Penetration Testing, מושגי בדיקות חדירה

📚 אבטחת מידע עם Claude ⏱️ 13 דק׳ 🎓 מתקדם ✓ חינם לגמרי
Penetration Testing, מושגי בדיקות חדירה

למה Penetration Testing חשוב יותר מאי פעם, ב-2026

ב-2021 חברת Israeli healthtech גילתה שמשתמש רגיל יכול לגשת לתוצאות בדיקות דם של כל אחד אחר על ידי שינוי מספר אחד ב-URL. הסריקה האוטומטית לא מצאה את זה. Pentester שחשב כמו תוקף, כן. זו בדיוק הנקודה: כלים אוטומטיים מוצאים מה שהם מתוכנתים לחפש. בני אדם מוצאים את מה שהמתכנן לא חשב עליו.

Anthropic עצמה הכירה בחשיבות הנושא: ב-אפריל 2026 פתחה את Project Glasswing, שבו Claude Mythos Preview משמש לביצוע pentest מורשה על מערכות קריטיות. ישראל היא שחקנית מרכזית בעולם: 32% מ-150 החברות הסייבר החדשניות בעולם הן ישראליות, ותמימות הגיוס לתפקידי אבטחה בסטארטאפים בת"א מחייבת הבנה בסיסית של מתודולוגיה. שיעור זה לא מלמד לתקוף, מלמד לחשוב כמו תוקף כדי להגן טוב יותר.

אזהרה חוקית: Penetration Testing ללא הרשאה מפורשת בכתב הוא עברה פלילית בישראל (חוק המחשבים, 1995) ובכל מדינה בעולם. השיעור הזה עוסק אך ורק בגישה הגנתית, כיצד להבין, להזמין, לקרוא ולפעול על בסיס pentest report.

מתודולוגיה, PTES ו-OWASP WSTG

שני הסטנדרטים הנפוצים ביותר:

ההבדל בין סוגי הבדיקה:

סוגמה הבודק יודעמתי מתאים
Black Boxכלום, כמו תוקף חיצוניבדיקת exposure חיצוני, לפני launch
Gray Boxמידע חלקי (user account, API docs)הכי נפוץ ב-web apps
White Boxגישה מלאה לקוד ולארכיטקטורהcode audit, compliance, לפני M&A

Claude כ-Study Partner וכ-Report Analyst

מחקר השוואתי שפורסם ב-2025 (arXiv 2501.06963) מצא ש-Claude Opus ביצע consistently better מ-GPT-4 ו-Copilot בכל שלבי PTES בסביבה מבוקרת, במיוחד בשלבי הניתוח, הדיווח והמסלול לתיקון. Claude לא יוצר exploit code למערכות לא מורשות, אבל הוא כלי חזק ביותר לשלושה תרחישים:

  1. ניתוח pentest report: הדבקת ממצאים, קבלת triage לפי חומרה, business impact ו-remediation plan
  2. בניית checklist בדיקה: לפי OWASP WSTG לפי ה-tech stack שלך
  3. Root Cause Analysis: זיהוי pattern ארכיטקטוני משותף ל-10 ממצאים שנראים שונים

דוגמה לפרומפט יעיל לניתוח report:

איך לעשות penetration testing?
אני מנהל אבטחה שמקבל pentest report על Web API Node.js. הנה 5 ממצאים מהreport. עבור כל ממצא: (1) סווג לפי חומרה CRITICAL/HIGH/MEDIUM/LOW, (2) הסבר את ה-business impact בשפה עסקית לא טכנית, (3) הצע remediation ספציפי עם קוד דוגמה ב-Node.js, (4) הגדר acceptance criteria לאימות שהתיקון עבד, (5) כתוב regression test שימנע חזרה. בסוף זהה אם יש root cause משותף שסוגר מספר ממצאים בבת אחת.

ממצאים נפוצים ואיך לתקן, הדוגמה הישראלית

סטארטאפ SaaS ישראלי בת"א עם 50 עובדים. הם שכרו pentest לפני Series A. ה-pentester מצא IDOR (Insecure Direct Object Reference) על endpoint אחד: כל משתמש מחובר יכול לגשת לנתוני חשבון של כל לקוח אחר על ידי שינוי ה-account_id ב-URL. ה-impact: חשיפת כל נתוני הלקוחות, GDPR violation, ואיום ישיר על ה-due diligence של ה-Series A.

הפרומפט שנתנו ל-Claude:

ממצא מpentest report: IDOR על /api/v1/accounts/{account_id}/data
משתמש מחובר יכול לגשת לחשבון של כל לקוח אחר.
ספק: remediation לNode.js/Express, acceptance criteria, ו-unit tests.

Claude החזיר authorization middleware, 3 unit tests (A מנסה לגשת ל-B, 403, A ניגש לשלו, 200, admin ניגש לכל, 200), ופוינטר לבדיקת IDOR בכל endpoints האחרים.

טעויות נפוצות, ומה לעשות במקום

Black Box הוא ניתוח קוד, White Box הוא ניתוח תוצאות בלבד
Black Box = ללא גישה לקוד כמו תוקף חיצוני; White Box = גישה מלאה לקוד ולארכיטקטורה
Black Box הוא מהיר אבל שטחי; White Box היחיד שמוצא bugs אמיתיים
Black Box = בדיקה מחוץ לרשת; White Box = בדיקה מבפנים בלבד

Responsible Disclosure, הכללים שמגנים עליך

מצאת פגיעות במוצר של חברה אחרת? הנוהל המקובל:

  1. תיעוד מלא: צילומי מסך, בקשות HTTP, תנאי שחזור
  2. יצירת קשר פרטית: דרך security@company.com או security.txt
  3. 90 ימים לתיקון: זהו הסטנדרט של Project Zero של Google ושל CVD (Coordinated Vulnerability Disclosure)
  4. פרסום אחרי תיקון: או אחרי 90 יום גם אם לא תוקן, עם הגנה משפטית מקדימה

בישראל: Bug Bounty programs של חברות ישראליות כמו Wix, Monday.com, Fiverr מאפשרות לחקור ולדווח בצורה מוגנת.

טיפ מתקדם, Root Cause Analysis עם Claude

בעת קבלת pentest report, בקש מ-Claude לבצע root cause analysis: "הנה 5 ממצאים מ-pentest report שלנו. עבור כל אחד, זהה את ה-root cause הארכיטקטוני, לא רק התיקון הספציפי. האם יש pattern משותף? מה השינוי הארכיטקטוני שיסגור את כל הממצאים בבת אחת?" לעיתים קרובות 10 ממצאים שנראים שונים הם סימפטומים של בעיה ארכיטקטונית אחת, כמו היעדר authorization middleware גלובלי.

מקורות: OWASP WSTG | PTES | Anthropic Cyber Safeguards | Project Glasswing

רוצה ללמוד עם מעקב התקדמות, קוויזים ותעודה?

כל 130 השיעורים פתוחים בחינם, כולל נגן אינטראקטיבי, שמירת התקדמות ותעודה דיגיטלית בסיום.