OnWorks Linux و Windows Online WorkStations

الشعار

استضافة مجانية على الإنترنت لمحطات العمل

<السابق | المحتويات | التالي>

11.2. أنواع التقييمات‌


الآن بعد أن تأكدت من أن بيئة Kali الخاصة بك جاهزة ، فإن الخطوة التالية هي تحديد نوع التقييم الذي تجريه بالضبط. على أعلى مستوى ، قد نصف أربعة أنواع من التقييمات: أ تقييم الضعفأو المعلم اختبار التوافقأو المعلم اختبار الاختراق التقليدي، وعلى تقييم التطبيق. قد تتضمن المشاركة عناصر مختلفة من كل نوع من أنواع التقييم ، ولكن يجدر وصفها ببعض التفاصيل وشرح مدى ملاءمتها لبناء Kali Linux وبيئته.

قبل الخوض في الأنواع المختلفة من التقييمات ، من المهم ملاحظة الفرق بين الثغرة الأمنية وبرمجيات إكسبلويت.

A الضعف يُعرَّف بأنه عيب ، عند الاستفادة منه ، سيؤثر على السرية ، أو النزاهة ، أو توفر نظام المعلومات. توجد أنواع مختلفة من الثغرات التي يمكن مواجهتها ، بما في ذلك:

• تضمين الملف: ثغرات تضمين الملف1 في تطبيقات الويب تسمح لك تتضمن محتويات ملف محلي أو بعيد في حساب البرنامج. على سبيل المثال ، قد يحتوي تطبيق الويب على وظيفة "رسالة اليوم" التي تقرأ محتويات الملف وتضمينه في صفحة الويب لعرضه على المستخدم. عندما تتم برمجة هذا النوع من الميزات بشكل غير صحيح ، يمكن أن يسمح للمهاجمين بتعديل طلب الويب الخاص بهم لإجبار الموقع على تضمين محتويات ملف من اختيارهم.

• حقن SQL: حقن SQL2 الهجوم هو أحد الإجراءات التي يتم فيها تجاوز إجراءات التحقق من صحة الإدخال للبرنامج ، مما يسمح للمهاجمين بتوفير أوامر SQL للبرنامج المستهدف ليتم تنفيذها. هذا شكل من أشكال تنفيذ الأوامر يمكن أن يؤدي إلى مشاكل أمنية محتملة.

• تجاوز سعة المخزن المؤقت: تجاوز المخزن المؤقت3 هي ثغرة أمنية تتجاوز روتين التحقق من صحة الإدخال لكتابة البيانات في ذاكرة المخزن المؤقت المجاورة. في بعض الحالات ، قد يكون موقع الذاكرة المجاورة هذا أمرًا بالغ الأهمية لتشغيل البرنامج المستهدف ويمكن الحصول على التحكم في تنفيذ التعليمات البرمجية من خلال المعالجة الدقيقة لبيانات الذاكرة المكتوبة.

• شروط السباق: شرط السباق4 هي ثغرة أمنية تستفيد من تبعات التوقيت في البرنامج. في بعض الحالات ، يعتمد سير عمل البرنامج على سلسلة محددة من الأحداث التي ستحدث. إذا كان بإمكانك تغيير تسلسل الأحداث هذا ، فقد يؤدي ذلك إلى وجود ثغرة أمنية.

An استغلالمن ناحية أخرى ، هي البرامج التي ، عند استخدامها ، تستفيد من ضعف محدد ، على الرغم من أنه ليست كل الثغرات الأمنية قابلة للاستغلال. نظرًا لأن استغلال الثغرات يجب أن يغير العملية الجارية ، مما يجبرها على اتخاذ إجراء غير مقصود ، يمكن أن يكون إنشاء برمجيات إكسبلويت معقدًا. علاوة على ذلك ، هناك عدد من تقنيات مكافحة الاستغلال في منصات الحوسبة الحديثة التي تم استخدامها


صورة

1https://en.wikipedia.org/wiki/File_inclusion_vulnerability 2https://en.wikipedia.org/wiki/SQL_injection 3https://en.wikipedia.org/wiki/Buffer_overflow 4https://en.wikipedia.org/wiki/Race_condition‌‌‌

تم تصميمه لزيادة صعوبة استغلال الثغرات الأمنية ، مثل منع تنفيذ البيانات5 (DEP) والعشوائية تخطيط مساحة العنوان6 (ASLR). ومع ذلك ، لمجرد عدم وجود برمجيات إكسبلويت معروفة علنًا لثغرة أمنية معينة ، فهذا لا يعني عدم وجودها (أو أنه لا يمكن إنشاؤها). على سبيل المثال ، تبيع العديد من المؤسسات برمجيات إكسبلويت التجارية التي لم يتم الإعلان عنها مطلقًا ، لذلك يجب التعامل مع جميع الثغرات على أنها قابلة للاستغلال.


 

تقييم الثغرات الأمنيةمحتمل الحدوثالتأثيرالمخاطر الشاملةباختصاراختبار الاختراق الامتثالاختبار الاختراق التقليديتقييم التطبيق

  

 

<السابق | المحتويات | التالي>

  

أفضل الحوسبة السحابية لنظام التشغيل في OnWorks: