ببینید دوستان ، همونطور که توی پست قبلی گفتیم هک به ورود غیرمجاز میگن. به این کلمه غیر مجاز دقت کنید.
حالا فرقش با تست نفوذ چیه؟ توی مبحث تست نفوذ هم ورود صورت می گیره اما این دفعه نه از راه غیرمجاز و بدون اجازه. بزارید با یک مثال این رو شفاف کنیم. فرض کنید شما یک سایت دارید و مدیر اون هستید. برای یک
مدیر سایت قطعا حفظ امنیت سایت و اطلاعات کاربرهایی که در اون ثبت نام کردن خیلی مهمه. خب شما چطور باید بفهمید که سایتتون چه نقص امنیتی داره؟ یا چطور باید بفهمید که آیا امنیت سایتتون کامله یا نه؟
حالا باتوجه به اینکه گفتیم امنیت هیچ چیز امنیتش 100% نیست شما به عنوان یک مدیر سایت ، سازنده یک اپلیکیشن یا سیستم عامل، مدیر یک شرکت و ... باید امنیت تشکیلات خودتون رو بالا ببرید به طور مرتب.
توی همه کشورها یک سری هکر های خوب داریم(توی پست بعدی به انواع هکرها می پردازیم). شما به عنوان یک مدیر میای با یکی از این هکر ها قرارداد میبندی و میگی بیا امنیت مثلا سایت من رو تست کن و اون رو ارتقاء بده . این هکر میاد با اجازه و رضایت شما تلاش میکنه به سایتتون نفوذ پیدا کنه.به زبون دیگه میاد تست میکنه ببینه چطور نفوذ کنه به سیستم شما. برای اینکه ببینه ایراداتش کجاست و چه نقص هایی رو باید رفع کنه.
پس تست نفوذ یعنی ،تست امنیت سیستم با اجازه صاحبش.
حالا بیایم یکم فنی تر کنیم مبحثو. ما 2 نوع تست نفوذ داریم:
این یعنی چی؟ یعنی فرض میکنیم هیچ قرار دادی بین هکر و صاحب اون سیستم بسته نشده. این دو نفر اصلا همو نمی شناسن. و هکر به تنهایی با دانش خودش این نوع تست نفوذ رو انجام میده.
یعنی خود مدیر سایت میاد میگه همه کد هایی(همه تکنولوژی ها با یک سری کد برنامه نویسی شدن و این کدها به اون تکنولوژی میگن که چطور عمل کنه) که باهاش سایت رو نوشتیم و پایگاه داده(جایی که اطلاعات سایت رو نگهداری می کنن) رو در اختیار هکر بزارید تا ببینه نقص ها کجان. پس اینجا هکر از داخل به ماجرا نگاه میکنه و ارزیابی ساختار داخلی رو به عهده داره.
توی ایران بیشتر حالت دوم رو شرکت ها ، سازمان ها و ... میخوان