تست نفوذ برنامه های تحت وب
هیچگاه امنیت به صورت کامل و صد درصد نبوده است به همین خاطر باید همیشه در مباحث امنیتی بروز بود و خود را اپدیت نگه داشت خصوصا وب سایت ها و سرور ها که بیشتر در معرض عموم هستند و امکان نفوذ کردن ان ها توسط هکر ها بیشتر است. تست نفوذ وب سایت (تست نفوذ برنامه های تحت وب)، یک حمله سایبری شبیه سازی شده علیه وب سایت، سرور و یا شبکه شما برای بررسی آسیب پذیریهای قابل بهره برداری است. تست نفوذ بیشتر برای کاربردهای دنیای وب استفاده میشود.
مراحل تست نفوذ وب سایت یا هر نوع سامانه اینترنتی باید توسط متخصص تست نفوذ طی شود. حتما در نظر داشته باشید که این کار باید به دست یک فرد حرفهای و در عین حال معتمد انجام شود. زیرا این فرد با تکیه بر دانش هک و امنیت شبکه خود، فعالیتهای یک هکر واقعی را تقلید کرده و به منابع تجاری نفوذ میکند. اگر نتیجه تست نفوذ وجود حفره امنیتی را تایید کند، کارشناس امنیت ضمن تشریح آسیب پذیری در گزارش نهایی راهکار های رفع آن را نیز ارائه میکند.
از آنجایی که هدف اصلی تست نفوذپذیری، ارتقای امنیت سازمان است در صورت شناسایی ضعفهای سازمان، نه تنها مشکلات امنیتی آشکار میشود بلکه توصیههای دقیقی برای رفع آنها اعلام میشود. تامین امنیت وب سایت خود را به امن افزار اوژن بسپارید.
تست نفوذ چیست؟
پلن یک
تست نفوذ- بررسی بدون هیچ شناخت و اطلاعات از سرویس (فقط نام دامنه)
- بررسی و تست بر اساس آگاهی محدود از سرویس
- بررسی و تست بر اساس آگاهی کامل از سرویس
- این نوع حفره ها http اکسپلویت هستند و باعث می شوند هکر به دایرکتوری مورد نظر خود در وب سرور دسترسی داشته باشد و دستورات مورد نظر خود را اجرا کند
- حملات Web Parameter Tampering بر اساس دستکاری داده های مبادله شده بین سرویس دهنده و کاربر بمنظور تغییر داده های برنامه شکل می گیرند
- یکی از رایج ترین حملات تزریق کد، حمله XSS است. در این نوع حمله نفوذگر کدهای مخرب جاوا اسکریپت،HTML ، ویا سایر اسکریپت های سمت سرویس گیرنده را به وب سایت مورد نظر تزریق می کند.
- حمله تزریق طیف وسیعی از دستورات
- کسب آگاهی از محل ذخیره سازی فایلها که بسیار رایج میباشند
- در اینگونه حملات هکر کنترل مرورگر قربانی را یدست آورده و زمانی که وی وارد سایت (login) شده درخواستهای نادرستی را به سایت ارسال می کند.
- در این شیوه هکر به همراه بخشی از اطلاعات یا پارامترهای ارسالی به سایت دستورات غیر مجازی که امکان خواندن،تغییر یا حذف یا درج اطلاعات را فراهم میکند نیز تزریق میکند
- تغییر محتوا توسط حمله کننده به منظور دسترسی به اطلاعات مهم
- این مسئله به هکر ها اجازه اجرای برنامه یا کدی را میدهد که امکاناتی در تغییرات یا مشاهده اطلاعات یا حتی تحت کنترل گرفتن کل نرم افزار سایت یا سیستم را میدهد
- نوعی از حمله به شبكه هست كه مهاجم كنترل ارتباط را در اختیار می گیرد ،به این صورت که نفوذگر بین دو سیستم موجود در شبكه قرار می گیرد و برای هر یک از طرفین ارتباط، خود را جای دیگری جا میزند
- حمله به منظور قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به اینترنت
- بررسی پورت های سرویس و تست میزان نفوذ پذیری پورت های باز
- تست و شبیه سازی حملات تزریق sql برای دستیابی به دیتابیس
- فعاليت هایی در گوگل كه ميتوان براي يافتن حفرههاي موجود در وبسايتها بهره برد
- تغییر هویت هکر به عنوان یکی از اعضای شبکه
- از جمله خطرناک ترین حملاتی هستند که در بستر وب انجام می شود. نفوذگر با استفاده از ضعف هایی که در طراحی و پیاده سازی برنامه های کاربردی تحت وب وجود دارد، قادر خواهد بود تا محتویات فایلی را در سیستم هدف، مشاهده نماید
پلن دو
تست نفوذ- بررسی بدون هیچ شناخت و اطلاعات از سرویس (فقط نام دامنه)
- بررسی و تست بر اساس آگاهی محدود از سرویس
- بررسی و تست بر اساس آگاهی کامل از سرویس
- این نوع حفره ها http اکسپلویت هستند و باعث می شوند هکر به دایرکتوری مورد نظر خود در وب سرور دسترسی داشته باشد و دستورات مورد نظر خود را اجرا کند
- حملات Web Parameter Tampering بر اساس دستکاری داده های مبادله شده بین سرویس دهنده و کاربر بمنظور تغییر داده های برنامه شکل می گیرند
- یکی از رایج ترین حملات تزریق کد، حمله XSS است. در این نوع حمله نفوذگر کدهای مخرب جاوا اسکریپت،HTML ، ویا سایر اسکریپت های سمت سرویس گیرنده را به وب سایت مورد نظر تزریق می کند.
- حمله تزریق طیف وسیعی از دستورات
- کسب آگاهی از محل ذخیره سازی فایلها که بسیار رایج میباشند
- در اینگونه حملات هکر کنترل مرورگر قربانی را یدست آورده و زمانی که وی وارد سایت (login) شده درخواستهای نادرستی را به سایت ارسال می کند.
- در این شیوه هکر به همراه بخشی از اطلاعات یا پارامترهای ارسالی به سایت دستورات غیر مجازی که امکان خواندن،تغییر یا حذف یا درج اطلاعات را فراهم میکند نیز تزریق میکند
- تغییر محتوا توسط حمله کننده به منظور دسترسی به اطلاعات مهم
- این مسئله به هکر ها اجازه اجرای برنامه یا کدی را میدهد که امکاناتی در تغییرات یا مشاهده اطلاعات یا حتی تحت کنترل گرفتن کل نرم افزار سایت یا سیستم را میدهد
- نوعی از حمله به شبكه هست كه مهاجم كنترل ارتباط را در اختیار می گیرد ،به این صورت که نفوذگر بین دو سیستم موجود در شبكه قرار می گیرد و برای هر یک از طرفین ارتباط، خود را جای دیگری جا میزند
- حمله به منظور قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به اینترنت
- بررسی پورت های سرویس و تست میزان نفوذ پذیری پورت های باز
- تست و شبیه سازی حملات تزریق sql برای دستیابی به دیتابیس
- فعاليت هایی در گوگل كه ميتوان براي يافتن حفرههاي موجود در وبسايتها بهره برد
- تغییر هویت هکر به عنوان یکی از اعضای شبکه
- از جمله خطرناک ترین حملاتی هستند که در بستر وب انجام می شود. نفوذگر با استفاده از ضعف هایی که در طراحی و پیاده سازی برنامه های کاربردی تحت وب وجود دارد، قادر خواهد بود تا محتویات فایلی را در سیستم هدف، مشاهده نماید
پلن یک
تست نفوذ- تست نفوذ بدون هیچ شناخت و اطلاعات از سرویس
- تست نفوذ بر اساس آگاهی محدود از سرویس
- تست نفوذ بر اساس آگاهی کامل از سرویس
- -----------------------------------------
- Injection (انواع تزریق)
- Broken Authentication
- Sensitive Data Exposure
- XML External Entities
- Broken Access Control
- Security Misconfiguration
- Cross-Site Scripting
- Insecure Deserialization
- Using Components with Known Vulnerabilities
- Insufficient Logging and Monitoring
- Server-Side Request Forgery
- Insecure Design
- Software and Data Integrity Failures
- Google Hacking