Upload
mechelle-pace
View
64
Download
8
Embed Size (px)
DESCRIPTION
Penetration test آزمون نفوذ. آزمون نفوذ. پیاده سازی حمله بر روی یک سیستم رایانه ای با هدف : شناسایی نقاط ضعف امنیتی ارزیابی صحت عملکرد سیستم های امنیتی تلاش برای دسترسی به سیستم رایانه ای دسترسی به اطلاعات و شیوه ی عملکرد سیستم رایانه ای. شرکت ایمن افزار گستر امیرکبیر - PowerPoint PPT Presentation
Citation preview
1
Penetration testآزمون نفوذ
2
آزمون نفوذپی�اده س�ازی حمل�ه ب�ر روی ی�ک سیس�تم رایان�ه ای ب�ا
هدف :
شناسایی نقاط ضعف امنیتیارزیابی صحت عملکرد سیستم های امنیتیتالش برای دسترسی به سیستم رایانه ای رد�عملک ی ش�یوه و اطالع�ات ب�ه دسترس�ی
سیستم رایانه ای
شرکت ایمن افزار گستر امیرکبیر [email protected]
3
سیستم رایانه ای
رایانهشبکهفرآیندهاکاربران رایانه
شرکت ایمن افزار گستر امیرکبیر [email protected]
سیس���������تم رایانه ایسیستم رایانه
ای
4
اصطالحات
تست نفوذ
آزمون نفوذ
ارزیابی امنیتی
Penetration Test
Pentest
Security assessment
Security Testing
شرکت ایمن افزار گستر امیرکبیر [email protected]
5
انواع تست نفوذ
Black-Box ات از�ترین اطالع�تن کم�ت داش�ا دردس�ب :
هدف
Gray-Box ا�ی Crystal-Box: داری�مق داش�تن دردس�ت ب�ا
اطالعات از هدف
White-Box از کام�ل داش�تن اطالع�ات دردس�ت ب�ا :
هدف
شرکت ایمن افزار گستر امیرکبیر [email protected]
6
نحوه انجام تست
Internal ک��ی همانن��د س��ازمان داخ��ل از )داخلی(
کارمند
External ک�د ی�ازمان همانن�ارج از س�ارجی( از خ�خ(
مهاجم
شرکت ایمن افزار گستر امیرکبیر [email protected]
7
فرآیند انجام تست نفوذ
.1 ( بازه و هدف کردن Scope/Goalمشخص Definition)
(Information Gatheringجمع آوری اطالعات )2.
(Vulnerability Detectionکشف آسیب پذیری )3.
(Information Analysis and Planningتحلیل )4.
(Attack& Penetration/Privilege Escalationحمله )5.
(Result Analysis & Reportingتهیه گزارش )6.
(Cleanupپاکسازی )7.
شرکت ایمن افزار گستر امیرکبیر [email protected]
8
راهنماها /استانداردها
OSSTMM The Open Source Security Testing Methodology Manual.
OWASP Open Web Application Security Project.
شرکت ایمن افزار گستر امیرکبیر [email protected]
9
دسته بندی
شرکت ایمن افزار گستر امیرکبیر [email protected]
تست نفوذ جهت ارزیابی امنيتی معماري شبکه ،پروتکل هاي ارتباطي و سرویسهای
شبکه – )شبکه(
تست نفوذ جهت ارزیابی امنیتی سيستم های عامل )سرویس دهندها / سرویس
گیرنده ها( – )سیستم عامل(
)تست نفوذ جهت ارزیابی امنيتی بانک هاي اطالعاتي – )پایگاه داده
)تست نفوذ جهت ارزیابی امنيتی پرتال و وب سایت – )وب
)تست نفوذ جهت ارزیابی امنيتی برنامه های کاربردی – )برنامه های کاربردی
)تست نفوذ جهت ارزیابی امنيت فيزيکي سيستم ها – )محیطی