آشنایی با انواع نرم افزار هک و تست نفوذ پذیری(Penetration Test) :: پارس دانلود

كد ساعت و تاريخ

تور دبی

پارس دانلود

امنیت ، شبکه ، بازی های رایانه ای ، اخبار سایبری ...

پارس دانلود

امنیت ، شبکه ، بازی های رایانه ای ، اخبار سایبری ...

پارس دانلود

امام علی (ع) می فرماید:
هیچ گناهکاری را نا امید مکن، چه بسیار گناهکاری که عاقبت به خیر گشته
و چه بسیار خوش کرداری که در پایان عمر تباه شده و جهنمی گشته است.

Dear friends, it's best to look at the history of these 50 years We rebelled when there was no better ally than the United States for America Once we resurrected, we did not even know how to handle an old tank We rebelled when even the food in Iran was not enough for all people Once we resurrected, we did not even know what the real meaning of war was When we rose, everyone said that Iran was the most stable country in the region and now... We are the strongest regional power in terms of political stability We are the strongest country in the region in the military field We are the strongest region in the field of new science We are the strongest country in the field of manufacturing all types of missiles We are the strongest country in the region in terms of national, local, regional and family security We are the strongest cyberwar region in the region We are the strongest country in the field of domestic production (of course, our present president is an animal in all respects destroying the country, I love tramp) We are the strongest country in the region for the use of nuclear technology (and the region's poorest country in the field of nuclear weapons production (because our religious scholars consider this as equal to the war on God) We are the best in the world in the field of science production We are a member of the best countries in the field of medicine and family health We are a member of the best nations in the field of nanotechnology And... But before the revolution, we were only the military power of the region But before the revolution, we were the largest producer of crude oil But before the revolution, people were dying from the lack of science, food, lost culture, and so on .... But before the revolution, we were the only importer But before the revolution we had no private science But before the revolution, we had no scientist inside Iran But before our revolution our doctors were Indian But before the revolution, we did not know how to build a tower And... Please tell me which one is better? Before the revolution or after the revolution

بایگانی
پیوندهای روزانه
پیوندها
لوگو روشنگری
طبقه بندی موضوعی
آخرین مطالب
پربیننده ترین مطالب
مطالب پربحث‌تر
مهدویت امام زمان (عج)

آشنایی با انواع نرم افزار هک و تست نفوذ پذیری(Penetration Test)

محمد یی | چهارشنبه, ۴ شهریور ۱۳۹۴، ۰۷:۰۴ ق.ظ

پیشرفت علوم کامپیوتری و درنتیجه شبکه های سخت افزاری و نرم افزاری، امکان دسترسی آسان و سریع را به منابع به اشتراک گذاشته شده سازمانها و شرکتها را پدید آورده است. سیستم‌های خود پردازبانکی ، کارت‌های اعتباری، امکانات کامپیوتری بر روی تلفن های همراه ، همگی مثالهای بارزی از تاثیر امکانات کامپیوتری بر جامعه کنونی هستند. با نظر به این تحولات نکاتی نظیر خطر آشکار شدن رمز عبور، خطر ویروسی شدن سیستم‌ها، ازبین رفتن اطلاعات و تغییر اطلاعات توسط افراد غیر مجاز، نفوذ آنها به شبکه ها و سیستم‌های کامپیوتری از اهمیت بالایی برخوردار می شوند.


مفهوم تست نفوذ پذیری (Penetration Test ) :

 تست نفوذ پذیری  فرآیند ارزیابی امنیتی شبکه یا سیستم های رایانه ای بوده که به صورت شبیه سازی یک حمله توسط یک هکر اخلاقی (Ethical Hacker ) صورت می پذیرد. مهمترین تفاوت بین هکر و شخصی که تست نفوذپذیری انجام می دهد این است که، تست نفوذپذیری با مجوز و  قراردادی که با سازمان یا شرکت امضاء شده است انجام و در نهایت خروجی به صورت یک گزارش تهیه می گردد . هدف از تست نفوذ پذیری افزایش ضریب امنیتی داده ها می باشد. اطلاعات و ضعف‌های امنیتی که در تست نفوذ پذیری مشخص می گردد محرمانه تلقی شده و نباید تا برطرف شدن کامل افشاء گردد. ولی در مورد هکر به این صورت نخواهد بود . هکرها از هر موقعیت زمانی و حفره امنیتی ، برای نفوذ استفاده می نمایند. تعدادی از آنها به exploit ها (کدهایی ،برای استفاده از ضعف های امنیتی که هنوز در دسترس عموم قرار نگرفته و اصطلاحا Publish نشده اند.) دسترسی داشته و اغلب از حملات مشخص و  قابل جلوگیری استفاده می نمایند.

آشنایی با اصطلاحات رایج در تست نفوذ پذیری :

Hacker : شخصی که با سیستم های کامپیوتری آشنا بوده و می تواند با روش های خاص به آنها نفوذ نماید و ماشین ها را مورد پویش و جستجو (بی اجازه) قرار دهد یک هکر می تواند مفید یا خرابکار باشد . انواع Hacker  ها عبارتند از:

1.گروه هکرهای کلاه سفید (White Hat Hacker Group) : نفوذگران خوب 
2.گروه نفوذگران کلاه سیاه (Hacker Group Black Hat) : نفوذگران بد و مخرب  
3.گروه نفوذگران کلاه خاکستری (Hacker Group Gray Hat) : نفوذگران کمی خوب و اندکی مخرب

Cracker : شخصی که دارای دانش وسیع و پیشرفته در زمینه علوم کامپیوتر بوده و از مهارت های نفوذگری خود فقط در جهت تخریب ، سرقت اطلاعات ، مزاحمت و عملیات غیر قانونی استفاده می نماید.

Spies : شخصی که دارای مدارک دانشگاهی و پیشرفته در زمینه علوم کامپیوتر بوده و فقط در صورت دریافت پول اقدام به نفوذ و هک یک سازمان و یا سرقت اطلاعات اشخاص حقیقی و حقوقی می نماید و به هیچ عنوان به صورت تصادفی یک سایت را هک نمی نماید.

 

مراحل اجرای تست نفوذ پذیری :

1)     شناسایی  و جمع آوری اطلاعات ( Reconnaissance)

2)     پویش (  Scanning )

3)     بدست آوردن مجوز دسترسی ( Gaining Access)

4)     حفظ مجوز دسترسی (Maintaining Access )

به عنوان مثال قرار دادن یک Backdoor ( یک حفره و مدخل مخفی در رایانه که شخص هک شده از آن آگاهی ندارد.ویروسها و کرمها معمولاً یک Back door در رایانه هک شده نصب نموده و از طریق آن از راه دور رایانه شخص را کنترل می نمایند) در سرویسهای کشف شده و آماده نمودن آنها برای یک حمله واقعی و کامل .

5)     پاک نمودن رد پا (footprint Clearing Covering Tracks  OR )

مزایای تست نفوذ پذیری :

 ·        یافتن حفره های امنیتی سیستم های مورد استفاده پیش از آنکه دیگران این حفره ها را مشخص نمایند.

·        بررسی امنیت شبکه از دیدگاه  Cracker: ضعف های امنیتی نمایان شده در تست نفوذ‌پذیری ، برای جلوگیری از دسترسیCracker ها پوشش داده شده و بر طرف می شوند.

·        ارائه گزارش ضعف های امنیتی به مدیریت سازمان : گروه امنیت IT در سازمان به نقاط ضعف سیستم آشنایی کافی دارند و تست نفوذ پذیری می‌تواند این نقاط ضعف را در غالب گزارش به مدیریت ارشد سازمان ارائه کرده و تصمیم گیری های امنیتی سازمان را سرعت بخشد.

·        ارزیابی آسیب­پذیری فرهنگی کارکنان سازمان (با فنون مهندسی اجتماعی) .

·        کاهش هزینه های ترمیم ، با کاهش مخاطره نفوذ مهاجمان .

انواع روش های تست نفوذ پذیری :

  • Black Box : در این روش ، ارزیاب در موقعیتی خارج از شبکه های سازمان و با استفاده از دانش و ابزار های مناسب ، سعی درکشف آسیب پذیری های برنامه کاربردی می نماید.
  •  White Box : ارزیاب با شناخت سیستم و بازبینی از کدها همچنین شبکه داخلی یک سازمان ، آسیب پذیری های برنامه کاربردی و شبکه مورد نظر را کشف می نماید.

ابزار تست نفوذ پذیری به صورت  Black Box :

ابزارهای فراوانی برای تست نفوذ پذیری استفاده می شوند. این ابزار ها در دو گروه اصلی شناسایی (Reconnaissance) و بهره برداری (exploitation ) دسته بندی می شوند . اگر چه تست نفوذ پذیری اکثراً با ابزارهای تولید شده توسط خود Cracker انجام می گردد  ولی در حالت کلی، در فاز شناسایی، ابزارهای مهمی که برای تشخیص پیرامون هدف استفاده می شوند عبارتند از :

  1. Core Impact  (حدود قیمت نرم افزار 28،000،000 تومان )
  2. GFI LAN Guard
  3. Nmap
  4. Shadow Security Scanner :   ابزاری قدرتمند جهت scan نمودن وب سایتها و شبکه های رایانه ای که علاوه بر کشف نقاط ضعف(vulnerability)  امنیتی ف راهکار و پیشنهادات اصلاحی نیز ارائه می نماید.
  5. X-Scan : ابزاری قوی جهت ارزیابی امنیتی وب سایتها و شبکه های رایانه ای بر حسب IP به صورت اتوماتیک ، این نرم افزار دارای محیط ساده ولی قدرتمند می باشد.

 

  1. استفاده از نرم افزار رایگان با  قابلیت به روز رسانی  Metasploit Framework   

http://www.metasploit.com)   
این نرم افزار جهت  هکر های حرفه تهیه شده و در آن آخرین  Exploit های شناسایی شده برای تمامی سیستم عامل ها ، تجهیزات امنیتی (Firewall،Router و ...) ، نرم افزارهای امنیتی ، mail server ها و ...  ارائه می گردد . افرادی که به سیستم عامل Linux و نرم افزار Perl آشنایی داشته  باشند کار با این نرم افزار برای آنها راحتر می باشد در ضمن راهنمای استفاده از آن نیز وجود دارد.

مزایا :
- رایگان
- قابلیت به روز رسانی
- عدم وابستگی به سیستم عامل
- دارای محیط Web Base  و اینترفیس عالی جهت سهولت در کار
- دارای محیط Command جهت اجرای سریع

  1. AcunetixWeb.Vulerability.Scanner
  2. انواع نرم افزار password cracker
  3. Back Track که به صورت یک CD Live  و رایگان از اینترنت قابل دانلود شدن می باشد، این نرم افزار خود شامل کلیه ابزار هک بوده و یکی از ابزار اصلی هکر ها می باشد.
  4. ....

به عنوان مثال نرم افزار  (Nmap (Network Mapper دارای ویژگیهای زیر می باشد :

·        ابزاری جهت شناسایی و ممیزی است که به صورت رایگان موجود می‌باشد. طراحی این ابزار به صورتی است که می تواند به سرعت شبکه های بزرگ را پویش نموده و به صورت متنی و گرافیکی مورد استفاده قرار گیرد.

·   استفاده از تکنولوژی پیشرفته ای در جهت شناخت شبکه مقصد که  این شناخت به صورت مشخص نمودن سیستم های امنیتی مورد استفاده مانند فایروال، روتر و موانع دیگری است که در شبکه مقصد می باشد. بررسی و مشخص نمودن کامل انواع پورتها (TCP/UDP)، تشخیص نوع سیستم عامل و نسخه آن و … .

·        سازگاری با انواع  سیستم عامل های موجود  مانند Linux, Microsoft Windows  Solaris IRIX, Mac OS X, HP-UX, NetBSD, Sun OS, Amiga, .

·   مهمترین هدف از تولید این ابزار، کمک به بالا بردن امنیت شبکه اینترنت و اینکه مدیران شبکه، بازرسان (Auditors) و حتی Cracker ها بتوانند توسط این ابزار شبکه را پویش و نقاظ ضعف را مشخص نمایند.Nmap ابزاری عمومی برای پویش می باشد.

منبع: تاج دینی

  • محمد یی

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

کاربران بیان میتوانند بدون نیاز به تأیید، نظرات خود را ارسال کنند.
اگر قبلا در بیان ثبت نام کرده اید لطفا ابتدا وارد شوید، در غیر این صورت می توانید ثبت نام کنید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی
ساخت وبلاگ در بلاگ بیان، رسانه متخصصان و اهل قلم

هدایت به بالای صفحه

پشتیبانی