تست نفوذپذیری حرفه ای

فرآیند کامل ارزیابی امنیتی و آزمون نفوذ بر روی سایت با هدف شناسایی آسیب‌پذیری‌ها و باگ‌های امنیتی  انجام می شود. آزمون مذکور با روش جعبه خاکستری (Gray Box) اجراء شده و دامنه اجرایی آن محدود به سرور و وب‌سایت مورد نظر و تمامی ماژول‌ها و مولفه‌های استفاده شده در آنها می‌باشد. نتیجه اجرای این فرآیند گزارشی جامع و کامل، متشکل از آسیب‌پذیری‌های امنیتی شناسایی شده بر روی زیرساخت وب و شبکه، راه‌کارهای متناسب جهت رفع، تصحیح و یا کاهش اثرات سوء امنیتی باگ‌ها و اطلاعات جانبی و مکمل می‌باشد.

این آزمون شامل مراحل کلی جمع‌آوری اطلاعات و شناخت کامل زیرساخت، کشف و شناسایی آسیب‌پذیری‌ها و باگ‌های امنیتی، تست آسیب‌پذیری‌ها و ارائه راه‌کار امن‌سازی و در آخر تدوین گزارش آزمون نفوذ بوده است که براساس استانداردها و متدولوژی‌های امنیتی همچون OWASP انجام می شود. مولفه‌های مورد نظر در این آزمون شامل زیرساخت وب و سرور مربوطه، بخش‌های مختلف وب‌سایت، سیستم مدیریت محتوا، مولفه‌ها و ماژول‌های نصب شده و … بوده که با استفاده از منابع آشکار، نیمه آشکار و پنهان و همچنین بکارگیری سرویس‌های عمومی و اختصاصی و ابزارهای تست نفوذ معتبر صورت گرفته است.

نام و نام خانوادگی

ایمیل شما

شماره تماس

آدرس سایت

نمونه ای از گزارش

با توجه به رویکرد و متدولوژی‌های انتخابی برای انجام ارزیابی و تست نفوذ، مراحل و فعالیت‌های مختلفی مطرح می‌گردد. با بررسی های انجام شده، پروژه در دو قسمت سرور و وب اجراء می‌گردد که در هر بخش با توجه به استانداردهای موجود، مراحل مختلف پیگیری و اجراء می‌شود. متدولوژی غالب مورد نظر در این پروژه OWASP می‌باشد و براساس این متدولوژی و تجارب قبلی، مراحل کلی اجرای ارزیابی کامل در شکل زیر ارائه شده است.

هر تست نفوذ استانداردی دارای ساختار و فرآیند مشخصی برای انجام می‏باشد که این ساختار مشخص و آماده شده تضمین کننده انجام دقیق کار و بررسی کامل مجموعه برای بدست آوردن تمامی نقاط ضعف و برطرف کردن آنها می‏باشد. فرآیند استاندارد برای انجام تست نفوذ به شرح زیر می‏باشد.

  • شناسایی و جمع آوری اطلاعات
  • پویش پورتها وشناسایی سرویس ها
  • جستجوی دستی و خود کار آسیب پذیری ها
  • دسترسی به سرویس ها وسیستم ها و افزایش دسترسی
  • تهیه و تنظیم گزارش نهایی