Roya

الأساليب والتقنيات المستخدمة في الاختبارات الأمنية

يمكن إجراء اختبار الأمان بعدة طرق مثل ،

o مستوى الصندوق الأسود

o مستوى الصندوق الأبيض

o مستوى قاعدة البيانات

مستوى الصندوق الأسود

oSession اختطاف

يُطلق على اختطاف الجلسة اسم “انتحال IP” حيث يتم مهاجمة جلسة المستخدم على شبكة محمية.

o التنبؤ بالجلسة

توقع الجلسة هي طريقة للحصول على البيانات أو معرّف الجلسة للمستخدم المصرح له والوصول إلى التطبيق. في تطبيق الويب ، يمكن استرداد معرف الجلسة من ملفات تعريف الارتباط أو عنوان URL.

يمكن توقع حدوث الجلسة عندما لا يستجيب موقع الويب بشكل طبيعي أو يتوقف عن الاستجابة لسبب غير معروف.

o البريد الإلكتروني الانتحال

انتحال البريد الإلكتروني هو تكرار عنوان البريد الإلكتروني (عنوان “من”) لتبدو وكأنها نشأت من المصدر الفعلي ، وإذا تم الرد على البريد الإلكتروني ، فسيصل إلى صندوق الوارد لمرسلي البريد العشوائي. بإدخال أوامر في الرأس ، يمكن تغيير معلومات الرسالة. من الممكن إرسال بريد إلكتروني مخادع يحتوي على معلومات لم تكتبها.

o انتحال المحتوى

انتحال المحتوى هو أسلوب لتطوير موقع ويب مزيف وجعل المستخدم يعتقد أن المعلومات وموقع الويب أصليان. عندما يقوم المستخدم بإدخال رقم بطاقة الائتمان الخاصة به ، وكلمة المرور ، ورقم الضمان الاجتماعي (SSN) وغيرها من التفاصيل المهمة ، يمكن للمتسلل الحصول على البيانات واستخدامها لأغراض الاحتيال.

o التصيد

يعتبر التصيد الاحتيالي مشابهًا لانتحال البريد الإلكتروني حيث يرسل المخترق مظهرًا حقيقيًا مثل البريد في محاولة للحصول على المعلومات الشخصية والمالية للمستخدم. ستظهر رسائل البريد الإلكتروني وكأنها واردة من مواقع ويب معروفة.

o تكسير كلمة المرور

يستخدم Password Cracking لتحديد كلمة مرور غير معروفة أو لتحديد كلمة المرور المنسية

يمكن اختراق كلمة المرور من خلال طريقتين ،

1. القوة الغاشمة – يحاول المخترق استخدام مجموعة من الأحرف بطول معين ويحاول حتى يتم قبولها.

2. قاموس كلمات المرور – يستخدم المخترق قاموس كلمات المرور حيث يتوفر في مواضيع مختلفة.

مستوى الصندوق الأبيض

o حقن التعليمات البرمجية الخبيثة

يعد حقن SQL هو الأكثر شيوعًا في Code Injection Attack ، حيث يقوم المتسلل بإرفاق الشفرة الضارة في الشفرة الجيدة عن طريق إدخال الحقل في التطبيق. الدافع وراء الحقن هو سرقة المعلومات المؤمنة التي كان من المفترض استخدامها من قبل مجموعة من المستخدمين.

بصرف النظر عن حقن SQL ، فإن الأنواع الأخرى من حقن التعليمات البرمجية الضارة هي XPath Injection و LDAP Injection و Command Execution Injection. على غرار حقن SQL ، يتعامل XPath Injection مع مستند XML.

o اختبار الاختراق

يستخدم اختبار الاختراق للتحقق من أمان الكمبيوتر أو الشبكة. تستكشف عملية الاختبار جميع الجوانب الأمنية للنظام وتحاول اختراق النظام.

o التحقق من صحة المدخلات

يستخدم التحقق من صحة الإدخال للدفاع عن التطبيقات من المتسللين. إذا لم يتم التحقق من صحة الإدخال في الغالب في تطبيقات الويب ، فقد يؤدي ذلك إلى تعطل النظام ومعالجة قاعدة البيانات والفساد.

o التلاعب المتغير

يتم استخدام المعالجة المتغيرة كطريقة لتحديد أو تحرير المتغيرات في البرنامج. يتم استخدامه في الغالب لتغيير البيانات المرسلة إلى خادم الويب.

مستوى قاعدة البيانات

oSQL حقن

يستخدم حقن SQL لاختراق مواقع الويب عن طريق تغيير عبارات SQL الخلفية ، وباستخدام هذه التقنية يمكن للمتسلل سرقة البيانات من قاعدة البيانات وحذفها وتعديلها.