رویال پرداز
Royal Pardaz Tiam

خدمت ارزیابی امنیتی و آزمون نفوذ برنامه‌های کاربردی

امروزه در حوزه امنیت فضای تولید و تبادل اطلاعات (افتا)، امنیت برنامه‌های کاربردی به‌ویژه برنامه‌های کاربردی (وب، وب سرویس، موبایل و میزکار)، از اهمیت ویژه‌ای برخوردار شده است. چراکه وجود یک آسیب‌پذیری در یک برنامه کاربردی، می‌تواند منجر به نفوذ به کل سامانه و به تبع آن از دست رفتن محرمانگی ، صحت سنجی و دردسترس پذیری داده‌ها، اطلاعات و خدمات سازمانی شود. در واقع بعضاً ممکن است نفوذگر با سوءاستفاده از یک آسیب‌پذیری در سامانه، تمام مکانیزم‌های امنیتی از جمله دیواره آتش را دور بزند و به سامانه‌های اطلاعاتی دسترسی پیدا نماید. یک مهاجم با استفاده از این آسیب‌پذیری‌ها، پس از طرح سناریوهای مناسب نفوذ، که می‌توانند بسته به شرایط ساده یا پیچیده باشند، به سامانه نفوذ کند. مهاجم در مرحله‌ی بعد با بالا بردن سطح دسترسی، تمهیدات و سازوکارهای امنیتی را دور زده و تهدیدات جدی را برای اطلاعات حساس یک سازمان ایجاد می‌کند.

آزمون با توجه به میزان شناخت تیم از برنامه کاربردی و آگاهی لازم از ساختار و اطلاعات لازم در سه روش آزمون جعبه سیاه ، آزمون جعبه سفید و آزمون جعبه خاکستری به شرح زیر ارائه می‌گردد.

  • آزمون جعبه سفید: در این روش با اخذ دسترسی بالا و در اختیار دادن همه اطلاعات برنامه به صورت کامل، آزمون اجرا می‌شود.
  • آزمون جعبه خاکستری: اگر آزمون با اخذ دسترسی عادی و از داخل شرکت یا سازمان، اجرا ‌شود، به آن روش آزمون جعبه خاکستری می‌گویند.
  • آزمون جعبه سیاه‌: در این روش بدون اخذ دسترسی و در اختیار دادن اطلاعات برنامه، مشابه یک فرد ناشناس از خارج شرکت یا سازمان، آزمون اجرا می‌شود.
رویال پرداز
رویال پرداز
رویال پرداز
رویال پرداز رویال پرداز
رویال پرداز

مستقل از سطح انتخابی آزمون، متدولوژی و فازهای ذیل اجرا می‌گردد:

  • فاز شناخت: برای انجام آزمون، ابتدا باید همه اطلاعات دردسترس مرتبط با هدف، جهت شناخت بهتر سامانه به طور کامل جمع‌آوری شود.
  • ارزیابی امنیتی و آزمون نفوذ: در این مرحله به صورت دستی یا خودکار، سامانه بر اساس روشگان‌های استاندارد و بین‌المللی برای کشف آسیب‌پذیری‌های فنی و منطقی سامانه مورد ارزیابی قرار می‌گیرد.
  • ارائه راهکارهای امن‎سازی: براساس نتایج دو مرحله اول و به‌روش‌ها ، دستورالعمل‌هایی برای امن‌سازی ارائه می‌گردد.
  • فاز ممیزی: برای اطمینان از اعمال راهکارها و رفع آسیب‌پذیری‌ها، موارد گزارش شده مجدد مورد آزمون و بررسی قرار می‌گیرد.
رویال پرداز