OnWorks Linux و Windows Online WorkStations

الشعار

استضافة مجانية على الإنترنت لمحطات العمل

<السابق | المحتويات | التالي>

11.2.4. تقييم التطبيق‌


في حين أن معظم التقييمات لها نطاق واسع ، فإن تقييم التطبيق هو تخصص يركز بشدة على تطبيق واحد. أصبحت هذه الأنواع من التقييمات أكثر شيوعًا بسبب تعقيد التطبيقات ذات المهام الحرجة التي تستخدمها المؤسسات ، وكثير منها مبني داخليًا. عادة ما يتم إضافة تقييم التطبيق إلى تقييم أوسع ، كما هو مطلوب. تشمل الطلبات التي يمكن تقييمها بهذه الطريقة ، على سبيل المثال لا الحصر:

• تطبيقات الويب: سطح الهجوم الخارجي الأكثر شيوعًا ، تجعل تطبيقات الويب أهدافًا رائعة لمجرد أنه يمكن الوصول إليها. في كثير من الأحيان ، ستجد التقييمات القياسية مشكلات أساسية في تطبيقات الويب ، ولكن غالبًا ما تستحق المراجعة الأكثر تركيزًا الوقت لتحديد المشكلات المتعلقة بسير عمل التطبيق. ال كالي لينكس ويب تحتوي الحزمة الوصفية على عدد من الأدوات للمساعدة في هذه التقييمات.

• تطبيقات سطح المكتب المجمعة: برنامج الخادم ليس الهدف الوحيد ؛ تشكل تطبيقات سطح المكتب أيضًا سطح هجوم رائع. في السنوات الماضية ، ظهرت العديد من تطبيقات سطح المكتب مثل


صورة

21http://docs.kali.org/kali-dojo/02-mastering-live-build 22https://www.offensive-security.com/kali-linux/kali-rolling-iso-of-doom/ 23http://docs.kali.org/development/live-build-a-custom-kali-iso 24https://www.offensive-security.com/kali-linux/kali-linux-recipes/‌‌‌

كانت برامج قراءة ملفات PDF أو برامج الفيديو على شبكة الإنترنت مستهدفة بشكل كبير ، مما أجبرهم على النضوج. ومع ذلك ، لا يزال هناك عدد كبير من تطبيقات سطح المكتب التي تمثل ثروة من نقاط الضعف عند مراجعتها بشكل صحيح.


• تطبيقات الهاتف المحمول: نظرًا لأن الأجهزة المحمولة أصبحت أكثر شيوعًا ، ستصبح تطبيقات الهاتف المحمول بمثابة سطح هجوم قياسي في العديد من التقييمات. هذا هدف سريع الحركة والمنهجيات لا تزال تنضج في هذا المجال ، مما يؤدي إلى تطورات جديدة عمليًا كل أسبوع. يمكن العثور على الأدوات المتعلقة بتحليل تطبيقات الهاتف المحمول في الهندسة العكسية فئة القائمة.


يمكن إجراء تقييمات التطبيق بعدة طرق مختلفة. وكمثال بسيط ، يمكن تشغيل أداة آلية خاصة بالتطبيق مقابل التطبيق في محاولة لتحديد المشكلات المحتملة. ستستخدم هذه الأدوات منطقًا خاصًا بالتطبيق في محاولة لتحديد المشكلات غير المعروفة بدلاً من الاعتماد فقط على مجموعة من التواقيع المعروفة. يجب أن تحتوي هذه الأدوات على فهم داخلي لسلوك التطبيق. ومن الأمثلة الشائعة على ذلك ماسح ضوئي لنقاط الضعف في تطبيقات الويب مثل Burp Suite25، موجه ضد تطبيق يحدد أولاً حقول الإدخال المختلفة ثم يرسل هجمات حقن SQL الشائعة إلى هذه الحقول أثناء مراقبة استجابة التطبيق بحثًا عن مؤشرات على هجوم ناجح.

في سيناريو أكثر تعقيدًا ، يمكن إجراء تقييم التطبيق بشكل تفاعلي في أي من

الصندوق الأسود أو المربع الأبيض بطريقة.


• تقييم الصندوق الأسود: تتفاعل الأداة (أو المقيِّم) مع التطبيق بدون معرفة خاصة أو إمكانية وصول تتجاوز تلك الخاصة بالمستخدم القياسي. على سبيل المثال ، في حالة تطبيق الويب ، قد يتمكن المقيم فقط من الوصول إلى الوظائف والميزات المتاحة لمستخدم لم يقم بتسجيل الدخول إلى النظام. أي حسابات مستخدمين ستكون حسابات يمكن للمستخدم العام التسجيل فيها بنفسه. سيؤدي هذا إلى منع المهاجم من القدرة على مراجعة أي وظيفة متاحة فقط للمستخدمين الذين يحتاجون إلى إنشائها من قبل المسؤول.


• تقييم الصندوق الأبيض: غالبًا ما تتمتع الأداة (أو المقيم) بإمكانية الوصول الكامل إلى التعليمات البرمجية المصدر ، والوصول الإداري إلى النظام الأساسي الذي يقوم بتشغيل التطبيق ، وما إلى ذلك. يضمن ذلك اكتمال مراجعة كاملة وشاملة لجميع وظائف التطبيق ، بغض النظر عن مكان وجود هذه الوظيفة في التطبيق. والمفاضلة مع ذلك هي أن التقييم ليس بأي حال من الأحوال محاكاة لنشاط ضار فعلي.


من الواضح أن هناك ظلال رمادية بينهما. عادةً ما يكون العامل الحاسم هو هدف التقييم. إذا كان الهدف هو تحديد ما سيحدث في حالة تعرض التطبيق لهجوم خارجي مركز ، فمن المرجح أن يكون تقييم الصندوق الأسود هو الأفضل. إذا كان الهدف هو تحديد أكبر عدد ممكن من مشكلات الأمان والتخلص منها في فترة زمنية قصيرة نسبيًا ، فقد يكون نهج الصندوق الأبيض أكثر كفاءة.



صورة

25 https: //portswigger.net/burp/

في حالات أخرى ، يمكن اتباع نهج مختلط حيث لا يمتلك المقيم وصولاً كاملاً إلى التعليمات البرمجية المصدر للتطبيق للنظام الأساسي الذي يقوم بتشغيل التطبيق ، ولكن يتم توفير حسابات المستخدمين من قبل المسؤول للسماح بالوصول إلى أكبر قدر ممكن من وظائف التطبيق.

Kali هي منصة مثالية لجميع أنواع تقييمات التطبيق. عند التثبيت الافتراضي ، تتوفر مجموعة مختلفة من الماسحات الضوئية الخاصة بالتطبيقات. لمزيد من التقييمات المتقدمة ، توجد مجموعة من الأدوات ومحرري المصادر وبيئات البرمجة النصية. قد تجد تطبيق الويب26 والهندسة العكسية27 أقسام أدوات كالي28 موقع مفيد.


  

 

<السابق | المحتويات | التالي>

  

أفضل الحوسبة السحابية لنظام التشغيل في OnWorks: