عندما نتحدث عن الأمن السيبراني هناك العديد من المجالات والتخصصات منها إختبار الإختراق #Penetration (PenTest) Testing ويعرف?:
عملية فحص الأنظمة والشبكات في جهة معينة ومحاكاة ما يقوم به المخترق بدون الإضرار بالأنظمة والشبكات. في هذا الانفوجرافيك يتم تنفيذ PenTest على خمس مراحل?
عملية فحص الأنظمة والشبكات في جهة معينة ومحاكاة ما يقوم به المخترق بدون الإضرار بالأنظمة والشبكات. في هذا الانفوجرافيك يتم تنفيذ PenTest على خمس مراحل?
هناك ثلاث منهجيات لعمل PenTest ?
1- Black Box
وفي هذه الطريقة يتم عمل إختبار الاختراق بدون معرفة أي شيء عن الأنظمة الا رابط الموقع أو IP للهدف.
2:- GreyBox
وفي هذه الطريقة يتم عمل إختبار الاختراق مع معرفة الشيء اليسير عن الانظمة مثلا اسم مستخدم وكلمة سر لمستخدم عادي وليس Admin
1- Black Box
وفي هذه الطريقة يتم عمل إختبار الاختراق بدون معرفة أي شيء عن الأنظمة الا رابط الموقع أو IP للهدف.
2:- GreyBox
وفي هذه الطريقة يتم عمل إختبار الاختراق مع معرفة الشيء اليسير عن الانظمة مثلا اسم مستخدم وكلمة سر لمستخدم عادي وليس Admin
3- White Box
لديك كل المعلومات عن النظام الذي ستقوم بفحصه. وهذه المعلومات يجب أن تحتوي على كل التفاصيل عن أنظمة التشغيل المستخدمة، معلومات عن تطبيقات الويب المتاحة، أنوع وإصدارات الخدمات، وأي معلومات أخرى يحتاجها مختبر الاختراق لإكمال عمله.
لديك كل المعلومات عن النظام الذي ستقوم بفحصه. وهذه المعلومات يجب أن تحتوي على كل التفاصيل عن أنظمة التشغيل المستخدمة، معلومات عن تطبيقات الويب المتاحة، أنوع وإصدارات الخدمات، وأي معلومات أخرى يحتاجها مختبر الاختراق لإكمال عمله.
كيف يتم اختيار PenTest?
كل طريقة لها ميزات وعيوب:
For white box
١- تعتبر عميقة وشاملة لوجود جميع المعلومات لدى المختبر
٢- الاستفادة من الوقت للاختبار بسبب توفر المعلومات
٣-يتم اختبار حتى المناطق التي لا يمكن لاختبار الصندوق الأسود الوصول إليها، مثل جودة التعليمات البرمجية.
كل طريقة لها ميزات وعيوب:
For white box
١- تعتبر عميقة وشاملة لوجود جميع المعلومات لدى المختبر
٢- الاستفادة من الوقت للاختبار بسبب توفر المعلومات
٣-يتم اختبار حتى المناطق التي لا يمكن لاختبار الصندوق الأسود الوصول إليها، مثل جودة التعليمات البرمجية.
For black box:
مميزات اختبار إختراق الصندوق الأسود
- أكثر واقعية لأنه يأخذ موقف المهاجم المحتمل غير المطلع على معلومات الأنظمة والشبكة.
- يحاكي سيناريو واقعي جدا، مما يساعد ان تكون على أعلى مستوى من الحماية.
عيوب اختبار الاختراق Black Box
- بعضها تتطلب زيادة الوقت المطلوب.
مميزات اختبار إختراق الصندوق الأسود
- أكثر واقعية لأنه يأخذ موقف المهاجم المحتمل غير المطلع على معلومات الأنظمة والشبكة.
- يحاكي سيناريو واقعي جدا، مما يساعد ان تكون على أعلى مستوى من الحماية.
عيوب اختبار الاختراق Black Box
- بعضها تتطلب زيادة الوقت المطلوب.
- بعض المواقع في البنية التحتية لايتم الوصول لها مما يعني عدم اختبار الإختراق لها، لكن يركز على أهداف غالباً يستهدفها المخترق في الواقع.
لايوجد طريقة واحدة هي الصحيحة عند اختيار نوع اختبار الإختراق لإنها تعتمد على السيناريو و الموارد المتاحة وقت PenTest.
#CyberSecurity #hackers
لايوجد طريقة واحدة هي الصحيحة عند اختيار نوع اختبار الإختراق لإنها تعتمد على السيناريو و الموارد المتاحة وقت PenTest.
#CyberSecurity #hackers
الآن نصل اخر موضوع وهو ماهي افضل ادوات وبرامج اختبار الاختراق
Here are the top tools which are being used by Pen Testing teams worldwide:
1. NMAP
2- Metasploit
3- Wireshark
4-Nessus Vulnerability Scanner
5-John The Ripper
6- Burp Suite
..
Here are the top tools which are being used by Pen Testing teams worldwide:
1. NMAP
2- Metasploit
3- Wireshark
4-Nessus Vulnerability Scanner
5-John The Ripper
6- Burp Suite
..
جاري تحميل الاقتراحات...