✅ Testiranje penetracije - Celoten vodnik za testiranje penetracije

Uvod v testiranje penetracije

Uvod v testiranje penetracije

Pristop, česar se bomo naučili v tem članku, imenujemo ga preizkušanje penetracije ali prebijanje. Omrežje in spletni vmesnik katere koli organizacije sta glavni dve stvari, ki lahko privedeta do kršitve varnosti v organizaciji. So edina platforma, ki lahko omogoči, da se kibernetski napad izvaja na organizacijo. Da bi zagotovili varno organizacijo ali podjetje, sta to dve bistveni stvari, na katere je treba skrbno paziti.

Ne glede na to, kako varno je bila razvita spletna aplikacija, bo vedno obstajala pomanjkljivost, zaradi katere je kibernetski napad ranljiv. Da bi organizacija bila brez varnostnih vprašanj, mora varnostni strokovnjak te organizacije zelo paziti pri ravnanju z omrežjem podjetja in spletno aplikacijo.

Kadar gre za ravnanje z omrežjem ali spletno aplikacijo katere koli organizacije, je zelo pomembno, da se vsakega vidika varnosti lotimo zelo iskreno. Eden od pristopov za njegovo varno je z uvedbo protivirusnih programov, požarnega zidu, IPS in IDS sistemov in tako naprej. Vloga tamkajšnje programske opreme je zagotoviti, da noben napad ne more škodovati sistemu.

Pri tem pristopu imamo varnostnega strokovnjaka, da poskuša lastiti svoj sistem samo zato, da se prepriča, kako lahko dejanski heker ogrozi naš sistem. Ker to počne z vsem soglasjem lastnika sistema, ga imenujemo tudi etično hekanje.

Kaj je testiranje na penetraciji?

Penetracijsko testiranje se lahko opredeli kot pristop k izkoriščanju sistema s privolitvijo lastnika sistema, da se resnično izpostavi obstoječim ranljivostim. Pri tem pristopu varnostni delavec poskuša sistem vdreti v sistem na vse načine, ki jih lahko heker uporabi za ogrožanje sistema.
Če se to zgodi s privolitvijo lastnika sistema, je lahko odvisno, če želijo notranje etike v sistemu deliti z etičnim hekerjem, ki temelji na vrsti etičnega vdora, ki ga želijo izvesti v svojem sistemu.
Vse tri vrste taksistranja: beli klobuk, sivi klobuk in črni klobuk bi se lahko izvajali na preizkusnem testiranju. Poklicni, ki opravlja pentesting, se imenuje pentesters.
Penetracijsko testiranje se lahko izvaja tako v spletnih aplikacijah kot tudi v omrežju. Etični heker sledi vsem korakom od zbiranja informacij do dejanskega izkoriščanja sistema, da dobi vse možne pomanjkljivosti, ki so lahko šibka točka celotne varnosti sistema.
Glede na to, ali je treba spletno aplikacijo ali omrežje vdreti, so na voljo različna orodja in tehnologije, s katerimi lahko vzamemo prednost. Tudi glede na to, kakšno varnost želi organizacija zagotoviti, je odvisno od tega, kako bo pentester izbral pristop kure. Pentesterja lahko tudi prosijo za življenje ali spletna mesta v premajhni gradnji, da dobijo predstavo o tem, kako se razvija in kako se razvija.

Kako se izvaja preizkušanje penetracije?

Prodorna preizkušnja vključuje odprti pristop, kar pomeni, da se način izvajanja kaznovanja z rokovanjem lahko razlikuje od osebe do osebe. Toda na splošno vsi upokojenci uporabljajo enake pristope ali sledijo istim korakom za izvajanje svojih idej.

Spodaj so navedeni koraki, ki so običajno vključeni v penetracijsko testiranje:

1) Izvid:

Rekonvansiranje se lahko opredeli kot način izvajanja odtisa sistema z iskanjem vseh povezanih podrobnosti cilja.
Vključuje iskanje fizične lokacije cilja, zbiranje informacij o njegovi okolici, iskanje podrobnosti o njem prek družbenih medijev, sodelovanje z ljudmi, ki so zakoniti uporabnik cilja in tako naprej.
Ta korak ima ključno vlogo, saj heker seznani s ciljem.

2) Optično branje: -

Skeniranje, kot navaja ime, je v tem koraku skeniranje cilja, da bi dobili vse tehnične podrobnosti o njem.
To je najpomembnejši korak, saj heker dejansko uporablja tehnične podrobnosti, zbrane v tej fazi.
Skeniranje je treba opraviti zelo previdno na cilju, saj lahko lastnik ali sistemski skrbniki opozorijo, če jih podpirajo pametni programski programi.

3) Dostop do: -

Po opravljenem skeniranju in zbiranju vseh ključnih podrobnosti o sistemu gre za to, kako bi lahko uporabili podrobnosti, da bi vdrli v cilj.
V tej fazi je potrebno vse strokovno znanje hekerja, da se uspešno zaključi.
Pomembno je, da se hekerji zavedajo vseh možnih pristopov za izkoriščanje sistema z uporabo svojega znanja in izkušenj.

4) Vzdrževanje dostopa: -

Po ogrožanju sistema je zdaj na vrsti upravljanje dostopa v cilju brez vednosti skrbnika sistema.
V tej fazi je ustvarjanje zakulisja za reden dostop do cilja.
Heker lahko ustvari zakulisje s pomočjo trojanskih programov, tako da lahko uporabijo tarčo za svoj namen, kadar koli je to potrebno. Medtem ko prebivajo znotraj tarče, je za napadalca zelo pomembno, da ostane skrit, če jih lahko vržete iz tarče.

5) Razmik proge: -

Ko so vse faze dokončane in bo prišlo do čiščenja vseh dokazov, da je napadalec morda zapustil med napadom na sistem, mora napadalec izbrati tehnike za izbris vsega, kar je storil.
To je zadnja faza, saj se po tej fazi penetracijski preskus šteje za zaključen.

Tehnike preizkušanja penetracije

Testiranje penetracije se lahko izvede na različne načine. Dober preizkuševalec penetracije naj bi imel svoje lastne spretnosti, ki jih lahko uporabijo za razbijanje katerega koli sistema. Če gre za tehnike testiranja penetracije, je pregledno vse odvisno od tega, s kakšnim sistemom je treba ogroziti. Če je sistem spletna aplikacija ali je omrežje ali kakšen sistem je, se vsi odločijo, kakšen pristop ali tehniko je treba uporabiti za ogrožanje sistema.

Zelo pomembno je razumeti, da imajo različni sistemi različne specifikacije in da bi jih lahko razbili, potrebuje strokovno znanje o teh specifikacijah. Etični heker ponavadi raje ima seznam vseh ranljivosti, ki lahko obstajajo v sistemu.

Tudi glede na to, ali je treba penetracijsko testiranje opraviti, je SAST ali DAST, ki določa tudi, kakšna tehnika bo sledila etičnemu hekerju. V sistemu SAST je treba preizkus prodora opraviti v lokalnem sistemu, zaradi katerega je varnostnih pregledov manj v primerjavi s sistemom, ki deluje v javnem omrežju.

V nekaterih omrežjih ali spletni aplikaciji, ki jih podpirajo varnostne aplikacije, jih je zelo težko obiti, zaradi česar je zelo težko opraviti testiranje penetracije DAST. Rezultat penetracijskega testiranja se nato predstavi sistemskim administratorjem ali lastnikom sistema, da bi jih odstranili.

Orodja za testiranje penetracije

Za izvajanje testiranja penetracije pentester potrebuje orodja skupaj s tehnikami. Z napredkom tehnologije je bilo razvitih več orodij, ki so dovolj sposobna podpirati etično hekanje in jih je mogoče uporabiti v različnih fazah vdorov.

Spodaj je nekaj pomembnih orodij za testiranje penetracije:

Burpsuite - Burpsuite je mogoče opredeliti kot eno od orožarnih orodij, ki lovijo pakete, ki se iz spletnega brskalnika prenašajo na strežnik. Zavohani paketi se lahko nato spremenijo ali manipulirajo za začetek napada. Vsebuje različne pomembne podatke, ki jih lahko heker uporablja na različne načine za izkoriščanje sistema.
OWASP ZAP - OWASP ZAP pomeni projekt Zed Attack Proxy. Je eden izmed izdelkov OWASP, ki se uporablja za skeniranje ranljivosti v spletni aplikaciji. Obstaja možnost, da spletno aplikacijo pajkate, po kateri se orodja sprehodijo po več straneh, da ugotovijo, kakšne ranljivosti obstajajo v spletni aplikaciji. Velja za eno zelo pomembnih orodij, ko gre za etično krampanje.
Wireshark - Wireshark je mogoče opredeliti kot orodje za vohanje omrežnega prometa, ki lahko zajame mrežni paket, ki teče skozi katero koli omrežje, in pridobi vse podrobnosti, ki jih je izvedel za izkoriščanje sistema. Če kateri izmed uporabnikov opravi kakšno kritično transakcijo, lahko aplikacija Wireshark ujame pakirnika, ki je v transakciji, in odkrije podatke, ki jih nosi na strežniku.
Nexpose - Nexpose je drugo orodje, ki se uporablja za iskanje ali skeniranje ranljivosti katerega koli omrežja. Vodi zemljevid za sistemom, da dobi status vrat in storitev, ki se izvajajo na njem. To je zelo pomembno orodje za odkrivanje obstoječih ranljivosti v omrežju. Poleg tega, da najdete slabost v omrežju, predlaga tudi korake, ki jih je treba upoštevati, da odstranite vse pomanjkljivosti.
Metasploit - Metasploit je vgrajeno orodje v Kali Linux, ki se uporablja za izvajanje dejanskega izkoriščanja. Uporablja se v terminalu Kali Linux, kjer omogoča hekerju dostop do ciljnega sistema. To je zelo veliko orodje, ki nam omogoča, da vdremo več naprav, ki poganjajo različne operacijske sisteme na njem. Pri izkoriščanju šibkosti katerega koli sistema ga je treba obravnavati zelo resno.

Prednosti in slabosti

Ko govorimo o čem, je gotovo, da vse tiste stvari, ki pridejo s prednostmi, nosijo slabosti skupaj s tem.

Spodaj je nekaj prednosti testiranja na penetraciji:

Testiranje prodiranja zagotavlja varnost sistema, saj se prepriča, da dejanski heker ne more kršiti varnosti z iskanjem napak v sistemu.
Daje idejo o tem, kakšna ranljivost dejansko obstaja v sistemu, da jih lahko odstrani lastnik sistema.
Kar zadeva kibernetsko varnost, velja za obvezne preglede, ki jih mora organizacija opraviti, da ugotovi, kaj je narobe z njihovim sistemom.
Obstajajo kršitve varnosti, ki bi jih bilo mogoče raziskati le, če bo etični heker lahko poskusil izkoristiti sistem z uporabo vseh pristopov, ki jih lahko naredi pravi heker.
Rezultat testiranja penetracije je zelo pomemben, medtem ko jih je treba rešiti, da bi zagotovili, da sistem nima šibkih točk.

Skupaj s prednostmi je več pomanjkljivosti penetracijskega testiranja, ki so navedene spodaj.

Če je sistem proizvodni sistem in nekateri pomembni ukrepi niso upoštevani, potem lahko pride do izpada sistema, kar bo zagotovo privedlo do uspešnosti organizacije.
Včasih pentester nenamerno privede do razkritja kritičnih informacij, ki naj bi jih skrivali, ki bi lahko privedli do dejanskega vdora v sistem.
Potrebne so dodatne stroške, da se testiranje penetracije opravi na katerem koli spletnem mestu, saj heker v teh dneh dobro zaračuna za izvedbo testiranja penetracije sistema.
Včasih je potreben čas, da opravimo testiranje penetracije, zaradi katerega mora organizacija posvetiti nekaj časa, če obstaja potreba po upravljanju izpadov sistema.

Zaključek

Penetracijsko testiranje je zelo pomemben sestavni del kibernetske varnosti in vse organizacije, ki so pripravljene zaščititi svoj sistem, bi ga morale kakorkoli izkoristiti. Rezultat testiranja penetracije je za hekerje zelo donosen, zato ga je treba zaščititi in ga nujno nujno sanirati. Penteters v teh dneh dobro vedo, kako bi lahko sisteme izkoriščali in tako tudi hekerji. V resnici se dogaja kibernetska vojna med etičnim hekerjem in resničnimi hekerji ali zlonamernimi uporabniki. Da bi zagotovili varnost organizacije, je treba samo opraviti preizkus penetracije njihovega sistema.

Priporočeni članki

To je vodnik za testiranje penetracije. Tukaj razpravljamo o uvajanju, preizkusnih tehnikah, orodjih za testiranje ter prednosti in slabosti. Če želite izvedeti več, lahko preberete tudi druge naše predlagane članke -

Preizkušanje sistema
Certifikat o penetraciji
Intervjujska vprašanja o preizkusu penetracije
Brezplačen uvod v tečaj preizkušanja penetracije Kali Linux

Kategorija:

Razvoj programske opreme

Testiranje penetracije - Celoten vodnik za testiranje penetracije

Uvod v testiranje penetracije

Kaj je testiranje na penetraciji?

Kako se izvaja preizkušanje penetracije?

1) Izvid:

2) Optično branje: -

3) Dostop do: -

4) Vzdrževanje dostopa: -

5) Razmik proge: -

Tehnike preizkušanja penetracije

Orodja za testiranje penetracije

Prednosti in slabosti

Zaključek

Priporočeni članki

Kaj je programski jezik? - Kako deluje - Spretnosti in prednosti

Kaj je umetna inteligenca? - Osnovni pojmi in prednosti AI

Kaj je Audacity? - Kako deluje - Funkcije in uporaba - Spretnost in prednosti

Kaj je ARP? - Osnovni pojmi in kako ARP olajša delo

Uvod v računalništvo v oblaku - Aplikacija pri ponudnikih storitev v oblaku

Uvod v podatkovno znanost - Z glavnimi komponentami in lastnostmi

Formula notranje vrednosti - Primeri notranje vrednosti s predlogo Excel

INT v Excelu (formula, primeri) - Kako uporabljati funkcijo INT?

Seznam VBA seznama - Kako ustvariti seznam oken v Excelu VBA?

VBA sporočilo - Ustvarjanje polja za sporočila VBA (konstante ikon in naslov)

Iskanje VBA - Kako implementirati in uporabiti funkcijo iskanja v Excelu VBA?

Makro VBA - Vodnik za snemanje makra v VBA s primeri Excel

Uvod v testiranje penetracije

Kaj je testiranje na penetraciji?

Kako se izvaja preizkušanje penetracije?

1) Izvid:

2) Optično branje: -

3) Dostop do: -

4) Vzdrževanje dostopa: -

5) Razmik proge: -

Tehnike preizkušanja penetracije

Orodja za testiranje penetracije

Prednosti in slabosti

Zaključek

Priporočeni članki

Preberi Več