محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

تفاوت تست نفوذ جعبه سیاه ، جعبه خاکستری و جعبه سفید در چیست؟

امروز بصورت بسیار ساده می خواهیم در مورد انواع تست نفوذ سنجی یا هک قانونمند صحبت کنیم ، ببینید دوستان در ساده ترین شکل طبقه بندی تست های نفوذ سنجی ، ما دو دسته بندی کلی داریم ، تست های نفوذ سنجی داخلی یا Internal Penetration Test که درون شبکه داخلی انجام می شوند و تست های نفوذ سنجی خارجی یا External Penetration Test که از خارج از شبکه سازمانی انجام می شوند . حال این دو دسته بندی از نظر میزان اطلاعاتی که در اختیار نفوذگر قرار می گیند به سه دسته بندی تقسیم می شوند که به شکل زیر هستند :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. White-Box Hacking در این نوع حمله متقاضی حمله اطلاعات کاملی از سیستم را در اختیار نفوذ کننده قرار می دهد.
  2. Gray-Box Hacking در این نوع حمله متقاضی حمله اطلاعات نسبتا مناسبی برای انجام حمله در اختیار نفوذ کننده قرار می دهد.
  3. Black-Box Hacking در این نوع حمله هیچگونه اطلاعاتی به تیم تست نفوذ سنجی یا مهاجمان قرار داده نمی شود.

طبیعتا در قراردادهای تست های نفوذ سنجی با دقت تمام این جزئیات باید تشریح شوند و در اختیار طرفین قرارداد قرار بگیرند ، هر چند در ایران تست های نفوذسنجی با این دقت به ندرت پیدا می شوند و اکثر مواردیکه شاهد تست هستیم در واقع ارزیابی آسیب پذیریها یا همان Vulnerability Assessment با ابزارهای اسکنر انجام می شود و خروجی ترجمه و تحویل می شود.

  • تفاوت انواع تست نفوذ در چیست؟

    بصورت کلی تست نفوذ بر اساس میزان اطلاعاتی که به نفوذگر داده می شود طبقه بندی می شود ، از این لحاظ اگر هیچ اطلاعاتی به هکر داده نشود ، تست نفوذ جعبه سیاه ، اگر به عنوان یک کاربر عادی اطلاعات داده شود به عنوان تست نفوذ جعبه خاکستری و اگر اطلاعات کامل و جامعی در مورد هدف ارائه شود به عنوان تست نفوذ جعبه سفید نام برده می شود
  • چه نوع تست نفوذی بیشترین اطلاعات را به نفوذگر می دهد؟

    تست نفوذ جعبه سفید حتی نقشه شبکه ، سرویس ها و اطلاعات حیاتی و بعضا سورس کدها را نیز در اختیار نفوذگر قرار می دهد

محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات