یك تست نفوذ یا Penetration Test یك پروسه مجاز، برنامه ریزی شده و سیستماتیك برای به كارگیری آسیب پذیری ها جهت نفوذ به سرور، شبكه و یا منابع برنامه های كاربردی است. در واقع تست نفوذ روشی برای ارزیابی امنیتی یك سیستم یا شبكه كامپیوتری است كه از طریق شبیه سازی حمله یك هكر یا نفوذگر خرابكار صورت می گیرد. پروسه تست نفوذ یك تحلیل فعال از سیستم برای یافتن هر حفره، آسیب پذیری و نقص فنی است كه بالقوه یك ضعف امنیتی سیستم محسوب می شود. این تحلیل در مقام یك هكر بالقوه انجام می شود و در آن می توان از آسیب پذیری های امنیتی فعال برای اجرای حملات استفاده كرد. همه مشكلات امنیتی باید همراه با ارزیابی میزان اهمیت آنها و همچنین پیشنهاد هایی برای كاهش اثر خطرات و یا راه حل های فنی به صاحب سیستم ارائه شوند. تست نفوذ می تواند با استفاده از منابع داخلی همچون سیستم امنیتی میزبان و یا منابع خارجی همچون اتصالات شركت به اینترنت هدایت شود. در این تست معمولاً از یك سری ابزارهای اتوماتیك و یا دستی برای آزمودن منابع سیستم استفاده می شود.

البته انجام تست نفوذ بر روی سیستم های فعال، خطر از هم گسستن آنها را در پی دارد زیرا اجرا كردن حملات فعال بر روی سیستم ممكن است منجر به از كار افتادگی، بروز برخی رفتارهای غیر قابل پیش بینی و بی ثباتی سیستم شود.
تست نفوذ چه چیزی نیست؟

یك اقدام هماهنگ نشده برای دسترسی بدون اجازه به منابع را نمی توان یك تست نفوذ دانست. تست نفوذ باید به صورت برنامه ریزی شده و هماهنگ با صاحبان سیستم انجام شود. كمترین تأثیر تست نفوذ بر سیستم، ایجاد هشدارهایی بر روی سیستم تشخیص نفوذ یا IDS (در صورت وجود) است. به علاوه برخی تست ها منجر به از كار افتادن تجهیزات شبكه یا سیستم می شوند و به همین علت آگاهی مدیران و كارمندان از انجام تست نفوذ یك ضرورت به حساب می آید. تنها مورد استثناء در آگاهی دادن كامل به كارمندان، مربوط به تست سیستم تشخیص نفوذ و عكس العمل كارمندان در برابر آن است. بنابراین گرفتن مجوز از مدیریت برای انجام تست نفوذ جهت پذیرش پیامدهای آن، ضروری محسوب می شود.

....