🛡️ما هو الفرق بين Pen Testing & Bug Bounty ؟..🧑💻
🟢 ال Bug bounty:
يعرف باللغة العربية بمكافأة كشف الثغرات، وهي عباره صفقه يعرضها الكثير من الشركات الكبرى ليحصل من خلالها مكتشفين الثغرات على مكافآت مالية بسبب اكتشافهم لهذه الثغرات الأمنية والتبليغ عنها.
وتمكن هذه الصفقات المطوريين من اكتشاف الثغرات قبل معرفة الشركة بها مما يساعد في تجنب إساءة استغلالها، وعلى رأس تلك الشركات: Google, twitter . Apple, Microsoft, وغيرهم.
📍فمن هم صائدين الثغرات؟
هم الهكر الأخلاقي أو المخترق ذو القبعه البيضاء.
📍أنواع الثغرات:
SSRF , IDOR, XSS, SQL injection والكثير..
🟢 ال Penetration testing (pentesting)
وهو يعرف باللغة العربية بإختبار الاختراق، أحد الأساليب المستخدمه في إكتشاف الثغرات أو نقاط الضعف الأمنية المحتملة والموجودة في أنظمة الحاسوب أو الشبكات أو التطبيقات الإلكترونية والتي قد يتم استغلالها للإختراق.
📍كيف يتم هذا الاختبار :
ببساطة تقوم الشركة بالإتفاق مع أحـد المخترقيين الأخلاقيين ليقوم بفحص مستوى الحماية واكتشاف الثغرات ونقاط الضعف التي قد تشكل خطورة على الشركة ويقدم بعد الانتهاء من عمله تقرير مفصل عن أماكن نقاط الضعف والثغرات التي وجدها بالاضافة الى الأسباب واقتراح الحلول المناسبة لها.
📍لماذا يتم هذا الاختبار:
لأن هذه الطريقة أثبتت بأنها أكثر الطرق فعالية للحماية لأن المخترق سيستخدم نفس الأساليب والأدوات التي يستخدمها المخترقين.
📍أنواع اختبارات الإختراق:
1️⃣اختبار اختراق الهندسة الاجتماعية.
2️⃣اختبار اختراق تطبيقات.
3️⃣اختبار اختراق تطبيقات الويب.
4️⃣اختبار اختراق الشبكة.
📍أفضل أدوات اختبار الاختراق :
Wireshark, HashCat, Nmap, Metasploit, BurpSuite, SQLmap