آزمون نفوذپذیری یا آزمون نفوذ ( به انگلیسی: Penetration test ) روشی برای تخمین میزان امنیت و آسیب پذیری یک رایانه ( معمولاً سرور ) یا یک شبکه است که با شبیه سازی حملات یک حمله کننده ( هکر ) صورت می گیرد. در این روش تمام سیستم و نرم افزارها و سرویس های نصب شده روی آن برای یافتن مشکلات امنیتی آزمایش می شوند و سپس اقدام به رفع مشکلات موجود می شود. [ ۱] [ ۲]
• مشخص کردن دامنه ( هدف، تارگت )
• جمع آوری اطلاعات
• ارزیابی آسیب پذیری
• تست نفوذ
• گزارش و ارائه راهکار
تست نفوذ به روش های متفاوتی قابل انجام است. بیشترین تفاوت میان این روش ها، در میزان اطلاعات مرتبط با جزئیات پیاده سازی سیستم در حال تست می باشد که در اختیار تیم تست نفوذ قرار داده می شود. با توجه به این موضوع تست نفوذ را می توان به چهار دسته Covert, Black - Box , White–Box و Gray - Box، تقسیم نمود.
تست Black - Box ( جعبه سیاه ) با فرض فقدان دانش قبلی از زیرساخت هایی است که قرار است مورد تست قرار گیرند. متخصصان باید پیش از آنالیز و بررسی، ابتدا مکان و گستره سیستم ها را به طور دقیق مشخص کنند. تست Black - Box در واقع شبیه سازی کردن حمله ای است که توسط نفوذگری انجام می شود که در ابتدا با سیستم آشنایی ندارد.
تست White - Box ( جعبه سفید یا تست شفاف ) اطلاعات ضروری مانند معماری شبکه، کدهای منبع، اطلاعات آدرس IP و شاید حتی دسترسی به بعضی از کلمات عبور، در اختیار تیم ارزیابی امنیتی قرار می گیرد. تست White - Box حمله ای را شبیه سازی می کند که ممکن است در اثر افشای اطلاعات محرمانه از شبکه داخلی یا حضور نفوذگر در داخل سازمان به وجود آید. تست White - Box دارای گستردگی وسیعی می باشد و محدوده آن شامل بررسی شبکه محلی تا جستجوی کامل منبع نرم افزارهای کاربردی به منظور کشف آسیب پذیری هایی که تا کنون از دید برنامه نویسان مخفی مانده است، می باشد.
روش های متنوع دیگری نیز وجود دارد که در واقع مابین دو روش ذکر شده در بالا قرار می گیرند که معمولاً از آنها به تست های Gray - Box ( جعبه خاکستری ) تعبیر می شود.
این نوع تست که به تست نفوذ double - blind نیز مشهور است اشاره به زمانی دارد که تقریباً هیچ کس از جمله افراد متخصص امنیت شبکه در شرکت مورد هدف اطلاعی از این حملهٔ کنترل شده ندارند. در این نوع تست نفوذ بسیار اهمیت دارد که متخصصین امنیت اجراکنندهٔ تست اطلاعاتی پایه ای دربارهٔ موضوع داشته باشند که از مشکلات قانونی جلوگیری شود.
این نوشته برگرفته از سایت ویکی پدیا می باشد، اگر نادرست یا توهین آمیز است، لطفا گزارش دهید: گزارش تخلف• مشخص کردن دامنه ( هدف، تارگت )
• جمع آوری اطلاعات
• ارزیابی آسیب پذیری
• تست نفوذ
• گزارش و ارائه راهکار
تست نفوذ به روش های متفاوتی قابل انجام است. بیشترین تفاوت میان این روش ها، در میزان اطلاعات مرتبط با جزئیات پیاده سازی سیستم در حال تست می باشد که در اختیار تیم تست نفوذ قرار داده می شود. با توجه به این موضوع تست نفوذ را می توان به چهار دسته Covert, Black - Box , White–Box و Gray - Box، تقسیم نمود.
تست Black - Box ( جعبه سیاه ) با فرض فقدان دانش قبلی از زیرساخت هایی است که قرار است مورد تست قرار گیرند. متخصصان باید پیش از آنالیز و بررسی، ابتدا مکان و گستره سیستم ها را به طور دقیق مشخص کنند. تست Black - Box در واقع شبیه سازی کردن حمله ای است که توسط نفوذگری انجام می شود که در ابتدا با سیستم آشنایی ندارد.
تست White - Box ( جعبه سفید یا تست شفاف ) اطلاعات ضروری مانند معماری شبکه، کدهای منبع، اطلاعات آدرس IP و شاید حتی دسترسی به بعضی از کلمات عبور، در اختیار تیم ارزیابی امنیتی قرار می گیرد. تست White - Box حمله ای را شبیه سازی می کند که ممکن است در اثر افشای اطلاعات محرمانه از شبکه داخلی یا حضور نفوذگر در داخل سازمان به وجود آید. تست White - Box دارای گستردگی وسیعی می باشد و محدوده آن شامل بررسی شبکه محلی تا جستجوی کامل منبع نرم افزارهای کاربردی به منظور کشف آسیب پذیری هایی که تا کنون از دید برنامه نویسان مخفی مانده است، می باشد.
روش های متنوع دیگری نیز وجود دارد که در واقع مابین دو روش ذکر شده در بالا قرار می گیرند که معمولاً از آنها به تست های Gray - Box ( جعبه خاکستری ) تعبیر می شود.
این نوع تست که به تست نفوذ double - blind نیز مشهور است اشاره به زمانی دارد که تقریباً هیچ کس از جمله افراد متخصص امنیت شبکه در شرکت مورد هدف اطلاعی از این حملهٔ کنترل شده ندارند. در این نوع تست نفوذ بسیار اهمیت دارد که متخصصین امنیت اجراکنندهٔ تست اطلاعاتی پایه ای دربارهٔ موضوع داشته باشند که از مشکلات قانونی جلوگیری شود.
wiki: تست نفوذپذیری