Websepanta LTD Located at
Unit 3 , 9 BoAliSina Sharghi Alley ValiAsr St, Fatemi-YousefAbad, Tehran,Iran.
Phone: +98-21-88993820
ایمیل:   رمز عبور:
ورود مرا به خاطر بسپار
ثبت نام !     یا بستن پنجره
درخواست پشتیبانیارزیابی رایگان پروژهثبت دامنه و میزبانی وب تماس با ما پشتیبانی آنلاین

امنیت وب | نفوذپذیری | تست نفوذ | تست نفوذ پذیری | ارزیابی امنیتی سایت پرتال شبكه

جایگاه فعلی :

امنیت اطلاعات

با افزایش روز افزون استفاده از كامپیوتر و اینترنت در زندگی انسان نیاز به امنیت اطلاعات به امری بدیهی و بسیار مهم برای شركتها و سازمانها بدل شده است .به منظور افزایش امنیت شبكه نیاز است تا پیش از هكرها نقاط ضعیف و آسیب‌پذیر شبكه را شناسایی و نسبت به رفع این نقایص اقدام گردد. دپارتمان امنیت اطلاعات كنسرسیوم سپنتا از طریق ارزیابی امنیتی و تست نفوذ‌پذیری این امكان را برای سازمانها فراهم می‌آورد كه ضمن حفظ اطلاعات محرمانه، از نقاط آسیب‌پذیر شبكه خود اطلاع یافته و نسبت به رفع آن اقدام كنند.

دپارتمان امنیت اطلاعات كنسرسیوم سپنتا از طریق بكارگیری بروز ترین ابزارها و تكنیك‌ها و با استفاده از متخصصین امنیتی خود ارزیابی های زیر را به منظور شناسایی نقاط آسیب‌پذیر شبكه‌، سرورها و برنامه‌های كاربردی انجام می‌دهد :

  • ممیزی امنیتی شبكه (Network Security Audi)
  • پویش آسیب‌پذیری (Vulnerability Assessment)
  • تست نفوذ‌پذیری (Penetration Test)

 


تست نفوذپذیری

تست نفوذپذیری یا تست نفوذ روشی برای تخمین میزان امنیت یك كامپیوتر (معمولاً سرور) یا یك شبكه است كه با شبیه‌سازی حملات یك حمله‌كننده (هكر) صورت می‌گیرد. در این روش تمامی سیستم و نرم‌افزارها و سرویس‌های نصب شده روی آن برای یافتن مشكلات امنیتی تست می‌شوند و سپس اقدام به رفع مشكلات موجود می‌شود. تست نفوذ به راه‌های مختلفی صورت می‌گیرد كه عمده‌ترین تفاوت آنها، تفاوت در میزان اطلاعات تست‌كننده درباره سیستم موردنظر است. تست به صورت جعبه سیاه (Black-box testing) روشی است كه در آن تست‌كننده بدون داشتن هیچگونه اطلاعات قبلی در مورد سیستم انجام می‌دهد و تست جعبه سفید (White-box testing) یا تست شفاف (transparent box testing) روشی است كه در آن تست كننده مشخصات كامل سیستم را در اختیار دارد. در این میان روش‌های دیگری موجوداند كه در آن تنها بخشی از اطلاعات در اختیار تست‌كننده قرار می‌گیرد كه به جعبه خاكستری (Gray-box) معروف‌است.

با انجام تست شفاف، می‌توان سیستم را به طور دقیق‌تر و برای موارد بیشتر تست كرد، در صورتیكه با انجام تست جعبه سیاه، ممكن است تمامی حفره‌های موجود مورد بررسی قرار نگیرند، بنابراین در مواقعی كه امنیت نقش كلیدی ایفا می‌كند، لازم است كه تست شفاف صورت گیرد. كیفیت تست نفوذ صورت گرفته ارتباط مستقیمی با میزان دانش امنیتی و كاركردی تست‌كننده از نرم‌افزارها و سرویس‌های موجود روی سیستم دارد و معمولاً تست نفوذ توسط یك گروه صورت می‌گیرد چراكه هیچ‌گاه یك شخص نمی‌تواند به تنهایی اطلاعات كامل تمامی برنامه‌ها را داشته باشد.
بنابراین در تست انجام شده توسط گروه، هریك از اعضای گروه مسوول تست بخشی از برنامه‌ها است و این هدف رشد شركت‌ها و گروه‌های امنیتی است كه بتوانند با تعلیم هریك از افراد خود در یك بخش خاص، تمام جزییات و نكات ریز امنیتی هر برنامه را شناسایی و رفع كنند.

هر سیستمی كه قابل استفاده توسط عموم باشد، لازم است كه قبل از شروع فعالیت، تست نفوذپذیری روی آن صورت گرفته باشد كه بعداً دچار مشكل نشود. وب‌سایت‌ها، شبكه‌های بانكی، فایل‌سرورها، ارایه‌دهندگان پست‌های الكترونیك و سایر سیستم‌هایی كه از طریق شبكه خدمات ارایه می‌دهند نمونه‌ای از سیستم‌هایی هستند كه باید روی آنها تست نفوذپذیری صورت گرفته شود.
هرچند تست نفوذپذیری می‌تواند بسیار مفید واقع شود، اما دارای خطراتی نیز هست، دادن اطلاعات كامل به گروهی غیرقابل اطمینان برای انجام تست شفاف می‌تواند بسیار خطرناك باشد، چراكه همان گروه می‌تواند خود عامل نفوذ به سیستم باشد. در برخی موارد، ایجاد فشار زیاد روی سیستم به دلیل تست‌های فراوان خطر دیگری است كه می‌تواند باعث مشكلات سخت‌افزاری، نرم‌افزاری و حتی كند شدن شبكه و سرور مورد نظر شود.

برای جلوگیری از به‌وجود آمدن مشكلات گفته شده، توصیه می‌شود كه غیر از موارد خاص، تست شفاف صورت نگیرد و تنها تست جعبه سیاه انجام شود و اگر لازم است تا تست شفاف صورت‌گیرد، این كار توسط شركتی رسمی و قابل اطمینان و با گرفتن ضمانت صورت گیرد.
بسیاری از نرم‌افزارها موجوداند كه می‌توانند كار تست نفوذ را به صورت خودكار انجام دهند، استفاده از این نرم‌افزارها به طور كلی توصیه نمی‌شود زیرا اولاً نرم‌افزار موردنظر می‌تواند خود ابزاری مخرب باشد كه اطلاعات را در اختیار طراحان آن قرار دهد و ثانیاً نرم‌افزار هوش انسان را ندارد و نمی‌تواند تمامی حفره‌های موجود را كنترل كند و تنها قسمت محدودی از حفره‌های موجود در برنامه‌ها را كنترل می‌كند.

از نرم‌افزارها می‌توان در مواقعی استفاده كرد كه امنیت نقش مهمی ندارد یا مواقعی كه تست توسط گروهی صورت گرفته و فقط برای كنترل بیشتر می‌خواهیم تست انجام دهیم.
پروژه OWASP یا Open Web Application Security Project دارای مطالبی برای كنترل امنیتی وب‌سایت‌ها است برای بسیاری از نكات امنیتی مرجعی مناسب به‌حساب می‌آید و رعایت نكاتی امنیتی گفته شده در آن برای نوشتن هر وب‌سایت به هر زبان برنامه‌نویسی بسیار توصیه می‌شود.

«تست نفوذ» روشی برای ارزیابی امنیت كامپیوترها و شبكه‌ها است. در این روش، سعی بر آن است كه با استفاده از تكنیك‌ها و روشهایی كه یك مهاجم واقعی ممكن است به كار برد، به كامپیوترها و شبكه‌ها حمله شود تا میزان مقاومت آنها در برابر انواع گوناگونی از حملات سنجیده شود. البته بر خلاف یك حمله واقعی، هدف تخریب یا سرقت اطلاعات نیست؛ بلكه حمله در چارچوب مشخصی كه از قبل با كارفرما توافق شده انجام می‌شود تا حداقل آسیب به دارایی‌های اطلاعاتی سازمان هدف برسد. به همین دلیل، گاه از اصطلاح «حمله شبیه‌سازی شده» استفاده می‌كنیم. Metasploit، یكی از معروفترین چارچوبها برای اجرای تستهای نفوذ است


تگ ها : امنیت وب ,