تست نفوذ به سایت یکی از بخشهای مهم در حوزه امنیت شبکه به حساب میآید. در سیستمها و مخصوصاً در سایتهای مختلف دائماً روشهای بسیاری ظهور پیدا میکنند. با توجه به تعدد روشهای نفوذ در سایت، در مقاله «تست نفوذ سایت چیست»، یک راهنمای جامع از انواع روشهای تست نفوذ سایت ارائه شده است. در این راهنما، مراحل انجام تست نفوذ سایت و روش عملکرد آن به وسیله نرم افزارها و ابزارهای گوناگون مورد بررسی قرار گرفته است. برای آشنایی با مفهوم تست نفوذ سایت و نرم افزارهای گوناگون رایگان و غیر رایگان آن، مطالعه این مقاله پیشنهاد میشود.
تست نفوذ چیست؟
تست نفوذ (Penetration Testing | Pen Test)، یک حمله سایبری شبیهسازی شده علیه یک سیستم کامپیوتری برای بررسی آسیب پذیریهای قابل بهره برداری است. در زمینه امنیت برنامههای کاربردی تحت وب، تست نفوذ معمولاً برای تقویت فایروال برنامه وب (Web Application Firewall | WAF) استفاده میشود. تست نفوذ میتواند شامل تلاش برای نقض هر تعداد از سیستمهای کاربردی، برای مثال رابطهای پروتکل کاربردی (Application Protocol Interfaces | API) و سرورهای «Frontend» و «Backend» جهت کشف آسیب پذیریها باشند؛ مانند ورودیهای پالایش نشده که مستعد حملات تزریق کدهای دیگر هستند. روشهای ارائه شده توسط تست نفوذ را میتوان برای تنظیم دقیق خط مشیهای امنیتی WAF و اصلاح آسیب پذیریهای شناسایی شده استفاده کرد.
تست نفوذ یک حمله شبیهسازی شده مجاز است که بر روی یک سیستم کامپیوتری برای ارزیابی امنیت آن انجام میشود. متخصصین تست نفوذ از ابزارها، تکنیکها و فرآیندهای مشابه مهاجمان برای یافتن و نشان دادن تأثیرات تجاری ضعیف در سیستمها استفاده میکنند. تستهای نفوذ معمولاً انواع مختلفی از حملات را شبیهسازی میکنند که میتوانند کسبوکار مورد نظر را تهدید کنند. یک تست نفوذ ممکن است بررسی کند که آیا سیستم به اندازه کافی قوی است تا در برابر حملات در موقعیتهای احراز هویت شده و احراز هویت نشده و همچنین طیف وسیعی از نقشهای سیستم مقاومت کند. تست نفوذ با بررسیهای مناسب میتواند به هر قسمتی از سیستم دسترسی پیدا کند که نیاز به ارزیابی دارد. در بخش بعدی مقاله «تست نفوذ سایت چیست» به بررسی مزایای تست نفوذ پرداخته شده است.
مزایای تست نفوذ
در حالت ایده آل، سازمان از ابتدا نرم افزار و سیستمهای خود را با هدف از بین بردن نقصهای امنیتی جدی طراحی کرده است. تست نفوذ با بینشی نشان میدهد که سیستمها و وب سایتها چقدر به هدف مورد نظر جهت داشتن امنیت بالا نزدیکاند.
تست نفوذ فعالیتهای امنیتی زیر را پشتیبانی میکند:
- پیدا کردن ضعفها در سیستمها
- تعیین نیرومندی کنترلها
- پشتیبانی از انطباق با قوانین حریم خصوصی و امنیت دادهها مانند قوانین PCI DSS ،HIPAA و GDPR
- ارائه نمونههای کیفی و کمی از وضعیت امنیتی فعلی و اولویتهای بودجه برای مدیریت سیستمها
در دو بخش فوق، اطلاعاتی از مفاهیم تست نفوذ برای درک بهتر این موضوع ارائه شدند، در قسمت بعدی به مبحث اصلی مقاله یعنی همان تست نفوذ سایت پرداخته خواهد شد.
تست نفوذ سایت چیست ؟
با استفاده از برخی از روشهایی که در آسیب زدن به سایتها وجود دارند، مانند روش حمله تزریق پایگاه داده SQL یا همان «SQL Injection»، حملات تزریق کد یا اسکریپت (Cross-Site Scripting | XSS) و جعل درخواست میان سایتی (Cross-Site Request Forgery | CSRF) مهاجمان سایبری میتوانند به راحتی از سایت بهره برداری کنند. به وسیله این روشها مهاجمان توانایی این را پیدا میکنند که دادههای حساس موجود را بدزدند و یا به طور کامل کنترل سایت را در دست بگیرند. برای جلوگیری از این مشکلات، بهتر است اقدامات پیشگیرانهای صورت گیرد، مانند تست نفوذ سایت برای شناسایی و رفع آسیب پذیریهای سایت قبل از اینکه مهاجمان سایبری از آن سوء استفاده کنند.
تست نفوذ یک حمله شبیهسازی شده به سبک هکرها به یک برنامه کاربردی است که هدف آن اندازهگیری اهمیت آسیب پذیریهای موجود است. این موضوع به این معناست که تست نفوذ بیشتر بر روی نحوه استفاده از هر یک از این آسیب پذیریها تمرکز دارد، برخلاف ارزیابی آسیب پذیری (Vulnerability Assessment)، که صرفاً تمام آسیب پذیریهای موجود در وبسایت شما را شناسایی و فهرست میکند.
مثالی برای تست نفوذ سایت
برای مثال، در نظر بگیرید که یک دزد قصد دارد وارد منزل شود، بنابراین، برای جلوگیری از ورود دزد به خانه باید یک سری اقدامات امنیتی انجام گیرد. در این مثال، ارزیابی آسیب پذیری به این معنی است که از بسته بودن همه درها و پنجرهها اطمینان حاصل شود و تست نفوذ به معنی بررسی بالا بودن قدرت و یا ضعیف بودن درها و پنجرهها است. پس اگر تست نفوذ انجام شود، صاحب خانه مخصوصاً زمانی که خواب است و یا در منزل نیست، اطمینان دارد که اگر دزدی قصد ورود به خانه را داشته باشد هیچ راه ورودی نخواهد یافت و صاحب خانه میتواند در آرامش بخوابد و از منزل خارج شود.
تفاوت بین ارزیابی آسیب پذیریها و تست نفوذ
اساساً میتوان گفت که ارزیابی آسیب پذیری یکی از مراحل اولیه کل فرآیند تست نفوذ است. در حالی که، تست نفوذ از یافتهها (فهرست آسیب پذیریها) استفاده میکند و از آنها برای تعیین میزان خطر آسیب پذیری استفاده میکند. ارزیابی آسیب پذیریها هم میتواند به صورت خودکار و هم به صورت دستی انجام شود.
بر خلاف آن، تست نفوذ به صورت کلی یک فرآیند دستی است که به وسیله مهندسین امنیت با تجربه انجام میشود. ارزیابی آسیب پذیریها و تست نفوذ (Vulnerability Assessment & Penetration Testing | VAPT) تقریباً وظایفی برای یک مرحله هستند، اما کاملا یکسان نیستند. در گذشته، به طور اشتباه این دو وظیفه به جای هم استفاده میشدند. این سردرگمی باعث شده بود که مدیران وب سایت در زمانی که واقعاً به تست نفوذ نیاز است، درخواست ارزیابی آسیب پذیری کنند و حتی ممکن بود برعکس این موضوع نیز اتفاق بیفتد. در ادامه این مقاله به بررسی دقیقتر تست نفوذ سایت پرداخته شده است و در بخش بعدی به این سوال که چرا تست نفوذ سایت نیاز است پاسخ داده شده است.
چرا نیاز به تست نفوذ سایت است ؟
شناسایی حفرههای امنیتی سایت بسیار مهم است تا در مشکلات و حملاتی که ممکن است ایجاد شوند، مدیران سایت غافلگیر نشوند. استفاده از روشهای «VAPT» این امکان را میدهد تا مشکلات احتمالی با مدیریت ریسک بهتر پیشبینی شوند. کسانی که سایت کوچکی دارند همیشه به این موضوع فکر میکنند که آیا نیاز هست آنها هم از روشهای تست نفوذ سایت استفاده کنند؟ در واقع هر سایتی با هر اندازه و گستردگی نیاز به انجام بررسیهای تست نفوذ دارد، طبق تحقیقات انجام شده، ۶۰ درصد سایتهایی که مورد حملات سایبری قرار میگیرند، جزء سایتها و کسب و کارهای کوچک به حساب میآیند.
تست نفوذ سایت چگونه میتواند برای سایتهای مختلف مفید واقع شود؟
به طور خلاصه، تست نفوذ وب سایت، میتواند با روشهای زیر به مدیران و صاحبان سایتها کمک کند:
- تست نفوذ سایت برای شناسایی و رفع نقصهای امنیتی سایت استفاده میشود.
- این روش یک نمای کلی را از ادغامهای پیکربندیهای پیادهسازی شده نادرست در یک سایت به مدیر آن ارائه میدهد.
- وش تست نفوذ از سناریو حملات واقعی تقلید میکند که این موضوع میتواند منجر به کاهش خطرات احتمالی شود.
- تست نفوذ سایت میتواند در دستیابی به نیازمندیهای انطباق خاص (Certain Compliance Requirements) مانند GDPR ،ISO 27001 ،PCI-DSS ،HIPAA و موارد دیگر کمک کند.
- روش تست نفوذ سایت، این امکان را میدهد تا آسیب پذیریهای ممکن در سایت شناسایی شوند.
- این روش میتواند سایت را از عواقب قانونی و مجازاتهای سنگین تحت سیاستهای امنیت داده نجات دهد.
- تست نفوذ سایت، اعضای تیم امنیت را برای مقابله با حملات سایبری واقعی، آماده میکند.
در بخش بعدی مقاله «تست نفوذ سایت چیست» به متدولوژی تست نفوذ سایت پرداخته میشود.
روش شناسی تست نفوذ سایت چیست ؟
تست نفوذ سایت اساساً در سه مرحله انجام میشود:
- جمعآوری اطلاعات (Information Gathering): در جمعآوری اطلاعات، متخصص تست نفوذ سایت سعی میکند اثر انگشت (Fingerprint) را در قسمت بَکاند (Backend) وبسایت پیدا کند. «Backend» معمولاً شامل سیستم عامل سرور (Server OS)، نسخه سیستم مدیریت محتوا (Content Management System | CMS) سایت و سایر موارد میشود.
- کشف (Discovery): مرحله دوم جایی است که ابزارهای خودکار برای کشف هر گونه نقص امنیتی شناخته شده یا شناسه آسیب پذیری و تهدیدات رایج (Common Vulnerabilities and Exposures | CVE) در خدمات مربوطه مستقر میشوند. در اینجا، یک اسکن امنیتی دستی توسط مهندسان امنیت سایت و متخصصین تست نفوذ سایت نیز برای کشف آسیب پذیریهای منطقی کسبوکار مورد نیاز است، زیرا برخی از این نوع نقصها که اغلب توسط اسکن انجام استخراج میشدند، با ابزارهای خودکار نادیده گرفته میشدند.
- بهره برداری (Exploitation): در مرحله نهایی یعنی مرحله بهره برداری، هدف استفاده از هر گونه آسیب پذیری کشف شده در مرحله دوم است. بهره برداری اغلب به صورت دستی برای از بین بردن موارد مثبت کاذب (False Positives) و نیز برای استخراج اطلاعات از هدف و حفظ پایداری استفاده میشوند.
جمعآوری اطلاعات در تست نفوذ سایت
همانطور که پیشتر اشاره شد، در این مرحله و به عنوان اولین مرحله، جمعآوری اطلاعات توسط متخصصین تست نفوذ سایت به وسیله پیدا کردن «Fingerprint» در «Backend» وب سایت مانند سیستم عامل سرور، نسخه سیستم مدیریت محتوا (CMS) سایت و سایر موارد انجام میشود. در ادامه این بخش چند نمونه از ابزارهایی بررسی و ارائه شدهاند که به وسیله آنها میتوان به جمعآوری اطلاعات پرداخت.
ابزار Network Mapper تست نفوذ سایت
«Network Mapper» که به اختصار به عنوان «Nmap» نیز شناخته میشود، به مدت طولانی به عنوان ابزار اصلی و مورد علاقه متخصصین تست نفوذ سایت برای بازیابی آسیب پذیری به حساب میآمد و بر اساس امکاناتی که دارد میتوان متوجه شد که دلیل مهمی برای انتخاب این ابزار وجود دارد. توانایی های Nmap عبارتند از:
- با استفاده از «Network Mapper» میتوان پورتهای نفوذ سایت را از سرور استخراج کرد.
- به وسیله ابزار «Nmap» عملیات پیدا کردن اثر انگشت (پیدا کردن بهترین نشانه) روی سیستم عامل سرور انجام میگیرد.
- در این ابزار دور زدن (Bypass) فایروال (Firewall) برای پیدا کردن و رسیدن به اهداف مخفیانه انجام میگیرد.
- کشف خدمات در حال اجرا در پورتهای نفوذ سایت در ابزار «Nmap» انجام میشود.
- اسکریپتهای موتور این ابزار (Nmap Script Engine | NSE) میتوانند وظایفی از جمله تشخیص آسیب پذیریهای خاص را خودکار کنند.
برای مشاهده گزینههای بیشتر، با فعال کردن کالی لینوکس (Kali Linux) به وسیله ترمینال خط فرمان و تایپ کردن «Nmap» میتوان اطلاعات بیشتری به دست آورد. همچنین، کاربران میتوانند «Zenmap» را نیز امتحان کنند که نسخه رابط کاربری گرافیکی (Graphical User Interface | GUI) «Nmap» به حساب میآید. «کالی لینوکس» (Kali Linux) یکی از برترین پکیجهای امنیتی متن باز برای یک هکر است و شامل مجموعهای از ابزارهای مختلف میشود.
- مطالب پیشنهادی برای مطالعه:
- آموزش رایگان تست نفوذ با کالی لینوکس — راهنمای تصویری و گام به گام
- هکر کلاه سفید چیست و چه می کند؟ — به زبان ساده
- فرق دارک وب و دیپ وب چیست؟ — به زبان ساده
ابزار Harvester تست نفوذ سایت
در حالی که ابزارهایی مانند «NMAP» جمعآوری اطلاعات جعبه سیاه (Black Box) را انجام میدهند، ابزارهای خاصی مانند «Harvester» وجود دارند که اطلاعات منبع باز اوسینت (Open Source Intelligence | OSINT) را جمعآوری میکنند.
اوسینت مجموعهای از اطلاعات موجود در حوزه عمومی درباره هدف اصلی است، مانند اطلاعات ورود کاربر «Whois» (دامنههای ثبت شده توسط هر کاربر) و ایمیلهای شرکت که این اطلاعات هنگام تست نفوذ سایت مفید واقع میشوند. در سایتهایی مانند «Google» ،«Whois» و سایر موارد از «OSINT» استفاده شده است. بنابراین، ابزار «Harvester» همه منابع را جمعآوری میکند و یک راه حل یک مرحلهای ارائه میدهد.
کشف در تست نفوذ سایت
کشف (Discovery) مرحلهای است که در آن ابزارهای خودکار برای کشف هرگونه نقص امنیتی شناخته شده و یا شناسه آسیب پذیری و تهدیدات رایج (Common Vulnerabilities and Exposures | CVE) در روند تست نفوذ سایت انجام میگیرد. در بخشهای قبلی نیز به آن پرداخته شده بود.
همچنین برای اطمینان از استخراج همه آسیب پذیریها پس از انجام تستهای خودکار، متخصصین تست نفوذ سایت، به صورت دستی نیز کشف در تست نفوذ سایت را مورد بررسی قرار میدهند. در ادامه این بخش از مقاله «تست نفوذ سایت چیست» به بررسی چند نمونه از ابزارهایی پرداخته شده است که توسط آنها میتوان به صورت خودکار آسیب پذیریها و تهدیدات موجود در سایت را استخراج کرد.
ابزار Nikto برای تست نفوذ سایت
Nikto یا نیکتو ابزاری است که به طور خاص جهت بررسی و اسکن آسیب پذیریهای سایت برای حدود 270 نوع سرور طراحی شده است. همچنین ابزار Nikto میتواند 6700 سرور را برای پیکربندی نادرست به صورت گسترده جستجو کند. ابزار Nikto محدودیتهایی هم دارد از جمله این محدودیتها میتوان نویزدار بودن زیاد، تولید موارد مثبت کاذب در بعضی موارد و ضعیف بودن تکنیکهای در نظر نگرفتن فایروال را نام برد.
با این حال، ابزار نیکتو هنگامی که با یک ابزار دیگر کالی لینوکس برای فرار از سیستم تشخیص دخالت (Intrusion Detection System | IDS) ترکیب شود، میتواند موثر باشد. با این حال، قبل از استفاده ابزار نیکتو برای تست نفوذ سایت، از خاموش بودن فایروال و سیستم تشخیص دخالت باید اطمینان حاصل کرد. برای استفاده از ابزار «Nikto» در تست نفوذ سایت، در ترمینال کالی لینوکس از دستور «’nikto -h ‘your-target» استفاده میشود.
ابزار Burp Suite برای تست نفوذ سایت
ابزار «Burp Suite» یا همان برپ سوییت یک فریم ورک تست نفوذ سایت در مرحله دوم به حساب میآید که به وسیله برنامه نویسی جاوا (Java) ساخته شده است. ابزار برپ سوییت توسط یک پروکسی (Proxy) داخلی ایجاد شده است که ترافیک بین مرورگر و هدف وبسایت مورد نظر را رهگیری میکند. سپس میتوان از این پروکسی برای دستکاری درخواستها یا برای کشف آسیب پذیریها (Fuzzing) در یک وبسایت استفاده کرد. در حالی که دستکاری درخواستها میتوانند به یافتن آسیب پذیریها کمک کنند، Fuzzing میتواند پیامهای خطا و رفتار برنامه را نیز مشخص کند. این ابزار تقریباً به یک استاندارد صنعتی تبدیل شده و برای تست نفوذ سایت ضروری است.
ابزار Open Vas برای تست نفوذ سایت
ابزار اوپن واس (Open Vulnerability Assessment System | OpenVas) یک اسکنر برای بررسی و تشخیص آسیب پذیری است که میتواند یک اسکن کامل آسیب پذیری زیرساخت شبکه را انجام دهد. میتوان ابزار «OpenVas» را بر اساس نیاز مدیر سایت به راحتی مقیاسبندی کرد و طیف گستردهای از تستها را به وسیله آن برای تست نفوذ سایت انجام داد. این ابزار توسط شرکت «Greenbone» ایجاد شده و دارای دو نسخه است که نسخه پولی آن «Greenbone Security Feed» نامیده میشود و نسخه رایگان آن «Greenbone Community Feed» نام دارد. تفاوت اصلی بین هر دو نسخه در نوع اسکنر آسیب پذیری شبکه (Network Vulnerability Scanner | NVT) آنها است.
بهره برداری در تست نفوذ سایت
طبق تعریفی که در بخشهای قبلی برای توضیح بهره برداری ارائه شده بود، در مرحله سوم و نهایی تست نفوذ سایت، هدف بهره برداری و استفاده از هر گونه آسیب پذیری کشف شده در مرحله دوم برای تست نفوذ سایت است. این بهره برداریها معمولاً به صورت دستی برای حذف موارد مثبت کاذب، استخراج اطلاعات از هدفهای ایجاد شده در مراحل قبل و همچنین حفظ پایداری استفاده میشوند. در ادامه این بخش از مقاله «تست نفوذ سایت چیست» نگاهی به چند ابزار بهره برداری تست نفوذ سایت شده است.
ابزار Metasploit برای تست نفوذ سایت
فریم ورک متاسپلویت «Metasploit» را میتوان به عنوان یک استاندارد صنعتی برای بهره برداری از هدف در تست نفوذ سایت به حساب آورد. فریم ورک متاسپلویت همچنین میتواند هک «Recon» را با استفاده از ابزار «Nmap» انجام دهد. اگر قصد یافتن آسیب پذیریها وجود داشته باشد، انبوهی از رخنهها برای انتخاب وجود دارند پس باید رخنه مورد نظر همراه با یک نرخ (Payload) مناسب انتخاب و در نهایت مورد بهره برداری قرار گیرد.
«Metasploit» به عنوان ابزار بهره برداری انتخاب بسیار خوبی در تست نفوذ سایت است. تقریباً تمام مفاهیم اثبات هک و نقصهای معروف زیرو دِی (Zero Day) به وسیله ماژولهای ابزار «Metasploit» به روز میشوند و مورد بررسی قرار میگیرند. برای راهاندازی فریم ورک «Metasploit» در ترمینال کالی لینوکس، دستور «msfconsole» نوشته میشود. در تصویر زیر «Metasploit» متعلق به «Rapid7» است و با رنگ قرمز نوشته شده است.
ابزار SQLMAP برای تست نفوذ سایت
«Sqlmap» راه حلی تک مرحلهای برای یافتن هر گونه آسیب پذیری از روش تزریق دستورات پایگاه داده SQL در سایت مورد نظر و سوء استفاده از آنها است. «Sqlmap» میتواند پارامترهای هدف در URL و حتی فیلدهای داده را در صفحه برای یافتن نقاط تزریق دستورات پایگاه داده SQL مخدوش (Fuzz) کند.
در نهایت، ابزار «Sqlmap» میتواند از آنها استفاده کند تا یک پوسته شبه SQL یا پوسته «cmd» را از ماشین هدف ارائه دهد. برای بهره برداری و بررسی بیشتر این ابزار کاربردی میتوان از دستور «sqlmap -h» در ترمینال کالی لینوکس استفاده کرد.
ابزار Xsser برای تست نفوذ سایت
«Xsser» یک ابزار کوچک با وزن سبک برای یافتن و بهره برداری از اشکالات حملات تزریق کد یا اسکریپت (Cross-Site Scripting | XSS) در طول تست نفوذ سایت است. اشکالات «XSS» نسبتاً رایج هستند و میتوان با این ابزار کوچک موارد زیادی را کشف کرد. برای اجرای نسخه رابط کاربری گرافیکی (GUI) ابزار «Xsser»، همانطور که در تصویر زیر قابل مشاهده است، در ترمینال کالی لینوکس دستور «xsser –gtk» وارد میشود.
در این بخش و بخشهای پیشین مقاله «تست نفوذ سایت چیست» مراحل انجام تست نفوذ سایت همراه با مثالهایی از ابزارهای مرتبط با آنها مورد بررسی قرار گرفتند، اکنون در بخش بعدی به بررسی دستیابی به هدف نهایی و انطباق آن با هدف تعیین شده، پرداخته شده است.
تست نفوذ سایت : بررسی دستیابی به هدف و انطباق
سایتهای تجارت الکترونیک امروزی اغلب با اطلاعات پرداخت کاربران که بسیار حساس هستند در عملیات روزانه خود سر و کار دارند. برای محافظت از این دادههای حساس مشتریها، باید یک روش امنیتی استاندارد در هر سایت وجود داشته باشد. در این بخش به بررسی روشهای امنیتی استاندارد برای حفاظت از اطلاعات سایتها پرداخته شده است.
استاندارد امنیت داده صنعت کارت پرداخت (PCI-DSS)
صنعت کارت پرداخت (Payment Card Industry | PCI)، محافظت از دادههای کاربران در سایتهای تجارت الکترونیکی را تضمین میکند. تقریباً تمام سازمانهایی که با کارتهای اعتباری سر و کار دارند برای ایمن کردن دادههای پرداختی و تراکنشها با «PCI» مشارکت دارند. بنابراین، استاندارد امنیت داده صنعت پرداخت کارت (Payment Card Industry Data Security Standard | PCI-DSS) مجموعهای از دوازده پروتکل امنیتی است که هر کسب و کاری که با اطلاعات کارت اعتباری سر و کار دارد باید از آن پیروی کند.
این پروتکلها به وسیله شورای استاندارد امنیتی «PCI» توسعه پیدا میکنند. در صورت عدم رعایت این پروتکل ها، PCI ممکن است برای سازمان جریمهای اعمال کند یا امتیازات پردازش کارت اعتباری آن سازمان خاص را خاتمه دهد. ۱۲ نیازمندی لازم برای سازگاری با استاندارد امنیت داده صنعت پرداخت کارت به شرح زیر است:
امنیت شبکهها و سیستمها
- نیازمندی اول: برای محافظت از دادههای کاربران دارای کارت اعتباری، فایروال برنامههای وب (Web Application Firewall | WAF) نصب میشود.
- نیازمندی دوم: رمز عبورهای پیشفرض و رمزهای عبور اختصاصی آسیب پذیر (Hard-Coded) که توسط فروشنده پیشنهاد شدهاند، نباید مورد استفاده قرار گیرند.
حفاظت از دادهها
- نیازمندی سوم: باید از دادههای کارتهای اعتباری ذخیره شده در برابر حملات سایبری محافظت شود.
- نیازمندی چهارم: انتقال دادههای کارتهای اعتباری باید از طریق شبکههای باز (Open Network) رمزگذاری شوند.
مدیریت آسیب پذیری منظم
- نیازمندی پنجم: آنتی ویروس همیشه باید به روز باشد و از مکانیسم مناسب در برابر بدافزار (Malware) اطمینان حاصل شود.
- نیازمندی ششم: توسعه برنامهها و سیستمهای امن باید به خوبی نگهداری شوند.
اقدامات کنترل دسترسی مناسب
- نیازمندی هفتم: با اجرای کنترل دسترسی مبتنی بر نقش، دسترسی به دادههای کارتهای اعتباری محدود میشوند.
- نیازمندی هشتم: شناسایی و احراز هویت دسترسی به اجزای سیستم باید انجام شود.
- نیازمندی نهم: محدودیتهایی برای دسترسی فیزیکی به دادههای کارتهای اعتباری اِعمال میشوند.
نظارت و تست شبکه
- نیازمندی دهم: همه دسترسیهای منابع شبکه و دادههای کارتهای اعتباری به طور منظم نظارت میشوند.
- نیازمندی یازدهم: تستهای مکرر روی تمام سیستمها و فرآیندهای امنیتی انجام میشوند.
سیاست امنیت اطلاعات
- نیازمندی دوازدهم: سیاستی پیادهسازی میشود که همه اجزای امنیتی اطلاعات را تحت پوشش قرار میدهد.
در این بخش ۱۲ مورد مهم استاندارد امنیت داده صنعت پرداخت کارت (PCI-DSS) ارائه شد و بخش بعدی مقاله «تست نفوذ سایت چیست» به چک لیست تست نفوذ سایت اختصاص داده شده است.
چک لیست تست نفوذ سایت چیست ؟
در این قسمت، مواردی که برای یک تست نفوذ سایت با کیفیت و کاربردی باید مورد بررسی قرار بگیرند به صورت موردی شرح داده شدهاند.
جمعآوری اطلاعات
- اسکن و بررسی پورتها
- بررسی سرور تحت وب، نسخه سیستم مدیریت محتوا (CMS)، انگشتنگاری سیستم عامل (OS Fingerprinting)
- متُدهای پروتکل انتقال ابرمتن (Hypertext Transfer Protocol | HTTP)
- ویژگیهای کوکی (کوکی بستهای از دادهها به حساب میآید که به وسیله سرور وب سایت مربوطه به مرورگرها ارسال میشود و در صورت نیاز از مروگرهای کاربران به سرور باز خواهد گشت.)
کشف
- یافتن محتوای جایگزین مانند دایرکتوری یا فایلهای بروت-فورس (Brute Force) یا جست و جوی فراگیر
- پیدا کردن پیکربندیهای درست و نادرست پیشفرض
- کشف آسیب پذیریهای ورود به سایت (Login Fuzzing)
- مرحله تست توکنها (Token)
- تزریق: SQL ،XSS ،XML، الگوها و کامندهای سیستم عامل
- آسیب پذیری «open redirect»
- حملات LFI و RFI
- نقوص منطقی کسب و کار
- عدم پذیرش خدمات
- تست خدمات وب REST که سر نامی برای عبارت «Representational State Transfer» و SOAP که سرنامی برای عبارت «Simple Object Access Protocol» است.
اشکالات رمزگذاری
- باگ Heartbleed
- آسیب پذیری جدی پودل (Poodle)
- استریپ (Strip) پروتکل امن انتقال ابرمتن (Hypertext Transfer Protocol Secure | HTTPS)
- حمله لایهگذاری اُراکل (Oracle Padding Attack)
- رمزنگاری (Cryptography) یا پیادهسازی ضعیف
بهره برداری
- هایجکینگ مرورگر با استفاده از XSS
- برون نشست دادهها با استفاده از تزریقهای گوناگون
- دور زدن احراز هویت
- قفل شکنی آفلاین رمز عبور
- جعل درخواست میان سایتی (CSRF)
در ادامه مقاله «تست نفوذ سایت چیست» به برخی دیگر از نرم افزارهای رایگان مهم و کاربردی تست نفوذ سایت پرداخته شده است.
- مقاله پیشنهادی: پروتکل SSL چیست؟ | پروتکل HTTPS و رمزنگاری SSL — به زبان ساده
برخی دیگر از نرم افزارهای رایگان تست نفوذ سایت
در بخشهای قبلی به برخی ابزارها و نرم افزارهای رایگان و غیر رایگان تست نفوذ سایت، طبق کارکرد آنها و گروهی که در آن قرار میگیرند، به طور کامل پرداخته شد. در این بخش هدف این است که علاوه بر آن نرم افزارها، چند نرم افزار کاربردی رایگان دیگر نیز مورد بررسی قرار گیرد.
نرم افزار Intruder برای تست نفوذ سایت
نرم افزار رایگان «Intruder» یک ابزار اسکنر آسیب پذیری مبتی بر فضای ابری (Cloud) است که قبل از اینکه هکرها به آن نواقص دست پیدا کنند به یافتن نواقص سیستمها کمک میکند. با اسکن فعال تهدیدات جدید و همچنین ارائه یک سیستم تفسیر تهدید منحصر به فرد که باعث آسانتر شدن مدیریت آسیب پذیری میشود، در زمان کار صرفه جویی میکند.
نرم افزار Karkinos برای تست نفوذ سایت
نرم افزار «Karkinos» یک ابزار تست نفوذ سایت کم حجم و تاثیرگذار است که به متخصصین تست نفوذ سایت این امکان را میدهد تا بتوانند کاراکترهای سایت، متنها و فایلها را رمزگذاری و رمزگشایی کنند و همچنین دیگر تستهای امنیتی را نیز انجام میدهد. به طور کلی، نرم افزار «Karkinos» مجموعهای از ماژولهای متعدد به حساب میآید که در صورت ترکیب این ماژولها باهم، قادر است تا طیف وسیعی از آزمایشها را در یک ابزار واحد انجام دهد. به همین دلیل، برخی افراد در تست نفوذ از آن به عنوان «چاقوی ارتش سوئیس» یاد میکنند.
ویژگیهای کلیدی نرم افزار Karkinos
- رمزگذاری و رمزگشایی قالبهای استاندارد زیادی انجام میدهد.
- شکستن هشهای (Hash) همزمان با استفاده از فهرست کلمات داخلی بیش از ۱۵ میلیون رخنه یا رمز عبورهای معمولی قابل ویرایش یا جایگذاری را انجام میدهد.
- هشهای محبوبی مانند SHA1 ،SHA256 ،SHA512 و MD5 را تولید میکند.
- با سیستم عاملهای لینوکس و ویندوز سازگار است.
- با پوستههای (Shell) گوناگون تعامل دارد.
نرم افزار SUCURI برای تست نفوذ سایت
نرم افزار امنیتی «SUCURI» مسائل امنیتی سایت را از راه دور اسکن میکند و تشخیص میدهد. در منبع اصلی کد این نرم افزار لیستهای سیاه، اخطارها و بد افزارها قابل مشاهده هستند. این نرم افزار زمان اسکن سفارشی دارد و مکانیسم هشدار آن در صورت شناسایی هر گونه ایرادی به مدیر سرور اطلاع میدهد.
نرم افزار UpGuard برای تست نفوذ سایت
ابزار «UpGuard» یک پلت فرم امنیتی سایبری رایگان است که به سازماندهیهای کلی کمک میکند تا نقض دادهها، نظارت بر فروشندههای سوم شخص و ایمن کردن سایت را انجام دهند. با استفاده از رتبهبندیهای امنیتی اختصاصی، قابلیتهایی در سطح جهانی تشخیص جا به جایی غیر قانونی داده و جریانهای اصلاح قدرتمند را برای شرکتهایی در هر اندازه شناسایی و پیشگیری میکند.
نرم افزار Sn1per برای تست نفوذ سایت
نرم افزار «Sn1per» یک ابزار تست نفوذ سایت همه در یک (all-in-one) در امنیت تیمها و پژوهشگرها است. پلت فرم مدیریت سطح حمله پیوسته (Attack Surface Management | ASM) این امکان را میدهد که سطح حملات و آسیب پذیریهای برنامه کشف شوند.
نرم افزار Qualys برای تست نفوذ سایت
ابزار «Qualys»، یک اپلیکیشن اسکنر وب (Web Application Scanning | WAS) تست نفوذ سایت است که همه برنامههای کاربردی سایت را از چند هزار برنامه در یک شبکه کشف و فهرستبندی میکند. «Qualys WAS» به برنامههای کاربردی تحت وب این امکان را میدهد تا برچسبگذاری شوند و سپس در گزارشهای کنترلی استفاده شوند و دسترسی به دادههای اسکن را محدود کنند.
نرم افزار Quttera برای تست نفوذ سایت
نرم افزار «Quttera»، یک ابزار رایگان اسکن بد افزار سایتی است که توسط HTML/CSS ،WordPress ،Joomla و سایر موارد ساخته میشود. این نرم افزار یک گزارش همراه با جزئیات در مورد فایلهای مخرب، لینکهای تشخیص داده شده خارجی، موارد لیست سیاه و سایر موارد ارائه میدهد. نرم افزار «Quttera» نیاز دارد که آدرس سایت مورد نظر را در لیست اسکن خود قرار دهد. این نرم افزار همچنین دارای امکانات نظارت بر وب و حذف بدافزار در سراسر جهان است.
به این ترتیب در این مقاله سعی شد تا حد امکان به طور جامع به سوال تست نفوذ سایت چیست پاسخ داده شود و همچنین به مباحث پیرامون آن از جمله مراحل کار تست نفوذ سایت، ابزارها و نرم افزارهای رایگان آن نیز پرداخته شود.
جمعبندی
مسئلهای که در مقاله «تست نفوذ سایت چیست» به آن پرداخته شده است برای هر فردی که عملیات آنلاینی انجام میدهد، چه برای سایتی کوچک و چه شرکتها و سازمانهای بزرگ بسیار مهم و حیاتی است. علاوه بر این، تعداد زیادی ابزار در دسترس رایگان برای تست نفوذ سایت وجود دارد و برای انجام این تست در دسترس هستند.
سه مرحله مهم تست نفوذ سایت (جمعآوری اطلاعات، کشف، بهره برداری) کل فرآیند را هدایت و سازماندهی میکنند و در این مقاله به بررسی این سه مرحله همراه با مثالهایی از ابزارهای آنها پرداخته شده است.