- بواسطة x32x01 ||
ماهو أختبار أختراق تطبيقات الويب وما هي أنوعه ؟ - Web Application Penetration Testing
اختبار الاختراق هو نوع من اختبار الأمان الذي يستخدم لاختبار عدم أمان التطبيق والوثوقية، يتم إجراؤه للعثورعلى المخاطر الأمنية التي قد تكون موجودة في النظام أو في تطبيق الويب .
حيث إذا لم يتم تأمين النظام أو التطبيق، فإنه يمكن للمهاجم تعطيل أو أخذ الوصول المصرح به إلى هذا النظام أو التطبيق .
عادة ما تكون المخاطر الأمنية خطأً عرضياً يحدث أثناء تطوير البرنامج وتنفيذه.على سبيل المثال ، أخطاء التكوين وأخطاء التصميم وأخطاء البرامج وما إلى ذلك.
أهمية اختبار الاختراق هي كما يلي:
1- يحدد بيئة المحاكاة ، أي كيف يمكن للمتطفل مهاجمة النظام من خلال هجوم القبعة البيضاء.
2- يساعد في العثور على المناطق الضعيفة في النظام أو التطبيق ، حيث يمكن للدخيل الهجوم والوصول إلى ميزات التطبيق والبيانات.
3- يدعم تجنب هجوم القبعة السوداء ويحمي البيانات الأصلية.
أنواع اختبار الاختراق هي كما يلي:
1- اختبار اختراق الصندوق الأسود " Black Box"
2- اختبار اختراق الصندوق الأبيض "White Box"
3-اختبار اختراق الصندوق الرمادي "Grey Box"
أختبار اختراق الصندوق الأسود :
من المحتمل ألا يعرف المخترق جميع خصوصيات وعموميات البنية التحتية لتكنولوجيا المعلومات في الشركة أو التطبيق ، وبسبب هذا فإنه سيقوم ببناء هجومًا شاملاً بالقوة الغاشمة ضد تكنولوجيا المعلومات في البنية التحتية .
بمعنى آخر في هذا النوع لا توجد معلومات تُعطى للمختبر حول الاختبار الداخلي أو طريقة عمل تطبيق ويب معين ، ولا حول كود المصدر أو بنية البرنامج، ونتيجة لذلك يمكن أن يستغرق هذا النوع المعين من الاختبار وقتًا طويلاً لإكماله ، لذلك في كثير من الأحيان سيعتمد المختبر على استخدام العمليات الآلية للكشف الكامل عن نقاط الضعف والثغرات الموجودة .
أختبار اختراق الصندوق الأبيض :
اختبار اختراق الصندوق الأبيض ، المعروف أيضًا باسم "اختبار الصندوق الشفاف" ، يمتلك المختبر المعرفة الكاملة وإمكانية الوصول لكل من كود المصدر وبنية البرامج لتطبيق الويب. وبسبب هذا يمكن إجراء الاختبار في إطار زمني أسرع بكثير بالمقارنة مع اختبار الصندوق الأسود.
ميزة هذا الاختبار انه أكثر شمولاً لكن هذا النهج له أيضًا مجموعة من العيوب. أولاً ، نظرًا لأن المختبِر لديه معرفة كاملة ، يمكنه ذلك
أن يستغرق مزيدًا من الوقت لاتخاذ قرار بشأن ما يجب التركيز عليه بشكل خاص فيما يتعلق باختبار النظام والمكونات وتحليل البيانات .
ثانيًا ، لإجراء هذا النوع من الاختبارات ، يلزم استخدام أدوات أكثر تطورًا مثل البرامج من محللات ومصححات الكود.
أختبار اختراق الصندوق الرمادي:
كما يوحي الاسم ، هذا النوع من الاختبارات هو مزيج من كل من الصندوق الأسود واختبار الصندوق الأبيض.
بعبارة أخرى ، فإن مختبر الإختراق لديه معرفة جزئية فقط بالأعمال الداخلية للويب و التطبيقات.
غالبًا ما يقتصر هذا على مجرد الوصول إلى رمز البرنامج وبنية النظام الرسوم البيانية.مع اختبار الصندوق الرمادي ، يمكن استخدام كل من عمليات الاختبار اليدوية والآلية.
السؤال هنا يكمن في ما يلي :
ما هي طريقة الاختبار الأفضل ؟
ومع ذلك ، سيكون من الخطأ القول إن أحدهما أفضل بكثير من الآخر لأن كل طريقة تخدم أهدافًا مختلفة بشكل أفضل.
يستخدم اختبار الصندوق الأسود المتطلبات لاشتقاق التوقعات الخارجية والقضاء على الأخطاء الوظيفية والتناقضات.
يفحص اختبار المربع الأبيض شفرة المصدر للتأكد من عدم وجود أخطاء مخفية أو عناصر معرضة للعيوب.
أخيراً ، يستخدم اختبار الصندوق الرمادي بيانات عالية المستوى ومواصفات وظيفية لاكتشاف العيوب والتأكد من أن البرنامج يلبي المتطلبات.
اختبار الاختراق هو نوع من اختبار الأمان الذي يستخدم لاختبار عدم أمان التطبيق والوثوقية، يتم إجراؤه للعثورعلى المخاطر الأمنية التي قد تكون موجودة في النظام أو في تطبيق الويب .
حيث إذا لم يتم تأمين النظام أو التطبيق، فإنه يمكن للمهاجم تعطيل أو أخذ الوصول المصرح به إلى هذا النظام أو التطبيق .
عادة ما تكون المخاطر الأمنية خطأً عرضياً يحدث أثناء تطوير البرنامج وتنفيذه.على سبيل المثال ، أخطاء التكوين وأخطاء التصميم وأخطاء البرامج وما إلى ذلك.
أهمية اختبار الاختراق هي كما يلي:
1- يحدد بيئة المحاكاة ، أي كيف يمكن للمتطفل مهاجمة النظام من خلال هجوم القبعة البيضاء.
2- يساعد في العثور على المناطق الضعيفة في النظام أو التطبيق ، حيث يمكن للدخيل الهجوم والوصول إلى ميزات التطبيق والبيانات.
3- يدعم تجنب هجوم القبعة السوداء ويحمي البيانات الأصلية.
أنواع اختبار الاختراق هي كما يلي:
1- اختبار اختراق الصندوق الأسود " Black Box"
2- اختبار اختراق الصندوق الأبيض "White Box"
3-اختبار اختراق الصندوق الرمادي "Grey Box"
أختبار اختراق الصندوق الأسود :
من المحتمل ألا يعرف المخترق جميع خصوصيات وعموميات البنية التحتية لتكنولوجيا المعلومات في الشركة أو التطبيق ، وبسبب هذا فإنه سيقوم ببناء هجومًا شاملاً بالقوة الغاشمة ضد تكنولوجيا المعلومات في البنية التحتية .
بمعنى آخر في هذا النوع لا توجد معلومات تُعطى للمختبر حول الاختبار الداخلي أو طريقة عمل تطبيق ويب معين ، ولا حول كود المصدر أو بنية البرنامج، ونتيجة لذلك يمكن أن يستغرق هذا النوع المعين من الاختبار وقتًا طويلاً لإكماله ، لذلك في كثير من الأحيان سيعتمد المختبر على استخدام العمليات الآلية للكشف الكامل عن نقاط الضعف والثغرات الموجودة .
أختبار اختراق الصندوق الأبيض :
اختبار اختراق الصندوق الأبيض ، المعروف أيضًا باسم "اختبار الصندوق الشفاف" ، يمتلك المختبر المعرفة الكاملة وإمكانية الوصول لكل من كود المصدر وبنية البرامج لتطبيق الويب. وبسبب هذا يمكن إجراء الاختبار في إطار زمني أسرع بكثير بالمقارنة مع اختبار الصندوق الأسود.
ميزة هذا الاختبار انه أكثر شمولاً لكن هذا النهج له أيضًا مجموعة من العيوب. أولاً ، نظرًا لأن المختبِر لديه معرفة كاملة ، يمكنه ذلك
أن يستغرق مزيدًا من الوقت لاتخاذ قرار بشأن ما يجب التركيز عليه بشكل خاص فيما يتعلق باختبار النظام والمكونات وتحليل البيانات .
ثانيًا ، لإجراء هذا النوع من الاختبارات ، يلزم استخدام أدوات أكثر تطورًا مثل البرامج من محللات ومصححات الكود.
أختبار اختراق الصندوق الرمادي:
كما يوحي الاسم ، هذا النوع من الاختبارات هو مزيج من كل من الصندوق الأسود واختبار الصندوق الأبيض.
بعبارة أخرى ، فإن مختبر الإختراق لديه معرفة جزئية فقط بالأعمال الداخلية للويب و التطبيقات.
غالبًا ما يقتصر هذا على مجرد الوصول إلى رمز البرنامج وبنية النظام الرسوم البيانية.مع اختبار الصندوق الرمادي ، يمكن استخدام كل من عمليات الاختبار اليدوية والآلية.
السؤال هنا يكمن في ما يلي :
ما هي طريقة الاختبار الأفضل ؟
ومع ذلك ، سيكون من الخطأ القول إن أحدهما أفضل بكثير من الآخر لأن كل طريقة تخدم أهدافًا مختلفة بشكل أفضل.
يستخدم اختبار الصندوق الأسود المتطلبات لاشتقاق التوقعات الخارجية والقضاء على الأخطاء الوظيفية والتناقضات.
يفحص اختبار المربع الأبيض شفرة المصدر للتأكد من عدم وجود أخطاء مخفية أو عناصر معرضة للعيوب.
أخيراً ، يستخدم اختبار الصندوق الرمادي بيانات عالية المستوى ومواصفات وظيفية لاكتشاف العيوب والتأكد من أن البرنامج يلبي المتطلبات.