الهكر الأخلاقي واختبار الاختراق
الهكر الأخلاقي واختبار الاختراق
الهكر الأخلاقي واختبار الاختراق
ما هو اختبار الاختراق؟
اختبار الاختراق ، والذي يعرف أيضًا باسم اختبار القلم ،
هو اختبار يستخدم من أجل تقييم الثغرات ونقاط الضعف في نظام معين.
أيضا تستخدم المؤسسات هذا النوع من الاختبارات للتعرف على الثغرات الأمنية المختلفة ونقاط الضعف وحساب مخاطر الأمان في النهاية.
كذلك يتكون اختبار الاختراق عادةً من خمس مراحل ، وهي كالتالي:
1_ التخطيط والاستطلاع Planning and Reconnaissance
2_ يتم المسح Scanning
3_ امكانية الوصول Gaining Access
4_ الوصول المستمر Persistent Access
5_ صنع التقرير Report Making
عملية لتحديد الثغرات الأمنية داخل أحد التطبيقات من خلال تقييم نظام أو شبكة بمساعدة تقنيات ضارة مختلفة.
أيضا يمكننا مقارنتها بالنشاط في الوقت الفعلي لفحص جميع نقاط الدخول المحتملة لمنزلنا
كذلك مثل الأبواب والنوافذ والأعمدة لضمان عدم دخول أي لص إلى المنزل.
ما هي الأدوات المستخدمة في اختبار الاختراق؟
يتم وصف أفضل أدوات اختبار الاختراق أدناه:
Metasploit
هي أداة اختبار الاختراق الأكثر استخدامًا.
لذلك يساعد فريق الأمان على التحقق من تقييمات الأمان المختلفة وإدارتها.
أيضا يحتوي على واجهة مستخدم رسومية سهلة الاستخدام.
المنصات: Mac Os X و Windows و Linux.
إنها أداة مجانية.
BeEF
هوي اختصار لـ Browser Exploitation Framework.
هذه الأداة هي الأفضل لاختبار متصفح الويب.
أيضا تساعد في توصيل متصفحات متعددة.
كذلك هي أداة مساعدة في استكشاف المشكلات التي تحدث خارج نظام العميل.
أيضا يساعد اختبار الدخان فريق ضمان الجودة في الحصول على تأكيد يمكن لفريق ضمان الجودة المضي قدمًا لإجراء مزيد من الاختبارات أم لا.
الأنواع المختلفة لاختبارات الاختراق.
الأنواع المختلفة لاختبارات الاختراق:
اختبار خدمة الشبكة
هدفها الرئيسي هو العثور على العديد من نقاط الضعف والثغرات في البنية التحتية لشبكة العميل.
أيضا نظرًا لأن الشبكة يمكن أن تحتوي على نقاط وصول داخلية وخارجية ،
لذلك فمن الضروري إجراء الاختبارات محليًا في موقع العميل وعن بُعد من العالم الخارجي.
لذلك في هذه الاختبارات ، عادةً ما تستهدف أجهزة اختبار القلم مناطق الشبكة التالية ،
- اختبار تكوين جدار الحماية.
- اختبار تحليل الدولة.
- اختبار تجاوز جدار الحماية.
- الخداع IPS.
- هجمات مستوى DNS والتي تشمل.
اختبار تطبيقات الويب
- إنه أحد أكثر أنواع الاختبارات كثافة وتفصيلاً.
- في هذا ، يتم تغطية المجالات التالية ، مثل تطبيقات الويب والمتصفحات وأجزائها مثل ActiveX و Applets و Scriptlets.
- نظرًا لأن هذا النوع من الاختبار يفحص عادةً نقطة نهاية التطبيق الذي يتطلب فيه العميل تفاعلات منتظمة ، فإنه يتطلب تخطيطًا مكثفًا واستثمارات للوقت.
اختبارات من جانب العميل
- الهدف الأساسي من هذه الاختبارات هو تقييم التهديدات الأمنية التي تحدث عادةً علي مستوي محلي.
- قد تتضمن تطبيقات مثل عملاء Git و Putty ومتصفحات مختلفة مثل Chrome و Firefox و Safari و IE و Opera وحزم مختلفة مثل Adobe Page Maker و Photoshop ومشغلات الوسائط.
- في هذه الأنواع من الاختبارات ، يمكن أن تكون التهديدات محلية.
اختبار الشبكة اللاسلكية
- يهدف هذا الاختبار بشكل أساسي إلى فحص الأجهزة اللاسلكية مثل الأجهزة اللوحية وأجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المحمولة وأجهزة iPod والهواتف الذكية المنتشرة على موقع العميل.
- بالإضافة إلى هذه الأجهزة ، يجب أن يقوم جهاز اختبار القلم أيضًا بإعداد اختبارات للبروتوكولات المستخدمة لتكوين النظام اللاسلكي.
- عادة ما يتم إجراء هذه الاختبارات في موقع العميل.
اختبارات الهندسة الاجتماعية
- عادةً ما تحاكي هذه الاختبارات الهجمات التي يمكن أن يقوم بها عضو فريق المنظمة لبدء الاختراق.
- وتنقسم هذه الاختبارات كذلك إلى اختبارين فرعيين
الاختبارات عن بُعد:
في هذه الاختبارات ، يقوم أحد المختبرين بتنفيذ هجوم عبر حملة بريد إلكتروني للتصيد الاحتيالي.
أيضا يتحقق بشكل أساسي من أن أحد أعضاء الفريق لا يشارك البيانات السرية عبر البريد الإلكتروني.
الاختبارات البدنية:
في هذه الأنواع من الاختبارات ، يحتاج المُختبِر إلى الاتصال بالموضوع مباشرةً لاسترداد البيانات الحساسة.
لذلك قد يشمل أنشطة مثل التخويف والغوص في القمامة وما إلى ذلك.
ما هو الهكر الأخلاقي؟
قد يكون الهكر الأخلاقي خبيرًا في أمن المعلومات هدفه الرئيسي هو اختراق تطبيق أو نظام أو شبكة لتقييم أو مراقبة الثغرات أو الثغرات الأمنية المختلفة التي يمكن أن يسيء المتسلل الفعلي استخدامها.
أيضا يتطلب دور المخترق الأخلاقي نفس مهارات المتسلل الفعلي. تشمل هذه المهارات:
- إرسال رسائل الايميل المخادعة.
- الهجوم على كلمات المرور.
- استغلال تكوينات النظام المختلفة.
يلعب دور المخترق الأخلاقي قبل إنتاج تطبيق أو نظام جديد.
الأنواع المختلفة للقرصنة الأخلاقية هي:
- قرصنة تطبيقات الويب
- هندسة اجتماعية
- قرصنة النظام
- قرصنة الشبكات اللاسلكية
- قرصنة خادم الويب
ما هي الأداة المستخدمة للقرصنة الأخلاقية؟
الأدوات المستخدمة في الغالب للقرصنة الأخلاقية مدرجة أدناه:
Acunetix
- Acunetix هي أداة اختراق أخلاقية آلية.
- النظام الأساسي: Windows ، Mac ، Redhat 8 ، إلخ.
- يتم استخدامه لمسح أمان الويب من طرف إلى طرف.
- إنها ليست أداة مفتوحة المصدر.
Netsparker
- النظام الأساسي: Windows & Web على الويب
- يتم استخدام NetSparker لاختبار أمان التطبيق الدقيق والآلي.
- إنها واحدة من أهم أدوات القرصنة الأخلاقية التي تحاكي تحركات المتسلل لتحديد الحالات الشاذة مثل حقن SQL والبرمجة النصية للمواقع المتقاطعة في تطبيقات الويب وواجهة برمجة التطبيقات.
الهكر الأخلاقي واختبار الاختراق
1_ المجال
الهكر الأخلاقي :
عادة ما يكون له نطاق أوسع مقارنة باختبار الاختراق. يراقب البيئة بأكملها لفترة أطول من الوقت.
اختبار الاختراق :
يتم تنفيذه على جانب معين وليس على البيئة بأكملها بناءً على الميزانية والقيود الزمنية المحددة.
2_ الإذن مطلوب
الهكر الأخلاقي :
في هذا ، يتطلب الهاكر الأخلاقي إذنًا من النظام بأكمله.
اختبار الاختراق :
في هذا ، يطلب المختبر أذونات المناطق المحددة التي يختبرونها فقط.
3_ من يقود؟
الهكر الأخلاقي :
يتم تنفيذ القرصنة الأخلاقية من قبل الأفراد الذين يجب أن يكون لديهم معرفة واسعة بالبرمجة بالإضافة إلى تقنيات القرصنة الأخرى.
اختبار الاختراق :
يتم إجراء اختبار الاختراق من قبل الفرد الذي لديه الخبرة والمعرفة في هذا النوع المعين من الاختبارات.
4_ التقرير
الهكر الأخلاقي :
يجب أن يتمتع المتسللون الأخلاقيون بخبرة جيدة في إنشاء تقارير متعمقة إلى جانب الحلول المناسبة.
اختبار الاختراق :
مختبرو الاختراق مسؤولون عن إنشاء تقارير مفصلة للاختبار الذي تم إجراؤه.
5_ الشهادة
الهكر الأخلاقي :
من الضروري أن يحصل المخترق الأخلاقي على الشهادة.
اختبار الاختراق :
ليس من الضروري أن يتم اعتماد مختبري الاختراق إذا كان لديهم قدر كبير من الخبرة.
الاستنتاج
الهكر الأخلاقي واختبار الاختراق
يضع المختبر المعتمد خططًا مختلفة لإجراء اختبار الاختراق من خلال محاكاة سيناريوهات الحياة الواقعية.
أيضا تتم هذه العملية عادة بأخذ جميع الأذونات اللازمة من الجهات المطلوبة والأشخاص والشركات المعنية بحيث لا تسبب أي ضرر لأحد.