#تست نفوذ یا Pen Test یک حملۀ سایبری شبیهسازیشده به سیستمهای کامپیوتری برای سنجش میزان #امنیت آنها است. متخصصین تست نفوذ از ابزارهای مشابه با #هکرها استفاده میکنند تا تبعات اقتصادی ضعفهای سیستم را شناسایی کرده و در معرض نمایش بگذارند.
شناسایی: در این مرحله سعی براین است تا حد امکان اطلاعات بیشتری از طریق منایع داخلی و خارجی به دست آورده شود؛ منابع خارجی میتواند شامل اینترنت، مهندسی اجتماعی، اسکن شبکه بهصورت غیرمتجازوانه و حتی جستوجو میان فایلهای باطله. این اطلاعات به تست نفوذ کاران کمک میکند که نقشۀ آسیبپذیریها و حمله را بتوانند ترسیم کنند. بسته به میزان دسترسی ما، این مرحله میتواند صرفاً با یک تماس تلفنی هم انجام شود.
نظارت کردن: تست نفوذ کاران از ابزار مختلفی برای اطلاع از نقاط ضعف وبسایت یا سیستم هدف استفاده میکنند، که میتواند شامل این موارد باشد: سرویسهای عمومی، مشکلات امنیتی اپلیکیشنها و آسیب پذیریهای متنباز.
دسترسی پیدا کردن: انگیزههای مهاجمین سایبری میتواند مختلف باشد: دزدیدن، تغییر دادن و حذف کردن داده، انتقال پول و یا حتی خراب کردن اعتبار یک شرکت. متخصص تست نفوذ برای هر یک از این سناریوها، بایستی بهترین ابزار را انتخاب کرده تا به سیستم دسترسی پیدا کند؛ این ابزار میتواند SQL Injection ، بدافزار، مهندسی اجتماعی و یا روشهای دیگر باشد .
حفظ دسترسی: وقتی که متخصص تست نفوذ به سیستم دسترسی پیدا کرد، باید این دسترسی را به اندازۀ کافی حفظ کند تا بتواند به اهدافی نظیر دریافت، تغییر یا حذف کردن اطلاعات، برسد. این کار برای آگاهی از ابعاد احتمالی آسیبپذیری می باشد
متن کامل مقاله در سایت افراتک