تست نفوذ
آزمون مورد نظر با مراحل کلی زیر و مطابق با پیشنهاد ارسالی انجام میشود:
شناخت: در این فاز عمده فعالیتهای لازم برای شناخت محیط، اهداف، نیازمندیهای امنیتی و میزان تلاش لازم برای ارزیابی برنامهی کاربردی تعیین میگردد.
شناسایی آسیبپذیریها: در این فاز آسیبپذیریهای امنیتی شناسایی و گزارش میشوند.
آزمون نفوذ: در این فاز تلاش برای نفوذ به سطوح مختلف با استفاده از آسیبپذیریهای کشف شده صورت میپذیرد، بدیهی است برخی از سناریوهای نفوذ در این مرحله اجرا و به کارفرما ارائه خواهد شد.
با توجه به مراحل عنوان شده در فوق، به طور کلی مراحل ارزیابی امنیتی و آزمون نفوذ در زمان اجرا آزمون به شرح زیر میباشد:
- شناخت وبررسی هدف اصلی و استخراج کلیه اطلاعات مرتبط.
- شناسایی جزئی هدف و نشانه گذاری نقاط مستعد آسیبپذیری.
- تهیه اطلاعات خام و قابل استفاده به عنوان اطلاعات ورودی در فاز شناسایی آسیبپذیریها ( از قبیل IP و سرویسهای مورد استفاده، وضعیت سرور میزبان، آدرسهای شبکهای و غیره).
- پویش آسیب پذیریها با استفاده از ابزارها و تحلیل آن به صورت دستی و جزء به جزء.
- پویش جزئی آسیب پذیریهای به صورت دستی با هدف بالا بردن دقت روشهای اتوماتیک
- بررسی آسیب پذیریهای سازمان با استفاده از کدهای مخرب منتشر نشده و زیرزمینی.
- صحت سنجی آسیب پذیریهای شناسایی شده و ارزش گذاری هر یک بر اساس استاندارهای معتبر.
- ارئه راهکارهای کلی در زمان تدوین گزارش شناسایی آسیب پذیریها
- ارائه یک سری راهکارهای کلی در زمان تحلیل آسیب پذیریها به عنوان راهکارهای جلوگیری یا کاهش مخاطرات.
- بررسی امکان شناسایی آسیب پذیریهای سلسله مراتبی و ترکیبی.
- تدوین سناریوهای نفوذ و ارائه شواهد اجرا و موفقیت تیم آزمون.
- اجرای سناریوهای نفوذ ترکیبی و چند مرحله با هدف نیل به کسب حداکثر دسترسی.
- تحلیل مکانیزمهای دفاعی جلوگیری از نفوذگران و استفاده از روشهای درهم سازی و فریب با هدف اجرای روشهای خرابکارانه و ارائه ادله نفوذ پذیری سیستم.
- کشف دربهای پشتی و ردهپاهای نفوذگران با هدف بررسی امکان استفاده ونفوذ به سیستم.