سامانه بومی
احراز هویت دوعاملی
اولین سامانه بومی احراز هویت دو عاملی با قابلیت پشتیبانی بیش از 10 ماژول حرفه ای مطالعه بیشتر
پشتیبانی از تمام سیستم عامل های ویندوز و لینوکس احراز هویت پیامکی، توکن سخت افزاری و نرم افزاری مطالعه بیشتر خدمات تست نفوذ
وب و شبکه
ارائه به روزترین و استاندارد ترین خدمات تست نفوذ وب و شبکه در ایران مطالعه بیشتر

خدمات تست نفوذ وب

تست نفوذ وب

تست نفوذپذیری وب، شبیه سازی حملاتی است که نسبت به وب سایت ها و نرم افزارهای تحت وب و در شرایط کنترل شده انجام می شود. هدف از این حملات، پیدا کردن نقاط ضعف نرم افزارها برای برطرف کردن آنها است. این تست به کارشناسان امنیتی اجازه می دهد تا قدرت سیستم های عامل و دستگاه های شبکه و نرم افزارهای کاربردی را ارزیابی کنند. بر اساس ارزیابی های امنیتی توصیه هایی برای بهتر کردن قدرت دفاعی در برابر آسیب پذیری هایی که ممکن است باعث نفوذ و اختلال به سیستم شود را ارائه دهند.

تست نفوذ، هشدار امروز برای فردایی بهتر

اهداف تست نفوذ وب

شناسایی نقاط ضعف در وضعیت امنیتی نرم افزارهای تحت وب سازمان
بررسی میزان انطباق وضعیت امنیتی با سیاست های امنیتی
ارزیابی میزان آگاهی کارمندان از مسائل امنیتی
بررسی اثربخشی واکنش به حادثه های امنیت سایبری (Disaster Recovery) و CERT
برجسته سازی نقاط ضعف سیاست های امنیتی و میزان اثربخشی آنها
ارزیابی عملکرد صحیح سیستم های امنيتی مانند فایروال و WAF
ارزیابی امنیت سرویس های تحت وب در مقابل آخرين آسيب‌پذيری ها

انتخاب نهایی برای نیاز های امنیتی شما.

انواع تست نفوذ وب از نظر سطح دسترسی بیرونی

تست نفوذ وب از دیدگاه سطح دسترسی بیرونی به 2 حالت تقسیم می شود:
تست نفوذ احراز هویت شده (Authenticated Pen Test)
تست نفوذ احراز هویت نشده (Unauthenticated Pen Test)

در مواردی که قسمتی از نرم افزار تحت وب و یا دسترسی کلی به آن نیازمند احراز هویت (در سطح های دسترسی مختلف) می­باشد، بهتر است تست نفوذ در فازهای مختلف انجام شود. فاز اول بدون در اختیار داشتن کلمه عبور و در هر یک از فازهای بعدی با استفاده از کلمات عبور با سطوح دسترسی متفاوت. در صورتی که کلمه عبور در اختیار ارزیاب امنیتی قرار نگیرد دامنه ارزیابی او کاهش می یابد. این در حالی است که ممکن است بخش های مهمی از نرم افزار دارای آسیب پذیری های جدی باشد که مهاجم به طرق مختلف از جمله فیشینگ به آنها دسترسی پیدا کرده باشد.

« تست نفوذ، هشدار امروز برای فردایی بهتر »

انواع تست نفوذ وب از نظر متدولوژی

جعبه سیاه [Black Box]

تست نفوذ جعبه سیاه در نزدیکترین شرایط به حمله خارجی که توسط یک مهاجم ناشناخته از راه دور انجام می شود را دارد. این بدان معناست که قبل از شروع آزمون هیچ اطلاعاتی (تقریباً هیچ اطلاعاتی) در اختیار تست نفوذ کننده قرار نمی گیرد. عبارت جعبه سیاه به نوع تجزیه و تحلیل هدف اشاره دارد، که بدون دانستن عملکرد داخلی آن انجام می شود. آزمونگر فقط نام سازمان هدف و اغلب آدرس IP یا URL را می داند. بنابراین سطح حمله گسترده است.

یکی از مزایای این روش این است که پنچره تازه به هدف و در نتیجه ارزیابی جدیدی از نقاط ورود بالقوه از دید یک مهاجم ایجاد می کنند. به عنوان مثال، از تمركز آزمون ها فقط بر روي مواردي كه براي امنيت مهم تلقي مي شوند ، اجتناب مي شود ، در حاليكه ممكن است خطرات ساير عناصر را دست كم بگيريد. برای اطلاع از توانایی سازمان در تشخیص حملات و ارزیابی واکنش ها، بدون اطلاع امنیتی شروع به اجرای تست های این متدولوژی کرد.

جعبه خاکستری [Gray Box]

تست نفوذ جعبه خاکستری تستی است که در آن اطلاعات جزئی در اختیار تست نفوذ کننده قرار میگیرد. این تست گستره بزرگی از مصادیق را شامل می شود. نکته حائز اهمیت این است که بایستی بین تست نفوذ جعبه خاکستری و تست نفوذ احراز هویت شده تمایز قائل بود. مرزها در تست نفوذ احراز هویت شده بسیار مشخص است. در حالی که در تست نفوذ جعبه خاکستری مصادیق بسیار متنوعی وجود دارد. اطلاعاتی از قبیل نحوه احراز هویت (دامین ، هاردکد شده یا دریافت از دیتابیس)، نحوه ارتباط با دیتابیس (لوکال یا ریموت) و حتی پسورد اتصال به پایگاه داده و… می توانند مصادیقی از تست نفوذ جعبه خاکستری وب تلقی شوند.

جعبه سفید [White Box]

تست نفوذ جعبه سفید دقیقا نقطه مقابل جعبه سیاه قرار دارد به این معنی که حدأکثر میزان اطلاعات قبل از اجرای آزمون در اختیار تیم ارزیابی تست نفوذ قرار می گیرد. این اطلاعات می تواند منبع کد (source code) نرم افزار باشد. بسته به ارزیابی و تفاهم کارفرما و پیمانکار و نوع سناریو طراحی میزان اطلاعاتی که در اختیار پیمانکار قرار میگیرد می تواند متقاوت باشد. این نوع از تست نفوذ معمولا مورد استقبال شرکتهای توسعه دهنده نرم افزار قرار میگیرد تا آسیب پذیری نرم افزار آنها از هر نظر بررسی گردد. در این موارد تست هایی از نوع سر ریز بافر و… (مربوط به موارد Fuzzing و Exploitation) نیز بایستی بررسی شوند.

مهندسی اجتماعی [Social Engineering]

تست نفوذ مهندسی اجتماعی بر روی افراد و فرایندها و آسیب پذیری های مرتبط با آنها متمرکز است. هدف از این آزمون شناسایی نقاط ضعف در یک فرد ، گروهی از افراد یا پردازش و شناسایی نقاط آسیب پذیر با یک مسیر مشخص است. حملات مهندسی اجتماعی اشکال گوناگونی دارد و متداول ترین آنها عبارتند از فیشینگ ، ویشینگ ، اسمیشینگ ، جعل هویت ، دستگاه های USB و… . بر خلاف تصور عموم مدیران شبکه که صرفا بر آموزش نیروی انسانی برای مقابله به حملات مهندسی اجتماعی تأکید دارند، می توان طیف وسیعی از این حملات را با پیاده سازی سیاست های مناسب امنیتی دفع کرد.

نکته قابل توجه این است که اخیرا باتوجه به پیشرفت های چشم گیر در عرصه محصولات امنیتی و جلوگیری از اکثر حملات سایبری، تمرکز مهاجمین بر این دسته از حملات بیشتر شده است.

سدید، انتخاب حرفه ای برای کسب و کار شما

استانداردها

نتایج آزمون های نفوذ با توجه به استانداردها و روش های استفاده از آنها متفاوت است. سازمان ها به دنبال ایمن سازی زیرساخت های فناوری اطلاعات و رفع آسیب پذیری ها هستند. سازمان ها همچنین به دنبال جدیدترین ، مرتبط ترین و محبوب ترین ابزارها و روش های نفوذ برای مبارزه با انواع جدید حملات سایبری هستند.

5 استاندارد محبوب تست نفوذ عبارتند از:

    1. OWASP

پروژه متن باز امنیت برنامه های کاربردی وب (OWASP)، استاندارد شناخته شده ای است که سازمان ها را قادر می سازد نقاط ضعف برنامه های تحت وب را آشکار کنند. این چارچوب به شناسایی آسیب پذیری در برنامه های وب و تلفن همراه کمک می کند.
راهنمای به روز شده OWASP بیش از 66 کنترل را برای شناسایی و ارزیابی آسیب پذیری ها با عملکردهای بی شماری که در جدیدترین برنامه های امروزی یافت می شود ، فراهم می کند.
به کارگیری استاندارد OWASP در ارزیابی امنیت و تست نفوذ، تقریباً عدم وجود آسیب پذیری را تضمین می کند. علاوه بر این، توصیه های واقع بینانه را به ویژگی ها و فن آوری های خاص در برنامه ها افزایش می دهد. علاوه بر OWASP استانداردهای دیگری نیز وجود دارد که به نسبت از محبوبیت پایینتری برخوردار هستند:

  1. NIST
  2. PTES
  3. ISSAF
  4. LPT

در حالی که تهدیدات سایبری در صنایع مختلف توسعه پیدا می کند، باید شرکت ها روش آزمایش امنیت سایبری خود را بهبود بخشند تا اطمینان حاصل کنند که از آخرین فن آوری ها و سناریوهای بالقوه حمله مطلع هستند. نصب و اجرای به روز چارچوب های امنیت سایبری یک قدم در این مسیر است. این استانداردها و روش های تست نفوذ ، معیار عالی برای ارزیابی امنیت سایبری شما و توصیه هایی متناسب با زمینه خاص شما ارائه می دهند تا بتوانید از هکرها به خوبی محافظت شوید.

مراحل تست نفوذ وب

برای اجرای تست نفوذ توسط تیم سدید گام هایی وجود دارد که عبارتند از:

  1. عقد قرارداد NDA
  2. تعیین دامنه تست نفوذ و متدولوژی
  3. برآورد هزینه و عقد قرارداد
  4. اجرای تست نفوذ
  5. گزارش اجرای تست نفوذ و ارائه راهکارهای مناسب
  6. تست نفوذ مجدد و بازبینی رفع آسیب پذیری ها

لازم به ذکر است جزئیات قابل توجهی با توجه به نیازمندی های کارفرما در قرار داد گنجانده می شود. این جزئیات میتواند مکان فیزیکی اجرای تست، آی پی های تست، میزان جمع آوری Evidence جهت مستند سازی و … باشد. سدید امکان طراحی سیاست های امنیتی به روز را نیز میتواند در اختیار کارفرما قرار دهد.

سدید از دیدگاه فنی، تست نفوذ [جعبه سیاه] را بر اساس گامهایی استاندارد اجرا می کند که به شکل مستند در اختیار کارفرما قرار می­دهد. مستند سازی گام ها از جهات مختلف قابل استفاده است. اولین مورد از کارکرد مستند سازی، ارزیابی اشراف پیمانکار از سوی کارفرما می باشد تا درصورتی که اطلاعات ناقصی جمع آوری و بر اساس آنها ارزیابی های امنیتی صورت گرفته باشد اصلاح شود. بررسی میزان عمق تست نفوذ از دیگر فواید مستند سازی دقیق عملکردها است.

تیم امنیت حرفه ای، نیاز کسب و کارهای بزر

زمان لازم برای تست نفوذ

برآورد زمان تست نفوذ کاملا بستگی به پارامترهای متنوعی دارد که به برخی از آنها اشاره میشود.

    1. تعداد آی پی ها و دامنه های میزبانی شده بر روی هر کدام
    2. تعداد صفحات موجود هر دمنه
    3. نوع برنامه نویسی هر دامنه

(این که در برنامه نویسی از چه فریم ورک استفاده می شود میتواند در زمان تست نفوذ تأثیر گذار باشد.)

    1. تعداد پارامترها

(برخی از صفحات نرم افزارهای تحت وب همانند صفحات استاتیک پارامترهای زیادی برای بررسی ندارد در مقابل برخی از صفحات مانند صفحات داری فرم، دارای پارامترهای امنیتی متفاوتی هستند.)

    1. نوع نرم افزار

برخی از انواع نرم افزار تحت وب عبارتند از: سیستم ها مدیریت محتوا نظیر وردپرس، سرویس های تحت وب مشهور نظیر شیرپوینت و یا نرم افزارهایی که در سازمان و به صورت خصوصی برنامه نویسی شده اند. طبیعتا هرنوعی از سیستم های فوق نوع بررسی امنیتی متفاوتی را نیاز دارند. فلذا ارائه زمان برای تست نفوذ تمام آنها مقدور نیست.

    1. محل اجرای تست نفوذ

برخی از سازمان ها به دلیل سیاست های امنیت فیزیکی یا امنیت سایبری ممکن است شرایطی ویژه برای مکان فیزیکی اجرای تست نفوذ اتخاذ نماید. و…

لینکهای مفید مرتبط

مطالعه بیشتر در زمینه استاندارد OWASP
مراحل اجرای تست نفوذ به صورت گام به گام

در این که سازمان شما به تست نفوذ نیاز دارد مطمئن نیستید؟ از مشاوره رایگا تیم سدید استفاده کنید.

 

با سایر خدمات سدید بیشتر آشنا شوید:

خدمات تست نفوذ شبکه

خدمات باز طراحی و امن سازی شبکه

ارائه راهکارهای پشتیبان گیری اطلاعات در مراکز داده