آزمون نفوذ یا ارزیابی مخاطرات امنیتی روشی است که توسط آن میتوان آسیبپذیریهای موجود در سامانهها، شبکه و زیرساخت، وبسایت و بانکهای اطلاعاتی را شناسایی کرد و پیش از آن که این آسیبپذیریها توسط نفوذگران واقعی مورد سوءاستفاده قرار گیرند، اقدام به برطرفسازی آنها نمود. هدف از انجام آزمون نفوذ، یافتن آسیبپذیری در یک یا چند مورد از زمینههای زیر است: • امنیت سیستمعاملها • امنیت تجهیزات فعال شبکه • امنیت سرویسهای شبکه و بانکهای اطلاعاتی • امنیت برنامههای کاربردی تحت شبکه و وب با توجه به رشد روزافزون فعالیتهای آنلاین و وجود تهدیدات متنوع و همچنین زمانبر بودن فرآیند ارزیابی توسط متخصصین، ضرورت توسعه ابزارهای تست نفوذ و تقویت امنیت سیستم و وبسایتها احساس میشود. از این رو، پروژه حاضر با هدف توسعه و ایجاد یک ابزار ارزیابی امنیتی است، که تا حدامکان فرآیند ارزیابی سامانههای تحت وب به صورت خودکار صورت پذیرد. تا به این لحظه، توسعهدهنده حداقل درجه خودکارسازی را تا به بیش از 60 درصد فرآیند ارزیابی امنیتی پیش برده است. تست نفوذ از دیدگاههای متفاوتی قابل بررسی است. از دیدگاه اطلاعاتی که در اختیار تیم تست نفوذ قرار میگیرد، تست نفوذ به سه شیوه جعبه سیاه، جعبه خاکستری و جعبه سفید قابل انجام است. تفاوت این روشها، در میزان اطلاعات مرتبط با جزییات پیادهسازی سیستم در حال تست است که در اختیار گروه آزمون نفوذ قرار داده میشود. در رویکرد جعبه سیاه، تست نفوذ بدون داشتن هیچگونه اطلاعات قبلی در مورد سیستم، توسط آزمونگر انجام میشود. آزمون جعبه سیاه درواقع شبیهسازی حمله توسط نفوذگری است که در ابتدا با سیستم آشنایی ندارد. در رویکرد جعبه سفید، آزمونگر مشخصات کامل سیستم را در اختیار دارد. آزمون جعبه سفید، شبیهسازی نفوذگری است که از داخل شبکه، دسترسی کامل و اختیارات نامحدودی را روی سیستم هدف دارد. این نوع تست زمانی انجام میشود که سازمان نیاز دارد تا امادگی دفاعی خود را در برابر نوع خاصی از حملات و یا اهداف خاص محک بزند. در رویکرد جعبه خاکستری، اطلاعات محدودی در مورد ساختار سامانه در اختیار تیم تست نفوذ قرار میگیرد. این تست شبیه سازی آن دسته از حملاتی است که از درون و یا بیرون شرکت با میزان دسترسی محدود صورت میپذیرد. در این حالت سازمان ها ترجیح میدهند که بخشی از اطلاعات یا دانشی که نفوذگران میتوانند به آن دست پیدا کنند را در اختیار تیم تست نفوذ قرار دهند. این موضوع میتواند باعث صرفهجویی در زمان و هزینههای سازمان شود. در تست نفوذ جعبه خاکستری، نفوذگر میتواند به عنوان مدیر سیستم و یا شبکه کار خود را انجام دهد.
