تست نفوذ (Penetration Test) که Pentest هم نامیده میشود، نوعی حمله سایبری شبیهسازی شده و کنترل شده علیه شبکهها و سیستمهای کامپیوتری سازمانها برای بررسی آسیبپذیریها یا همان حفرات امنیتی است. در رابطه با امنیت برنامههای تحت وب، از این تست معمولا برای تقویت فایروال برنامه وب (WAF) استفاده میشود.
آسیب پذیریهای مذکور ممکن است در سطح سیستمعاملها، سرویسها، برنامههای کاربردی، رفتارهای کاربران نهایی، تنظیمات و پیکربندیها به وجود آید. چنین ارزیابیهایی در کنار انجام اهداف اصلی خود قادر به تایید یا رد مکانیزمهای دفاعی و همچنین تعیین مقدار پایبندی کاربر نهایی به سیاستهای امنیتی شما میباشد.
تست نفوذ به دو صورت انجام میشود :
هدف از تست نفوذ شبکه جلوگیری از اعمال مخرب با استفاده از یافتن نقاط ضعف شبکه، پیش از حمله مهاجمان است. تست نفوذ در این نوع تست، بر اکسپلویت آسیب پذیریها بر اساس انواع شبکات و دستگاههای مرتبط مانند روترها (routers)، سویچها(switches) و هاستهای شبکه(network hosts) تمرکز دارد.
این تست شامل بررسی تمام دستگاههای بیسیم مورد استفاده در شرکت بوده و تبلتها، لپتاپها، تلفنهای هوشمند و … را دربردارد. علاوهبراین، موارد زیر نیز برای یافتن هرگونه آسیبپذیری در این نوع تست بررسی میشوند:
از آنجا که در انجام این نوع تست، تجهیزات مورداستفاده باید در نزدیکی سیگنالهای شبکه بیسیم باشند، این تست اغلب در محل کسبوکار کلاینت انجام میشود.
این نوع تست نفوذ، که قادر به کشف آسیبپذیریها و نقاط ضعف موجود در برنامههای تحت وب است، مولفههایی مانندActiveX، Silverlight، و Java Appletها و APIها را مورد بررسی قرار میدهد. این نوع تست بسیار پیچیده بوده و زمان بیشتری را برای تست صحیح و کامل برنامه تحت وب نیاز دارد.
تست نفوذ، توانایی سازمان را برای محافظت از شبکهها، برنامههای کاربردی، نقاط پایانی(end points) و کاربران خود در برابر تلاشهای داخلی و خارجی که به منظور دور زدن کنترلهای امنیتی و دستیابی به دسترسیهای غیر مجاز صورت میگیرد را ارزیابی میکند.
تست نفوذ، توانایی سازمان را برای محافظت از شبکهها، برنامههای کاربردی، نقاط پایانی (end points) و کاربران خود در برابر تلاشهای داخلی و خارجی که به منظور دور زدن کنترلهای امنیتی و دستیابی به دسترسیهای غیر مجاز صورت میگیرد را ارزیابی میکند.
