هک وب، حمله به نرم ‌افزار از طریق HTTP با استفاده از برنامه ‌هایی مثل مرورگر کروم، دست کاری در رابط کاربری یا دستکاری عناصر HTTP غیرموجود در رابط کاربری است.

 مراحل مختلف هک اخلاقی
برای یافتن و بهره ‌برداری کامل از نقاط ضعف سیستم، کار و پشت کار زیادی لازم است. بد نیست این را هم به خاطر بسپارید که هکر های کلاه سیاه در دنیای واقعی همیشه

روش ‌های تازه ‌ای برای حمله به نقاط ضعف ارائه می‌ دهند.

مراحل فرآیند هک اخلاقی به مقابله پشت سر هم با تهدیدات امنیتی و شناسایی دقیق آسیب ‌های ناشی از وکتور حمله کمک می ‌کند.

با این که ترتیب این مراحل استاندارد خاصی ندارد، اما معمولا هر هکر اخلاقی مراحل زیر را برای شناسایی نقاط ضعف و تهدید ها طی می ‌کند:

شناسایی
هکر های اخلاقی ردی از سیستم را می‌گیرند تا قبل از شروع تست نفوذ، تا حد امکان اطلاعات بیشتری به دست بیاورند.

هکر درخواست ‌های سازمان را در حین نظارت ثبت می ‌کند، اطلاعات ورود به سیستم را جمع آوری می ‌کند و برای درک سیستم اسکن شبکه انجام می ‌دهد.

معمولا حملات موفقیت ‌آمیز نتیجه نقاط ضعف جدی است:

توافقنامه ‌های نام گذاری
سرویس های روی شبکه
سرور هایی که بار های کاری را در شبکه مدیریت می ‌کنند
آدرس ‌های IP
نام و اطلاعات ورود
موقعیت فیزیکی دستگاه مورد نظر
 

اسکن
هکر اخلاقی سیستم ‌ها را از نظر نقاط ضعف بررسی می ‌کند. فناوری‌ های اسکن خودکار داده ‌ها را از تمام کامپیوتر های شبکه، کاربران و سرویس ها می ‌گیرند. سه نوع اسکن اغلب در تست نفوذ استفاده می ‌شود:

نقشه‌ برداری یا نگاشت شبکه

توپولوژی شبکه شامل جزئیاتی مثل اطلاعات میزبان، سرور ها، روتر ها و فایروال ‌های داخل شبکه میزبان در این مرحله بررسی می ‌شود. برای موفقیت ‌آمیز بودن هک اخلاقی، این متخصصان باید طرح ‌بندی شبکه را درک کنند.

اسکن پورت

هکر های اخلاقی از ابزار های خودکار برای شناسایی هر پورت شبکه باز استفاده می ‌کنند. این کار به شناسایی بهتر سرویس ‌ها و سیستم‌ های زنده در یک شبکه و نحوه اتصال به آن ها تبدیل می‌ کند.

اسکن نقاط ضعف

ابزار های خودکار برای یافتن نقایص امنیتی استفاده می ‌شوند که می‌ توانند برای انجام حملات مورد سوء ‌استفاده قرار گیرند. در واقع ابزار های زیادی وجود دارد. با این حال، چند مورد هستند که بیشتر در مرحله اسکن هک اخلاقی استفاده می ‌شوند.

3- افزایش دسترسی
هکر های اخلاقی به دنبال سوء استفاده از نقاط ضعف برای دسترسی ادمین ها در این مرحله هستند.

این عمل تلاش برای انتقال یک پی لود مخرب به برنامه در سراسر شبکه، یک زیر شبکه مجاور، یا استفاده مستقیم از یک دستگاه است.

برای شبیه‌ سازی تلاش برای دسترسی غیر مجاز، هکر ها اغلب از این تاکتیک‌ های هک استفاده می ‌کنند:

سرریز های بافر
فیشینگ
حملات تزریقی
پردازش موجودیت خارجی XML
استفاده از کامپوننت هایی با نقاط ضعف شناخته‌ شده
در صورت موفقیت ‌آمیز بودن حملات، هکر کنترل کامل یا جزئی سیستم را در اختیار خواهد داشت و می ‌تواند حملات بیشتری مثل نشت ‌داده ها و حملات محروم ‌سازی از سرویس توزیع ‌شده (DDoS) را انجام بدهد.

شما می ‌توانید با مطالعه هک وب برای مبتدیان در مورد تکنیک ‌های نفوذی که گفته شد، اطلاعات بیشتری کسب کنید.