greatbody
/
freeCodeCamp
mirror of https://github.com/freeCodeCamp/freeCodeCamp.git
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
freeCodeCamp/guide/arabic/security/penetration-testing/index.md

8.6 KiB
Raw Blame History

title localeTitle
Penetration Testing اختبار الاختراق

اختبار الاختراق هو أسلوب تتبعه العديد من الشركات لتقليل انتهاكاتها الأمنية إلى أدنى حد. هذه طريقة مسيطر عليها لتوظيف شخص محترف سيحاول اختراق النظام الخاص بك وعرض الثغرات التي ينبغي عليك إصلاحها. يمكن لاختبار الاختراق أن يخفض من وقت لآخر الأنظمة ، ويجعل الشركة تفقد وقت التشغيل ، ومن أفضل الممارسات اختبار الاختراق على إصدار ما قبل الإنتاج لبيئة الإنتاج.

قبل إجراء اختبار الاختراق ، يكون إلزاميًا أن يكون لديك اتفاقية تنص بوضوح على المعايير التالية -

  • ماذا سيكون وقت اختبار الاختراق ،
  • أين سيكون مصدر IP للهجوم ، و
  • ما سيكون مجالات الاختراق للنظام.

يتم إجراء اختبار الاختراق من قِبل المخترقين الأخلاقيين المحترفين الذين يستخدمون بشكل أساسي الأدوات التجارية والمفتوحة المصدر وأدوات التشغيل التلقائي والفحوصات اليدوية. لا توجد قيود. الهدف الأكثر أهمية هنا هو كشف أكبر عدد ممكن من العيوب الأمنية. تقدم العديد من الشركات الكبرى مكافآت لأي شخص يمكن أن يشير إلى نقاط الضعف الأمنية في أنظمته ، من خلال ما يسمى ببرامج فضلاء الحشرات . جوجل ، على سبيل المثال ، سوف تقدم عشرات الآلاف من الدولارات من خلال برنامج مكافأة الثغرات.

مراحل اختبار الاختراق

هناك خمس مراحل رئيسية لاختبار الاختراق. هم انهم:

  1. استطلاع
    • هذا هو المكان الذي يقوم فيه اختبار الاختراق بجمع أكبر قدر ممكن من المعلومات حول أهدافك المحتملة. بعض الطرق المستخدمة في هذه المرحلة هي البحث في Google / Bing ، وعمليات البحث عن whois ، وفحص Netcraft ، والهندسة الاجتماعية.
  2. مسح
    • بمجرد أن يقوم مختبِر الاختراق بتجميع كل المعلومات وقرر أي هدف (أهداف) يرغبون في مهاجمته ، يجب عليهم التأكد من أن الهدف (الأهداف) هو قيد الحياة والمسح الضوئي لأشياء مثل المنافذ المفتوحة والخدمات النشطة وأية نقاط ضعف حالية أن النظام المستهدف مفتوح.
  3. استغلال
    • بعد اكتمال المسح وتم تقييم نقاط الضعف ، يمكن لمخترق الاختراق استخدام تلك المعلومات لمعرفة متجه الهجوم. في هذه المرحلة ، يبحث اختبار الاختراق عن استغلال يستخدم أحد نقاط الضعف التي تم العثور عليها في المرحلة السابقة للوصول إلى النظام المستهدف.
  4. صيانة الوصول
    • هذه المرحلة هي المكان الذي يضمن فيه اختبار الاختراق أنه سيكون لديه وقت كافٍ لاختبار النظام المستهدف. قد يحاولوا التحايل على أي إجراءات مضادة للكشف عن التطفل / الوقاية من أجل إنهاء اختباراتهم.
  5. تغطي المسارات
    • بعد اكتمال الهجوم ، قد يقوم اختبار التخصيب باتخاذ خطوات لإخفاء عمليات التسلل الخاصة به ، وقد يترك وراءه وسيلة للوصول المستمر للسماح بإثبات المفهوم لعميله.

أنواع اختبار الاختراق

لدينا خمسة أنواع من اختبارات الاختراق -

  1. Black Box - هنا ، لا يملك الهاكر الأخلاقي أي معلومات بخصوص البنية التحتية أو شبكة المنظمة التي يحاول اختراقها. في اختبار اختراق الصندوق الأسود ، يحاول المخترق العثور على المعلومات من خلال وسائله الخاصة.

  2. Gray Box - هو نوع من اختبارات الاختراق حيث يمتلك الهاكر الأخلاقي معرفة جزئية بالبنية الأساسية ، مثل خادم اسم النطاق الخاص به.

  3. الصندوق الأبيض - في اختبار الاختراق على الصندوق الأبيض ، يتم تزويد المتسلل الأخلاقي بكل المعلومات الضرورية عن البنية التحتية وشبكة المنظمة التي يحتاج إليها لاختراقها.

  4. اختبار الاختراق الخارجي - يركز هذا النوع من اختبارات الاختراق بشكل رئيسي على البنية الأساسية للشبكة أو الخوادم الخاصة بها وبرمجياتها العاملة تحت البنية التحتية. في هذه الحالة ، يحاول القراصنة الأخلاقيون استخدام الشبكات العامة عبر الإنترنت. يحاول المخترق اختراق البنية الأساسية للشركة من خلال مهاجمة صفحات الويب ، أو خوادم الويب ، أو خوادم DNS العامة ، إلخ.

  5. اختبار الاختراق الداخلي - في هذا النوع من اختبارات الاختراق ، يكون الهاكر الأخلاقي داخل شبكة الشركة ويقوم بإجراء اختباراته من هناك.

يمكن أن يتسبب اختبار الاختراق أيضًا في حدوث مشكلات مثل خلل في النظام أو تعطل النظام أو فقد البيانات. لذلك ، يجب على الشركة أن تأخذ المخاطر المحسوبة قبل المضي قدمًا في اختبار الاختراق. يتم احتساب المخاطر على النحو التالي وهي مخاطر إدارية.

الخطر = التهديد × الضعف

مثال

لديك موقع إلكتروني للتجارة الإلكترونية على الإنترنت قيد الإنتاج. تريد القيام باختبار الاختراق قبل جعلها حية. هنا ، عليك أن تزن الإيجابيات والسلبيات أولاً. إذا كنت تمضي قدمًا في اختبار الاختراق ، فقد يؤدي ذلك إلى انقطاع الخدمة. على العكس من ذلك ، إذا كنت لا ترغب في إجراء اختبار الاختراق ، عندئذ يمكنك المخاطرة بوجود نقطة ضعف غير مثبتة ستبقى كتهديد طوال الوقت. قبل إجراء اختبار الاختراق ، يوصى بأن تضع نطاق المشروع كتابة. يجب أن تكون واضحًا بشأن ما سيتم اختباره. على سبيل المثال -

  • لدى شركتك شبكة VPN أو أي تقنيات أخرى للوصول عن بعد وتريد اختبار هذه النقطة بعينها.
  • يحتوي تطبيقك على خوادم الويب التي تحتوي على قواعد بيانات ، لذا قد ترغب في اختبارها لهجمات حقن SQL التي تعد واحدة من أهم الاختبارات على خادم الويب. بالإضافة إلى ذلك ، يمكنك التحقق مما إذا كان خادم الويب الخاص بك في مأمن من هجمات DoS.

نصائح سريعة

قبل المضي قدمًا في اختبار الاختراق ، يجب أن تضع النقاط التالية في اعتبارك - أولا فهم متطلباتك وتقييم كل المخاطر.

  • توظيف شخص معتمد لإجراء اختبار الاختراق لأنهم مدربون على تطبيق جميع الأساليب والتقنيات الممكنة للكشف عن الثغرات المحتملة في شبكة أو تطبيق ويب.
  • دائما التوقيع على اتفاق قبل القيام باختبار الاختراق.

مصادر

اختبار الاختراق