فاطمه زهرا میرسلیم
فاطمه زهرا میرسلیم
خواندن ۲ دقیقه·۳ سال پیش

تفاوت هک و تست نفوذ و انواع تست نفوذ

ببینید دوستان ، همونطور که توی پست قبلی گفتیم هک به ورود غیرمجاز میگن. به این کلمه غیر مجاز دقت کنید.

حالا فرقش با تست نفوذ چیه؟ توی مبحث تست نفوذ هم ورود صورت می گیره اما این دفعه نه از راه غیرمجاز و بدون اجازه. بزارید با یک مثال این رو شفاف کنیم. فرض کنید شما یک سایت دارید و مدیر اون هستید. برای یک

مدیر سایت قطعا حفظ امنیت سایت و اطلاعات کاربرهایی که در اون ثبت نام کردن خیلی مهمه. خب شما چطور باید بفهمید که سایتتون چه نقص امنیتی داره؟ یا چطور باید بفهمید که آیا امنیت سایتتون کامله یا نه؟

  • در مرحله اول باید بگم که امنیت هیچ جا 100 درصد نیست. ما هیچوقت نمیتونیم بگین فلان چیز یا فلان جا امنیتش صد در صده. اما مثلا می تونیم بگیم امنیتش بالاس.

حالا باتوجه به اینکه گفتیم امنیت هیچ چیز امنیتش 100% نیست شما به عنوان یک مدیر سایت ، سازنده یک اپلیکیشن یا سیستم عامل، مدیر یک شرکت و ... باید امنیت تشکیلات خودتون رو بالا ببرید به طور مرتب.

  • خب حالا چطوری؟

توی همه کشورها یک سری هکر های خوب داریم(توی پست بعدی به انواع هکرها می پردازیم). شما به عنوان یک مدیر میای با یکی از این هکر ها قرارداد میبندی و میگی بیا امنیت مثلا سایت من رو تست کن و اون رو ارتقاء بده . این هکر میاد با اجازه و رضایت شما تلاش میکنه به سایتتون نفوذ پیدا کنه.به زبون دیگه میاد تست میکنه ببینه چطور نفوذ کنه به سیستم شما. برای اینکه ببینه ایراداتش کجاست و چه نقص هایی رو باید رفع کنه.

پس تست نفوذ یعنی ،تست امنیت سیستم با اجازه صاحبش.


حالا بیایم یکم فنی تر کنیم مبحثو. ما 2 نوع تست نفوذ داریم:

  1. حالت Black box «جعبه سیاه»
  2. حالت White box «جعبه سفید»
  3. حالت Gray box «جعبه خاکستری))
  • توی حالت اول یعنی Black box ؛ شخصی که تست نفوذ رو انجام میده مثل یک هکر مهاجم عمل می کنه واسه ی ارزیابی عملکرد یا همون پیدا کردن ایرادات امنیتی.

این یعنی چی؟ یعنی فرض میکنیم هیچ قرار دادی بین هکر و صاحب اون سیستم بسته نشده. این دو نفر اصلا همو نمی شناسن. و هکر به تنهایی با دانش خودش این نوع تست نفوذ رو انجام میده.

  • توی حالت دوم یعنی White box؛ شخصی که تست نفوذ رو قراره انجام بده هیچ محدودیتی نداره.

یعنی خود مدیر سایت میاد میگه همه کد هایی(همه تکنولوژی ها با یک سری کد برنامه نویسی شدن و این کدها به اون تکنولوژی میگن که چطور عمل کنه) که باهاش سایت رو نوشتیم و پایگاه داده(جایی که اطلاعات سایت رو نگهداری می کنن) رو در اختیار هکر بزارید تا ببینه نقص ها کجان. پس اینجا هکر از داخل به ماجرا نگاه میکنه و ارزیابی ساختار داخلی رو به عهده داره.


  • توی حالت Gray box هم ما اطلاعات داریم از جایی که قراره تست نفوذ انجام بدیم روش ولی اطلاعاتمون محدوده .

توی ایران بیشتر حالت دوم رو شرکت ها ، سازمان ها و ... میخوان



تست نفوذهکهکر قانونمند
آموزش هک و امنیت و برنامه نویسی به مقدار لازم FZ_Mirsalim@
شاید از این پست‌ها خوشتان بیاید