Penetration test آزمون نفوذ

1

Penetration testآزمون نفوذ

2

آزمون نفوذپی�اده س�ازی حمل�ه ب�ر روی ی�ک سیس�تم رایان�ه ای ب�ا

هدف :

شناسایی نقاط ضعف امنیتیارزیابی صحت عملکرد سیستم های امنیتیتالش برای دسترسی به سیستم رایانه ای رد�عملک ی ش�یوه و اطالع�ات ب�ه دسترس�ی

سیستم رایانه ای

شرکت ایمن افزار گستر امیرکبیر [email protected]

3

سیستم رایانه ای

رایانهشبکهفرآیندهاکاربران رایانه


سیس��تم رایانه ایسیستم رایانه

ای

4

اصطالحات

تست نفوذ

آزمون نفوذ

ارزیابی امنیتی

Penetration Test

Pentest

Security assessment

Security Testing


5

انواع تست نفوذ

Black-Box ات از�ترین اطالع�تن کم�ت داش�ا دردس�ب :

هدف

Gray-Box ا�ی Crystal-Box: داری�مق داش�تن دردس�ت ب�ا

اطالعات از هدف

White-Box از کام�ل داش�تن اطالع�ات دردس�ت ب�ا :

هدف


6

نحوه انجام تست

Internal ک��ی همانن��د س��ازمان داخ��ل از )داخلی(

کارمند

External ک�د ی�ازمان همانن�ارج از س�ارجی( از خ�خ(

مهاجم


7

فرآیند انجام تست نفوذ

.1 ( بازه و هدف کردن Scope/Goalمشخص Definition)

(Information Gatheringجمع آوری اطالعات )2.

(Vulnerability Detectionکشف آسیب پذیری )3.

(Information Analysis and Planningتحلیل )4.

(Attack& Penetration/Privilege Escalationحمله )5.

(Result Analysis & Reportingتهیه گزارش )6.

(Cleanupپاکسازی )7.


8

راهنماها /استانداردها

OSSTMM The Open Source Security Testing Methodology Manual.

OWASP Open Web Application Security Project.


9

دسته بندی


تست نفوذ جهت ارزیابی امنيتی معماري شبکه ،پروتکل هاي ارتباطي و سرویسهای

شبکه – )شبکه(

تست نفوذ جهت ارزیابی امنیتی سيستم های عامل )سرویس دهندها / سرویس

گیرنده ها( – )سیستم عامل(

)تست نفوذ جهت ارزیابی امنيتی بانک هاي اطالعاتي – )پایگاه داده

)تست نفوذ جهت ارزیابی امنيتی پرتال و وب سایت – )وب

)تست نفوذ جهت ارزیابی امنيتی برنامه های کاربردی – )برنامه های کاربردی

)تست نفوذ جهت ارزیابی امنيت فيزيکي سيستم ها – )محیطی

10

ابزارها


11

[email protected]

امنیت داده هافناوری اطالعات و ارتباطات

مشاوره،آموزش،ایمن سازی و تست نفوذ

Documents

Penetration test آزمون نفوذ