200 likes | 540 Views
Penetration testing. ارائه دهنده : مهین السادات میرجلیلی استاد مربوطه: دکتر عراقی زاده. فهرست مطالب. مقدمه تست نفوذ شبکه تست نفوذ وب Owasp zap. مقدمه. مفهوم فرآيند ارزيابي امنيتي شبيه سازي حمله تهیه ی خروجی به صورت گزارش هدف افزایش ضریب امنيت. انواع تست نفوذ. Black-box testing
E N D
Penetration testing ارائه دهنده : مهین السادات میرجلیلی استاد مربوطه: دکتر عراقی زاده
فهرست مطالب • مقدمه • تست نفوذ شبکه • تست نفوذ وب • Owasp zap
مقدمه • مفهوم • فرآيند ارزيابي امنيتي • شبيه سازي حمله • تهیه ی خروجی به صورت گزارش • هدف • افزایش ضریب امنيت
انواع تست نفوذ • Black-box testing • White-box testing • Gray-box
گام های تست نفوذ • برنامهریزی • اکتشاف • حمله • گزارشدهی
مزایای تست نفوذ • يافتن حفره هاي امنيتي سيستم هاي مورد استفاده • بررسي امنيت شبكه از ديدگاهCracker • ارائه گزارش ضعف های امنیتی • كاهش هزينه هاي ترميم
تست نفوذ دستی - خودکار • تست نفوذ دستی • نیاز به منابع و زمان زیاد • تست نفوذ خودکار • زمان کمتر • استفاده ی مجدد از قالب آزمون
کی؟! • قبل از ارائه یا ارتقای عظیم یک محصول • نصب نرمافزار جدید • به روز رسانی سیستم • تغییر سیاستهای مربوط به کاربران
کجا؟! • وب سرویسها • برنامههای کاربردی وب • پایگاهدادهها • شبکه • ...
تست نفوذ شبکه - وب • تست نفوذ شبکه • تست نفوذ وب
تست نفوذ شبکه • شناسایی جوانب مختلف شبکهی مورد نظر • بررسی انواع حملات ممکن روی شبکه • موارد موثر • باز یا بسته بودن پورتها • آسیبپذیر بودن یا نبودن پورت باز • هزینه ی حمله
مشکلات تست نفوذ شبکه • مقیاسپذیری • ترتیب پویش سیستم های شبکه
تست نفوذ وب • استفاده از اسکنرها برای پویش هدف مورد نظر و شناسایی آسیبپذیریهای آن • اسکنرها • AcunetixWVS • W3AF • IronWASP • OWASP ZAP • Metasploit • …
مشکلات تست نفوذ وب • False positive • ضعف الگوریتم crawling