملخص - اختبار الاختراق أو اختبار القلم.
يجري اختبار، فمن مسؤوليتكم لإنتاج أخطاء البرمجيات الحرة البرمجيات. وبالتالي، يجب أن تعرف عن جميع مفاهيم حجر الزاوية في اختبار البرمجيات مثل اختبار الاختراق.
تعليقات
إرسال تعليق