خدمات امنیت تست نفوذ

رويكرد آزمون نفوذ، مبنی بر کشف و مرتفع سازی مشکلات امنیتی در مقابل تهديدات داخلي و خارجي، از طريق بكارگيري معيارهاي صحيح ارزيابي تمركز دارد و رسيدن به سطوح بالاي قابليت اعتماد به سيستم در راستاي منافع كسب و كار را مد نظر قرار مي‌دهد.

با توجه به تست نفوذ سامانه‌های وب اپلیکیشن، متدولوژی OWASP در بخش های Testing Guide و ASVS بعنوان مرجع در این پروژه مد نظر بوده که می‌توان گفت کامل‌ترین و مناسب‌ترین متد ارزیابی امنیتی و آزمون نفوذ در حوزه برنامه‌های وب‌بنیان می باشد.

بمنظور اطمینان از جامعیت آزمون‌های انجام‌شده، تمامی موارد OWASP Testing Guide مورد بررسی قرار می‌گیرد. علاوه بر موارد فوق، شرکت امن افزار هوپاد با تکیه بر دانش کارشناسان تست نفوذ، اقدام به انجام تست نفوذ و ارزیابی امنیتی می‌نماید.

در این راستا پس از شناسایی سامانه هدف، پویش آسیب‏پذیری‏ها بصورت خودکار و دستی با استفاده از ابزارهای مورد نیاز انجام می‌شود. اهم اقدامات انجام شده در آزمون نفوذ به شرح زیر می‌باشد:

۱) شناسايي و جمع آوري اطلاعات برخی از تکنیک‌های مورد استفاده در این آزمون:

• شناسایی پورت ها و نقاط ورود برنامه‌ی کاربردی
• آزمون برای FINGERPRINT برنامه‌کاربردي تحت وب
• تحليل کدهاي خطا
• کاوش با استفاده از روبات‌ها، اسپايدرها و كراولرها و …

۲) پویش سامانه با استفاده از ابزار خودکار

۳) بررسی خروجی ابزار مورد استفاده

۴) بررسی دستی سامانه و انجام آزمون های مختلف از جمله:

• آزمون مدیریت پیکربندی
• آزمون تصديق اصالت
• آزمون بررسی مجوزهای دسترسی
• آزمون مدیریت نشست
• آزمون اعتبار و صحت داده
• آزمون سرریز بافر
• آزمون مجوز نادرست فایل¬ها و دایرکتوری¬ها
• و …

۵) بررسی سناریوهای اختصاصی سامانه

و …

ابزارهای مورد استفاده در تست نفوذ

برخی از ابزارهاي تخصصي مورد استفاده در ارزیابی امنیتی و آزمون نفوذ عبارتند از:

• Nessus
• Metasploit
• Nmap
• OpenVas
• Acunetix
• NetSparker
• Kali
• Burp Suite
• Python & Scripting tools
• و ابزارهای اختصاصی تهیه شده در تیم تست نفوذ هوپاد