مرحله اول: تست نفوذ پذیری در این مرحله متخصصان امنیت شركت GSI تست هايي را با عنوان “تست نفوذ پذیری” بر سايت و يا روی سرورها و یا شبکه مورد نظر شما انجام میدهند تا مشكلات امنيتي بلقوه شناسايي شود و سپس با ارائه گزارشی از مشكلات امنیتی موجود در برنامه های کاربردی و کد نویسی وب سایت ويا سرور يا شبكه شما را در جریان اين معایب قرار ميدهند .
در زیر توضیحاتی در اینق خصوص اراده شده است. • حملات گذر از کد نويسي شبکه Cross-Site Scripting يك روش حمله است كه سايت را وادار به اجرا اين حمله که بوسيله مهاجم تهيه شده وادار مي کند . كد مخرب معمولاً به صورت JAVA نوشته مي شود اما ممكن است به زبانعاي Flash,Activex,VB يا هر تكنولوژي ديگري که بوسيله مرورگرهاي وب پشتيباني ميگردد نگاشته شود. این نوع حمله خیلی مشابه به حملات تزریق اسکریپت است و در مواقعی اتفاق می افتد که کد اسکریپت توسط صفحات پویای وب سایر سایت ها در مرورگر وب وارد می شود. در این حملات، اکثرا هدف هکر کاربران و ادمین سایت مورد نظر هستند که از طریق گرفتن Cookie یا پسورد Hash شده ادمین سایت می توانند صفحات خود سایت را تغییر دهند. •در این نوع حملات هکر می تواند دستورات خود را ار طریق باگی که در پورتال و صفحه سایت هدف خود پیدا کرده است بر روی سرور آن سایت اجرا نماید. اگر بر روی پورتال و Application های سایت مورد نظر باگی از نوعRemote File Inclusion وجود داشته باشد، هکرهای حرفه ای می توانند با نوشتن Exploit برای این باگ به سرور دسترسی پیدا کنند. در این نوع حملات هکر می تواند دستورات خود را ار طریق باگی که در پورتال و صفحه سایت هدف خود پیدا کرده است بر روی سرور آن سایت اجرا نماید. تقریبا الگوریتم کاری این باگ شبیه به Remote File Inclusion است ولی این باگ خطرناکتر می باشد.
•توسط باگ های Information هکرها به اطلاعات مورد نیاز از سرور و سایت هدف خود دسترسی پیدا می کنند. اطلاعاتی از قبیل محل قرار گرفتن سایت مورد نظر بر روی سرویس دهنده هاست – الگوریتم String ها و Query های نوشته شده در Application های سایت – نسخه های برنامه های مورد استفاده سایت و سرور … که در نهایت تمامی این اطلاعات به هکر در گرفتن دسترسی و نفوذ به سایت و سرور هدف خود کمک می کند و هکرهای حرفه ای می توانند با Exploit کردن بعضی از این باگ ها به دیتابیس سایت هدف خود دسترسی پیدا کنند از طریق روش بسیار خطرناک Sql Injection برنامه کاربردی تحت وب.
•Sql Injection به معنای ترزیق به Sql و روشی هست که ارتباط مستقیم با نقطه ضعف های برنامه نویسی دینامیک که از دیتابیس استفاده می کند دارد. توسط باگ هایی که بر روی صفحات دینامیک وجود دارد هکرها می توانند دستورات خود را در دیتابیس SQL سایت هدف خود تزریق کنند که این دستورات می تواند از ایجاد کاربری با سطح مدیر تا پاک کردن کل دیتابیس باشد. همچنین در بعضی مواقع می توان با دادن String کدی بدون داشتن پسورد اصلی به منوی مدیریت سایت وصل شد. این باگ بخاطر ضعف برنامه نویسی در صفحه Login هست که باید برطرف شود. به غیر از روش های ذکر شده در بالا که روش های مهم در هکینگ هستند و از طریق سرویس وب قابل اجرا هستند، روش های زیر نیز در مراحل تست نفوذ از سوی گروه امنیتی آشیانه بر روی سایت و سرور مذکور چک می شود: