آیا وب سایت شما هک می شود؟

تست نفوذ وب اپلیکیشن یا WEB PENETRATION TEST یک پروسه مجاز، برنامه ریزی شده و سیستماتیک برای کشف آسیب پذیری‌ها جهت نفوذ به وب سایت می باشد.

درخواست تست نفوذ پذیری وب سایت

در تست نفوذ پذیری وب تمام حملات هکر شبیه سازی شده و آسیب پذیری های وب سایت کشف می شود

 اسکن آسیب پذیری های SQL Injection , XSS به همراه بیش از ۴۲۰۰ آسیب پذیری های مربوط به وب 

شبیه سازی حملات DDOS و میزان پاسخ  گویی وب سایت

مشخصات هر آسیب‌پذیری به همراه میزان خطر حفره امنیتی

 ارائه راه‌کار مناسب جهت رفع ریسک امنیتی آسیب پذیری های کشف شده

کشف مشخصات کامل فنی مربوط به وب‌سایت هدف، سیستم مدیریت محتوا، تنظیمات، مشخصات میزبانی و سرویس‌های مختلف مربوطه شناسایی می شود

 

مراحل اجرایی تست نفوذ پذیری وب سایت

تست نفوذپذیری وب سایت ، شامل مراحل کلی جمع‌آوری اطلاعات و شناخت کامل زیرساخت وب ، کشف و شناسایی آسیب‌پذیری‌ها و باگ‌های امنیتی، تست آسیب‌پذیری‌ها و ارائه راه‌کار امن‌سازی و در آخر تدوین گزارش آزمون نفوذ بوده است که براساس استانداردها و متدولوژی‌های امنیتی همچون OWASP انجام شده است. مولفه‌های مورد نظر در این آزمون شامل زیرساخت وب و سرور مربوطه، بخش‌های مختلف وب‌سایت، سیستم مدیریت محتوا، مولفه‌ها و ماژول‌های نصب شده و … بوده که با استفاده از منابع آشکار، نیمه آشکار و پنهان و همچنین بکارگیری سرویس‌های عمومی و اختصاصی و ابزارهای تست نفوذ معتبر صورت می گیرد .

1

اسکن و کشف آسیب پذیری ها

اسکن وب سایت ، شامل مراحل کلی جمع‌آوری اطلاعات و شناخت کامل زیرساخت وب ، کشف و شناسایی آسیب‌پذیری‌ها و باگ‌های امنیتی می باشد . در این اسکن تمام آسیب پذیری های وب سایت بر اساس استاندارد OWASP TOP 10 طبقه بندی می شود.

2

گزارش از آسیب پذیری های کشف شده

در این بخش پس از کشف آسیب پذیزی های وب سایت ،مستندات فنی هر آسیب‌پذیری به همراه میزان خطر آن برای وب سایت با توجه به استاندارد CVSS اندازه گیری و در اختیار شما قرار می گیرد

3

ارائه راهکار برای رفع آسیب پذیری 

با ارائه راهکار های امنیتی و ارائه پتچ های امنیتی وب سایت ایمن شده و جلوی آسیب پذیری ها گرفته می شود . حال می توان اطمینان داشت وب سایت شما ایمن بوده و امکان نفوذ به سیستم وجود ندارد.

تست نفوذ پذیری چگونه انجام می شود؟

تست نفوذ با معرفی یک IP مشخص و تایید شده از شرکت انجام می‌گردد و با قرار گیری در جایگاه یک هکر به شناسایی و پویش آسیب پذیریها پرداخته میشود. . در این نوع تست بر روی سرورها، زیرساخت و نرم افزارهای مرتبط در هدف تمرکز میشود. این نوع تست هم میتواند بدون داشتن هیچگونه اطلاعاتی در رابطه با شبکه مقصد انجام شود و یا بلعکس، میتواند با داشتن اطلاعات کامل در رابطه با توپولوژی و محیط مقصد صورت پذیرد.

استفاده از تیم انسانی برای تست نفوذ پذیری

تفاوت اساسی این دو مدل تست امنیتی درگیر بودن انسان در فرآیند تست میباشد. یک انسان با تجربه و خلاق که توانایی تفکر و تولید راهکارهای ابداعی را دارا است از یک نرم افزار خودکار که دارای قوانین تعریف شده است، بسیار کارآمدتر میباشد. یک انسان می تواند یک حمله پیچیده و چند لایهایی را پیاده سازی و انجام دهد که این امکان در تست خودکار وجود ندارد.

گزارش تست نفوذ پذیری

فرآیند کامل ارزیابی امنیتی و آزمون نفوذ با هدف شناسایی آسیب‌پذیری‌ها و باگ‌های امنیتی بر روی وب‌سایت به صورت نمونه انجام شده است. آزمون مذکور با روش جعبه خاکستری (Gray Box) اجراء شده و دامنه اجرایی آن محدود به سرور و وب‌سایت مورد نظر و تمامی ماژول‌ها و مولفه‌های استفاده شده در آنها می‌باشد. نتیجه اجرای این فرآیند گزارشی جامع و کامل، متشکل از آسیب‌پذیری‌های امنیتی شناسایی شده بر روی زیرساخت وب سایت و سرور، راه‌کارهای متناسب جهت رفع، تصحیح و یا کاهش اثرات سوء امنیتی باگ‌ها و اطلاعات جانبی و مکمل  می‌باشد. این آزمون شامل مراحل کلی جمع‌آوری اطلاعات و شناخت کامل زیرساخت، کشف و شناسایی آسیب‌پذیری‌ها و باگ‌های امنیتی، تست آسیب‌پذیری‌ها و ارائه راه‌کار امن‌سازی و در آخر تدوین گزارش آزمون نفوذ بوده است که براساس استانداردها و متدولوژی‌های امنیتی همچون OWASP انجام شده است. مولفه‌های مورد نظر در این آزمون شامل زیرساخت وب و سرور مربوطه، بخش‌های مختلف وب‌سایت، سیستم مدیریت محتوا، مولفه‌ها و ماژول‌های نصب شده و … بوده که با استفاده از منابع آشکار، نیمه آشکار و پنهان و همچنین بکارگیری سرویس‌های عمومی و اختصاصی و ابزارهای تست نفوذ معتبر صورت گرفته است.

دانلود

تکنولوژی و ابزارهای تست نفوذ

استفاده از آخرین تکنولوژی و ابزارهای تست نفوذ یکی از ملاکهای کیفیت یک تست نفوذپذیری وب سایت میباشد، این ابزارها خود نیز نیازمند مهارت و تجربه است که در صورت بی‌دقتی در فرایند تست نفوذ ممکن است آسیبی به سیستم وارد شود که نتایج نامطلوبی در بر داشته باشد. تیم امنیتی وبگارد با تهیه ابزارهای تجاری، غیر تجاری، رایگان و با تکیه به نیروی انسانی خبره ، تست جامع و کاربردی را بر روی وب سایت شما اجرا می کند.

تست نفوذ جعبه سفید

در این نوع حمله متقاضی، اطلاعات کاملی از سیستم را در اختیار تیم امنیتی وبگارد قرار می‌دهد تا تمامی سورس کد مورد بررسی امنیتی قرار گیرد.

تست نفوذ جعبه خاکستری

شما برخی اطاعات از زیر ساخت وب سایت خود را  در اختیار تیم امنیتی وبگارد قرار می دهید  تا اسکن شما به صورت متمرکز تر انجام شود

 تست نفوذ پذیری جعبه سیاه

در این نوع حمله هیچگونه اطلاعاتی در اختیار تیم وبگارد قرار داده نمی‌شود و تنها با داشتن آدرس وب سایت شما سعی در شناسایی آسیب پذیری ها می کنیم