تست نفوذ جعبه سیاه سبکی از تست نفوذ است که هدف آن یافتن و سوء استفاده از آسیبپذیریها در یک سیستم است. در تست نفوذ بلک باکس یا همان جعبه سیاه، قبل از آزمایش هیچ اطلاعاتی از سیستم هدف به کارشناس امنیتی ارائه نمیشود. به عبارتی تست نفوذ جعبه سیاه آسیبپذیریهای یک سیستم را که از خارج از شبکه قابل بهرهبرداری هستند را تعیین میکند. این بدان معنی است که تست نفوذ BLACK BOX بر تحلیل پویای برنامهها و سیستمهای در حال اجرا در شبکه هدف تکیه دارد.
بیشتر بخوانید:
تست نفوذ چیست؟
تست جعبه سیاه میتواند عملکردها یا ویژگیهای خاص نرمافزار تحت آزمایش را، آزمایش کند. به عنوان مثال، بررسی اینکه آیا امکان ورود به سیستم با استفاده از اطلاعات کاربری صحیح وجود دارد و ورود به سیستم با استفاده از اطلاعات کاربری اشتباه امکانپذیر نیست.
جدول زمانی تست نفوذ بلک باکس
جدول زمانی برای تست نفوذ جعبه سیاه 7 تا 10روز است. اسکن مجدد پس از رفع آسیبپذیریها 3 روز دیگر طول میکشد. جدول زمانی ممکن است بر اساس دامنه آزمون کمی متفاوت باشد.
دلایل انجام تست نفوذ جعبه سیاه
⦁ تست جعبه سیاه به شما امکان میدهد تا به سرعت خطاها را در مشخصات عملکردی شناسایی کنید.
⦁ از آنجایی که طراح و آزمایشکننده به طور مستقل کار میکنند، آزمایشهای بیطرفانهای را ارائه میدهد.
⦁ آزمایش “از موقعیت” کاربر انجام میشود.
⦁ آزمایش با استفاده از روش جعبه سیاه نه تنها شکافهای امنیتی در سیستم را شناسایی میکند، بلکه به تعیین خطاهای پنهان GUI کمک میکند.
⦁ تست نفوذ جعبه سیاه رفتار کاربری را شبیهسازی میکند که ساختار داخلی برنامه را نمیداند.
انجام دهندۀ تست نفوذ BLACK BOX
تیم مستقل تست معمولا این نوع تست را در طول چرخه عمر تست نرمافزار انجام میدهد. این روش آزمون را میتوان برای هر یک از سطوح تست نرمافزار مانند آزمون واحد، یکپارچهسازی، سیستم و آزمون پذیرش اعمال کرد.
نام دیگر تست جعبه سیاه
تست جعبه سیاه که به عنوان تست عملکردی یا تست رفتاری نیز شناخته میشود، اساساً آزمایشکنندگان را ملزم میکند تا عملکرد و قابلیت استفاده نرمافزار را بدون توجه به جزئیات کد ارزیابی کنند.
مزایای تست نفوذ جعبه سیاه
تست نفوذ جعبه سیاه مزایای زیادی دارد. تست جعبه سیاه نمای جامعی از سیستم تحت آزمایش ارائه میکند و میتواند آسیبپذیریهای امنیتی بالقوهای را که ممکن است توسط روشهای تست دیگر نادیده گرفته شوند، شناسایی کند. تست جعبه سیاه همچنین میتواند برای آزمایش امنیت برنامههای کاربردی وب، شبکه ها و سیستمهای کامپیوتری استفاده شود.
چالشهای مرتبط با تست نفوذ جعبه سیاه
تست نفوذ که به عنوان تست قلم نیز شناخته میشود، آزمایش یک سیستم کامپیوتری، شبکه یا برنامه وب برای یافتن آسیبپذیریهایی است که مهاجم میتواند از آنها سوء استفاده کند. تست نفوذ میتواند جعبه سیاه یا جعبه سفید باشد. تستهای جعبه سیاه بدون اطلاع قبلی از سیستم مورد آزمایش انجام میشوند، در حالی که تستهای جعبه سفید با آگاهی کامل از سیستم انجام میشوند.
یکی از چالشهای مرتبط با تست نفوذ جعبه سیاه این است که یافتن تمام آسیبپذیریها در یک سیستم میتواند دشوار باشد. چالش دیگر این است که تست جعبه سیاه میتواند زمان بر و گران باشد.
شروع با تست نفوذ جعبه سیاه
یکی از موارد اساسی که قبل از شروع باید در نظر گرفت هزینه تست قلم است. ایجاد یک بودجه معقول بر اساس قیمتگذاری تعیین شده تست نفوذ نیز ضروری است. تهیه فهرستی از فرآیندهای امنیتی موجود و ارزیابی بخشهایی که نیاز به برخی بهبودها دارند میتواند مفید باشد. همچنین ممکن است بخواهید یک ارزیابی ریسک انجام دهید تا تصویری بزرگتر از اینکه چگونه نقض احتمالی دادهها میتواند بر تجارت شما تأثیر بگذارد، انجام دهید.
در نهایت، سازمانها باید تستکنندههای نفوذ تایید شده را استخدام کنند تا اطمینان حاصل کنند که تجربه عملی در روشهای مختلف تست قلم دارند.
جمع بندی
در این مقاله به معرفی تست نفوذ جعبه سیاه پرداختیم. تست نفوذ که به عنوان تست قلم نیز شناخته میشود، یک حمله شبیهسازی شده مجاز به یک سیستم یا شبکه کامپیوتری برای ارزیابی امنیت سیستم یا شبکه است. تست نفوذ جعبه سیاه نوعی تست نفوذ است که در آن تستر هیچ دانش قبلی از سیستم یا شبکه مورد آزمایش ندارد.
بدون دیدگاه