ما هو اختبار الاختراق Penetration test؟ تزداد مشكلات الحماية والمشكلات المتعلقة بالأمن السيبراني على الانترنت يوماً بعد يوم، في ظل ما يشهده العالم الرقمي من تطورات هائلة ومذهلة، تجعل منه عالم مدهش، يجذب المستخدمين اليه بشكل لا يعقل، ولكن مع كل ذلك التطور، يزداد ايضاً الهاكرز والمخترقين في التطور والكفاءة، ويصبحوا قادرين على اختراق أعتى الأنظمة في العالم.
تزداد الهجمات السيبرانية سواء على الأفراد او على المؤسسات او حتى على مستوى أنظمة الدول الكبرى، ما يجعلها مسألة حساسة، تؤرق الكثيرين في هذا العالم الرقمي، الذي بات مسكناً للمخترقين والهاكرز.
اختبار الاختراق Penetration test
هل خطر في بالك ذات يوم ان تكون من الهاكرز، وتقوم باختراق الأنظمة وبطرق مشروعة وتحصل بالنهاية على أجر مقابل ذلك، هذا حقاً ما يحدث في حالة اختبار الاختراق، حيث تقوم الشركات بتوظيف الهاكرز والمخترقين المحترفين ليقوموا باختراق أنظمة شركاتهم وذلك لتحديد أماكن الضعف والثغرات التي توجد في موقع الشركة، للتأكد ومعرفة المشكلات التي توجد في نظام الشركة، من اجل اكتشافه ومعالجته وتحسينه وتطويره وحمايته افضل حماية، وبالنهاية فإن لمخترق يحصل على افضل راتب، وبطريقة مشروعة 100% او ما يمكننا تسميته بالشكل الأخلاقي.
طرق اختبار الاختراق
هناك ثلاث طرق من اجل ان يختبر المخترق نظام الاختراق في شركة ما، وهي:
- BlackBox ، في هذه الطريقة من اختبارات الاختراق يتم إعطاء المخترق معلومات فقط عن رابط الموقع او عنوان الاي بي، ولا معلومات او بيانات أخرى عن الأهداف.
- GreyBox ، اما في هذه الطريقة فيتم اخذ معلومات بسيطة عن المستخدم مثل اسم المستخدم وكلمة المرور بشل مبسط جداً ليس كمدير للموقع.
- WhiteBox، اما هذه الطريقة فتعتبر من اسهل الطرق، حيث يتم إعطاء المخترق كافة المعلومات المتاحة والمطلوبة، مثل السورس كود، بيانات مدير النظام، اسم المستخدم وكلمة المرور، حيث يتم تقديم كافة المعلومات التي يحتاجها المخترق.
وظيفة اختبار الاختراق
تكمن وظيفة اختبار الاختراق في حماية المواقع والبيانات والمعلومات الموجودة على الانترنت، من خلال قيام مختبر الاختراق باختراق موقع ما بناءاً على طلب إدارة الموقع، وذلك للكشف عن الثغرات الأمنية للموقع، ما يساهم في حفظ كافة بيانات المستخدمين للموقع بعد ذلك. فمثلاً: في حال قيام مخترق ما باختراق ثغرة امنية في موقع مشهور مثل فيس بوك، وبعد ذلك قام بإبلاغ عن هذه الثغرة، يكو بذلك قد ساهم في حماية كافة حسابات المستخدمين للموقع.
دورات اختبار الاختراق
-
كورس Cyber Hacker Certified
تعتبر هذه الدور في الاختراق الأخلاقي من اقوى الدورات، وهي عبارة عن دور CHC، ويذكر أن الدورة تنقسم ل فيديو موزعة بين ساعة بين التعليم النظري والعملي، ومن اهم ما يميز هذه الدورة، هو انا تبدأ من الصفر، لذا فهي مهمة للمبتدئين، حيث تعطي أفكار ومعلومات عن الهكر، والتي تتوسع لاحقاً في أمور مهمة وعديدة في مجال الهاكينج.
-
Web application penetration Testing
تركز هذه الدورة من الدورات على الاختراق على مواقع الويب والتطبيقات، وتتميز بأنها متخصصة في أمر واحد، وتناسب تعلم الهكر بالنسبة للمبتدئين والذين لا يمتلكون أي خبرة سابقة، فهي توضح جميع التفاصيل حول كيفية تعلم الهكر منذ الصفر والأدوات التي تلزم لهذا الامر ويتضمن كورس تعلم هذه الدور التعرف على اشهر ثغرات الويب التي يمكن كشفها في المواقع وطريقة استغلالها ومن جانب آخر كيفية حماية هذه المواقع واغلاق الثغرات المشابهة لها.
-
دورة اختبار الاختراق كالي لينكس
وهي دورة متخصصة في التعرف على كيفية استعمال أدوات الاختراق، فهي توفر العديد من أدوات الاختراق التي يحتاج اليها الهكر في عمله، وتناسب المبتدئين في المجال لتمكنهم في نهاية الأمر من حماية انفسهم من خطر استعمال هذه الأدوات عليهم.
-
دورة Ethical Hacking Exploitation
هذه الدورة تابعة للدورة السابقة “كالي لينكس” وهي مسؤولة عن التعرف على الجزء الخاص بالاستغلال الموجودة في التوزيعة وكيفية استعمالها في كل أداة من الأدوات التي تعلمتها سابقاً.
-
دورة شهادة الهاكر الأخلاقي
وهي احد اقوى دورات الهاكر على الاطلاق، فهي تعطي خبرة ومعرفة كبيرة في المجال ولكن منهجها ليس ثابتاً فهو مختلف من شهادة الى أخرى ومن مركز الى آخر ولكن النتيجة واحدة فهي تحقق هدفاً واحداً.
-
دورة الهاكر الأخلاقي المعتمد
تقدم هذه الدورة منهجاً كاملا لشهادة CEH النسخة التاسعة عملياً، وتركز على الشبكات والأنظمة الخاصة بها وطريقة فحصها واختبار الاختراق، وتعتبر هذه الدورة من الدورات المتقدمة فلا ينصح المبدئين البدء بتعلمها قبل إتمام الدورات السابقة التي قمنا بعرضها، ويكتسب متلقي هذه الدورة مجموعة من المهارات المهمة مثل: بناء مختبر خاص بالاختراق وشرح كيفية استخدام كالي لينكس مع التعرف على كيفية فحص الشبكات واكتشاف الثغرات الموجودة فيها وفحص كامل للأنظمة وطرق اختراقها.
-
دورة CEH v9
تحتوي هذه الدورة على قدر كبير من المعلومات المهمة التي تساعد المتعلم في جمع اكبر قدر ممكن من المعلومات، ويتم فيها معرفة كيفية عمل مسح وجمع للمعلومات وطريقة عمل هجوم للكشف عن كلمة السر، ويتم من خلالها إيجاد تجربة اختراق لنظام اندرويد وطريقة استعمال أدوات متعلقة بهِ مثل الرات والكي لوجر، وتضم تجارب متعلقة بكيفية اختراق تطبيقات الويب وخوادم الانترنت والتعرف على كيفية استعمال الهندسة الاجتماعية في عمليات الاختراق.
-
دورة أساسيات بايثون وكيفية استخدامها في اختبار الاختراق
من خلال هذه الدورة يتعرف المتعلم على الجوانب المتعلقة بالمستخدم واللغة في الاختراق ويستفيد المتلقي منها في معرفة كيفية استعمال لغة بايثون في تنفيذ الهجمات وكتابة الأدوات وغيرها من الأمور ذات الصلة.
ما هو تقييم نقاط الضعف vulnerability assessment
نقاط الضعف هي عملية تهدف الى قياس واكتشاف نقاط الضعف الخاصة بأمن نظام تكنولوجي معين، ويتم ذلك باستعمال أدوات اختبار آلية لبيان مواطن الضعف وتحديد طبيعة الإجراءات اللازمة للمعالجة بهدف القضاء على هذه النقاط او تخفيضها الى مستوى مقبول.
وتشمل هذه العملية ايضاً اختبار الاختراق وهو المسؤول عن اكتشاف نقاط الضعف الغير معلومة مثل عيوب البرامج والأجهزة ومحاكاة كاملة لأساليب القراصنة في اختراق الشبكات والأنظمة، وتظهر أهمية تقييم الضعف (vulnerability assessment) فيما يلي:
- التعرف على نقاط الضعف ومدى تعرض النظام لها.
- المحافظة على استمرارية عمل الاعمال ودوامها.
- التحقق من مدى فاعلية أنظمة الحماية والتدابير.
- تحديد التهديدات المحتملة.
ماذا يعني تحليل الكود المصدري
هو اختبار آلي لرمز مصدر البرنامج يهدف الى العثور على الأخطاء والعمل على إصلاحها قبل بيع البرنامج او النظام او التطبيق، ويتم من خلاله تحليل الشفرة المصدرية ويؤدي هذا الى إزالة الحاجة الى تكوين حالات اختبار واستعمالها ويفصل نفسه عن المشاكل الخاصة بالمزايا ويركز في البحث عن وجود أخطاء في البرنامج قد تضر بوظيفة الشيفرة المصدرية عن طريق التأكد من التعليمات البرمجية التي قد تسبب اعطال، ويعتمد تحليل الشيفرة المصدرية على نوعين من أجهزة التحليل وهي:
- Interprocedural: وهو جهاز خاص باكتشاف الأنماط من وظيفة الى أخرى والتي تكون مرتبطة بحيث يستطيع المحلل انشاء نموذج لمحاكاة مسارات التنفيذ الخاص بالعمليات.
- Intraprocedural: يعتمد هذا الجهاز على مطابقة الأنماط وانواعها التي يبحث عن المستخدمين.
يعتبر اختبار الاختراق جزء لا يتجزأ من اختبارات الأمان التي تُجرى على النظام او البرنامج الهدف منه معرفة نقاط الضعف الموجودة في الكيان البرمجي والحصول على كافة الملفات الخاصة بنظام العثور على أي ثغرة أمنية موجودة، وذلك من خلال تطوير البرمجيات وتنفيذها وإدخال بنية تحتية جيدة لتكوين مكونات الشبكة، لذلك يجب الإلمام بجميع جوانب هذا الاختبار لتحقيق أهدافه.
جميع الحقوق محفوظة لشركة سايبر وان المختصة في الامن السيبراني والجرائم الإلكترونية لا يحق لكم نقل او اقتباس اي شيء بدون موافقه الشركة قد يعاقب عليها القانون.
للتواصل info@cyberone.co
00972533392585
