BugHunters Companies Targets Bug Reports Blog About
فا
BugHuntersCompaniesTargetsBug ReportsAbout
فاLogin Sign Up
This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
تجربیات و نکات تست نفوذ؛ با مجید موسوی

تجربیات و نکات تست نفوذ؛ با مجید موسوی

18

در این بلاگ‌پست، به سراغ یک متخصص تست نفوذ در دنیای امنیت سایبری رفته‌ایم تا با او گپ‌وگفت کوتاهی درباره‌ی تجربیاتش در تست نفوذ داشته باشیم؛ مجید موسوی 

مجید، اهل تهران و ۳۴ ساله است. حدود ۱۰ سال است که در حوزه‌ی تست نفوذ فعالیت می‌کند. کمتر به سراغ باگ بانتی رفته است. تست نفوذ را خیلی گسترده‌تر از باگ بانتی می‌داند و پروژه‌های تیمی تست نفوذ را به پروژه‌های فردی ترجیح می‌دهد. در تجربه‌ی خود بیشتر شاهد وجود آسیب پذیری های Business logic در سامانه‌ی کسب‌وکارها بوده‌است.

_ از نگاه شما، باگ بانتی و تست نفوذ چه تفاوت‌هایی دارند؟ 

به نظر من باگ بانتی (Bug Bounty) را می‌توان به‌نوعی بخشی از تست نفوذ (Penetration Testing) در نظر گرفت، اما تفاوت‌هایی هم دارند. باگ بانتی را می‌توان مکمل تست نفوذ دانست. معمولاً سازمان‌ها ابتدا تست نفوذ را انجام می‌دهند و سپس با برنامه‌های باگ بانتی، امنیت سیستم خود را به چالش می‌کشند. 

به نظر من، تست نفوذ بسیار گسترده‌تر از باگ بانتی است و نیاز به صبر، حوصله و تخصص بیشتری دارد. علاوه بر این، تجربه نقش مهمی را در آن ایفا می‌کند. دانش فنی هم بسیار تأثیرگذار است؛ اینکه چه‌قدر دید داشته باشی و بتوانی تست نفوذ را به‌درستی انجام بدهی. 

_ پروژه‌های تست نفوذی که تجربه کرده‌ای، بیشتر به‌صورت فردی بوده‌اند یا تیمی؟ 

من هم تجربه‌ی کار فردی دارم و هم کار تیمی؛ ولی قطعاً پروژه‌های تیمی را ترجیح می‌دهم. چون وقتی یک تیم متخصص دور هم جمع می‌شوند، دیدگاه‌های متفاوتی روی یک پروژه اعمال می‌شود. ممکن است من در یک بخش تجربه‌ی کافی نداشته باشم، اما فرد دیگری در تیم بتواند آن را پوشش دهد. این همکاری باعث می‌شود که سامانه به‌طور جامع‌تری تست شود. البته چالش‌هایی در کار تیمی وجود دارد، اما در نهایت باعث رشد و هم‌افزایی می‌شود. 

_ به نظر شما، چه چیزی یک تست نفوذ خوب را از یک تست نفوذ بد متمایز می‌کند؟ 

به نظر من یک تست نفوذ خوب یعنی تست نفوذی که منجر به شناسایی حداکثری آسیب‌پذیری‌های یک سامانه شود. اگر تست نفوذ فقط متکی به ابزار باشد و بررسی دستی انجام نشود، قطعاً برخی موارد از قلم می‌افتند. ابزارها مفیدند، اما همه چیز را پیدا نمی‌کنند. تست نفوذ حرفه‌ای یعنی ترکیب ابزار و تحلیل دستی برای پوشش حداکثری آسیب‌پذیری‌ها. 

_ آیا تابه‌حال در بین کسب‌وکارها، شاهد نگاه نادرستی نسبت به تست نفوذ بوده‌ای؟ 

بله، هنوز هم تصور برخی افراد از تست نفوذ این است که یک هکر نشسته است و دارد سامانه‌شان را هک می‌کند! در حالی که تست نفوذ یک فرآیند قانونی و منطقی است که بر اساس توافق دو طرف انجام می‌شود. هدف این است که سازمان‌ها از ضعف‌های امنیتی‌شان آگاه شوند و آن‌ها را برطرف کنند تا جلوی حملات واقعی گرفته شود. 

پیشنهاد خواندنی: SDLC (چرخه‌ی عمر توسعه نرم افزار) چیست؟ 

باگ بانتی چگونه متناسب با SDLC عمل می‌کند؟ 

_ چه نکاتی درباره تست نفوذ وجود دارد که کسب‌وکارها کمتر به آن توجه می‌کنند؟ 

خیلی از کسب‌وکارها وقتی محصولشان آماده‌ی انتشار است، تازه به فکر امنیت می‌افتند. در حالی که امنیت باید از همان مراحل ابتدایی توسعه در نظر گرفته شود. منظورم استفاده از SDLC است، یعنی؛ از لحظه‌ی طراحی تا زمان لانچ و حتی بعد از آن، امنیت باید بخشی از فرآیند توسعه باشد. همچنین، قبل از انتشار محصول، انجام مجدد تست نفوذ ضروری است تا نقاط ضعف احتمالی برطرف شوند. 

_ در تجربه‌ی شما، چه نقاطی از کسب‌وکارها بیشتر آسیب‌پذیر بوده‌اند؟ 

بیشتر سامانه‌هایی که تست کرده‌ام، آسیب‌پذیری‌های Business logic زیادی داشته‌اند. این موضوع را سایر متخصصین امنیتی هم تأیید می‌کنند. کسب‌وکارها باید روی این نوع آسیب‌پذیری‌ها هم تمرکز کنند تا جلوی تهدیدهای احتمالی را بگیرند. 

_ پیشنهادی برای کسانی که به‌تازگی وارد دنیای امنیت سایبری شده‌اند، داری؟ 

برای کسانی که تازه شروع کرده‌اند، پیشنهاد می‌کنم از دوره‌های آموزشی رایگان و غیررایگان موجود در اینترنت استفاده کنند. این ویدئوهای آموزشی می‌توانند دید وسیعی به آن‌ها بدهند. همچنین، آزمایشگاه‌های تست نفوذ زیادی برای تمرین وجود دارند. افراد می‌توانند در پلتفرم‌هایی مثل راورو تمرین کنند و آسیب‌پذیری‌های مختلف را ثبت کنند. اگر هم در ابتدا نتیجه‌ای نگرفتند، ناامید نشوند. 

علاقه‌مندان به باگ بانتی هم بهتر است در رویدادهایی مثل «باگ پارتی» شرکت کنند. این رویدادها فرصت خوبی برای سنجش توانایی‌ها و یادگیری بیشتر هستند. 

آرزوی شما برای آینده‌ی امنیت سایبری چیست؟ 

امیدوارم که کسب‌وکارها نسبت به امنیت سایبری دید بازتری پیدا کنند و مقاومتشان را کنار بگذارند. متخصصین زیادی در این حوزه فعالیت می‌کنند و دانش ارزشمندی دارند. اگر شرکت‌ها از پتانسیل این افراد استفاده کنند، قطعاً تجربه‌ای بهتر و امن‌تر خواهند داشت. 

_ ما هم امیدواریم که ارزش خرد جمعی، بیشتر توسط کسب و کارها درک و مورداستفاده واقع شود. ممنون که وقتت را در اختیار ما قرار دادی و تجربه هایت در خصوص تست نفوذ را به اشتراک گذاشتی. 

بلاگ‌پست‌های مرتبط: 

چک لیست قبل از تست نفوذ 

تجربیات و نکات تست نفوذ؛ با رامین اسدیان 

تجربیات و نکات تست نفوذ؛ با علی فیروزی 

تجربیات و نکات تست نفوذ؛ با بهراد رضایی

Ravro

"Ravro" is a Kurdish word that means professional hunter.
We, in Ravro, try to provide the best cybersecurity solutions for businesses in order to decrease their cybersecurity challenges especially weaknesses. Ravro tries to make communication between BugHunters & Businesses easier for a safer future.

Subscription

To receive latest Ravro's newsletter

Links
BugHunter
Company
Be Secure ;)© All Rights Reserved.