Tungimise testimise õpetus: mis on PenTest?

Autor: Thomas Hamilton Thomas Hamilton
Hours Ajakohastatud

Läbitungivuskatse

Läbitungivuskatse või Pliiatsi testimine on teatud tüüpi Turvalisuse testimine kasutatakse haavatavuste, ohtude ja riskide katmiseks, mida ründaja võib tarkvararakendustes, võrkudes või veebirakendustes ära kasutada. Tungimise testimise eesmärk on tuvastada ja testida kõiki tarkvararakenduses esinevaid võimalikke turvanõrkusi. Tungimistesti nimetatakse ka pliiatsi testiks.

Läbitungivuskatse

Haavatavus on oht, et ründaja võib häirida süsteemi või selles sisalduvaid andmeid või saada sellele volitatud juurdepääsu. Haavatavused tuuakse tavaliselt sisse juhuslikult tarkvara arendamise ja juurutamise etapis. Levinud haavatavuste hulka kuuluvad kujundusvead, konfiguratsioonivead, tarkvaravead jne. Tungivuse analüüs sõltub kahest mehhanismist, nimelt haavatavuse hindamisest ja läbitungimistestist (VAPT).

Miks läbitungimistestid?

Tungimine on ettevõttes hädavajalik, sest –

  • Finantssektorid, nagu pangad, investeerimispangandus ja börsid, soovivad, et nende andmed oleksid kaitstud ning läbitungimistestid on turvalisuse tagamiseks hädavajalikud.
  • Juhul, kui tarkvarasüsteemi on juba häkitud ja organisatsioon soovib tulevaste häkkide vältimiseks kindlaks teha, kas süsteemis on veel ohte.
  • Ennetav läbitungimistestimine on parim kaitse häkkerite vastu

Läbitungimise testimise tüübid

Valitud läbitungimistesti tüüp sõltub tavaliselt ulatusest ja sellest, kas organisatsioon soovib simuleerida töötaja, võrguadministraatori (sisemised allikad) või väliste allikate rünnakut. Läbitungimisteste on kolme tüüpi ja need on nii

Musta kasti läbitungimise testimisel ei ole testijal testitavate süsteemide kohta teadmisi. Ta vastutab sihtvõrgu või -süsteemi kohta teabe kogumise eest.

Valge kasti läbitungimiskatses antakse testijale tavaliselt täielik teave testitava võrgu või süsteemide kohta, sealhulgas IP-aadressi skeem, lähtekood, OS-i üksikasjad jne. Seda võib pidada mis tahes rünnaku simulatsiooniks. Siseallikad (Organisatsiooni töötajad).

Halli kasti läbitungimiskatses antakse testijale osalised teadmised süsteemist. Seda võib pidada välise häkkeri rünnakuks, kes oli saanud ebaseadusliku juurdepääsu organisatsiooni võrguinfrastruktuuri dokumentidele.

Kuidas läbitungimistesti teha

Läbitungimistesti läbiviimiseks tuleb läbi viia järgmised tegevused –

Läbitungivuskatse

1. samm) Planeerimise etapp

  1. Määratakse kindlaks ülesande ulatus ja strateegia
  2. Ulatuse määratlemisel kasutatakse olemasolevaid turvapoliitikaid, standardeid

2. etapp) avastamise faas

  1. Koguge süsteemi kohta võimalikult palju teavet, sealhulgas süsteemis olevaid andmeid, kasutajanimesid ja isegi paroole. Seda nimetatakse ka kui SÕRMEJÄLJED
  2. Skannige ja uurige pordidesse
  3. Kontrollige süsteemi haavatavusi

3. samm) ründefaas

  1. Erinevate haavatavuste ärakasutamise leidmine Süsteemi ärakasutamiseks vajate vajalikke turbeõigusi

Samm 4) Aruandlusfaas

  1. Aruanne peab sisaldama üksikasjalikke leide
  2. Leitud haavatavuste riskid ja nende mõju ärile
  3. Soovitused ja lahendused, kui neid on

Tungimise testimise peamine ülesanne on koguda süsteemiteavet. Teabe kogumiseks on kaks võimalust –

  • "Üks ühele" või "üks paljudele" mudel hosti suhtes: testija teostab tehnikaid lineaarsel viisil kas ühe sihthosti või sihthostide loogilise rühmituse (nt alamvõrgu) suhtes.
  • Mudel „paljud ühele” või „paljud paljudele”: testija kasutab juhuslikult, kiirusega piiratud ja mittelineaarselt teabe kogumise tehnikate teostamiseks mitut hosti.

Läbitungimise testimise tööriistade näited

Läbitungimiskatsetes ja -katsetes kasutatakse laias valikus tööriistu olulised Pentesti tööriistad See on:

1) Teramind

Teramind pakub terviklikku komplekti siseohtude ennetamiseks ja töötajate jälgimiseks. See suurendab turvalisust käitumisanalüütika ja andmekao vältimise kaudu, tagades vastavuse ja optimeerides äriprotsesse. Selle kohandatav platvorm sobib erinevate organisatsiooniliste vajadustega, pakkudes praktilisi teadmisi, mis keskenduvad tootlikkuse suurendamisele ja andmete terviklikkuse kaitsmisele.

Teramind

Funktsioonid:

  • Insaiderohtude ennetamine: Tuvastab ja takistab kasutaja tegevusi, mis võivad viidata siseringi puudutavatele ohtudele andmetele.
  • Äriprotsesside optimeerimine: Kasutab tööprotsesside ümberdefineerimiseks andmepõhist käitumisanalüütikat.
  • Tööjõu tootlikkus: Jälgib tööjõu tootlikkust, turvalisust ja nõuetele vastavust.
  • Vastavusjuhtimine: Aitab hallata vastavust ühtse skaleeritava lahendusega, mis sobib väikeettevõtetele, ettevõtetele ja valitsusasutustele.
  • Juhtumi kohtuekspertiisi: Pakub tõendeid, et rikastada intsidentidele reageerimist, uurimist ja ohuteavet.
  • Andmekaotuse ennetamine: Jälgib ja kaitseb tundlike andmete võimaliku kadumise eest.
  • Töötajate jälgimine: Pakub võimalusi jälgida töötajate jõudlust ja tegevust.
  • Käitumisanalüüs: Analüüsib klientide rakenduste käitumise üksikasjalikke andmeid, et saada ülevaadet.
  • Kohandatavad jälgimisseaded: Võimaldab kohandada jälgimisseadeid, et need sobiksid konkreetsete kasutusjuhtudega või rakendaksid eelmääratletud reegleid.
  • Juhtpaneeli ülevaade: Pakub nähtavust ja praktilist ülevaadet tööjõu tegevustest tervikliku armatuurlaua kaudu.

visiit Teramind >>

  1. nmap– Seda tööriista kasutatakse pordi skannimiseks, OS-i tuvastamiseks, marsruudi jälgimiseks ja haavatavuse kontrollimiseks.
  2. Nessus- See on traditsiooniline võrgupõhine haavatavuste tööriist.
  3. Pass-The-Hash – seda tööriista kasutatakse peamiselt paroolide murdmiseks.

Läbivustestijate roll ja kohustused

Tungimise testijate töö on:

  • Testijad peaksid läbitungimistestide võimaldamiseks koguma organisatsioonilt nõutavat teavet
  • Leidke vigu, mis võimaldavad häkkeritel sihtmasinat rünnata
  • Pliiatsitestijad peaksid mõtlema ja käituma nagu tõelised häkkerid, kuigi eetiliselt.
  • Tungimise testijate tehtud töö peaks olema reprodutseeritav, et arendajatel oleks seda lihtne parandada
  • Testi käivitamise algus- ja lõppkuupäev tuleks eelnevalt kindlaks määrata.
  • Testija peaks vastutama mis tahes süsteemi või teabe kadumise eest selle ajal Tarkvara testimine
  • Testija peaks hoidma andmeid ja teavet konfidentsiaalsena

Manuaalne läbitung vs automaatne läbitungimistest

Manuaalne läbitungimiskatse Automaatne läbitungimise testimine
Käsitsi testimine nõuab testide läbiviimiseks asjatundlikke spetsialiste Automatiseeritud testimistööriistad pakuvad selgeid aruandeid vähem kogenud spetsialistidega
Käsitsi testimine nõuab selle jälgimiseks Excelit ja muid tööriistu Automatiseerimise testimine on tsentraliseeritud ja standardsed tööriistad
Käsitsi testimise korral on proovide tulemused testiti erinevad Automatiseeritud testide puhul ei erine tulemused testiti
Kasutajad peaksid meeles pidama mälu puhastamist Automatiseeritud testimisel on põhjalik puhastus.

Läbitungimistesti puudused

Tungivuse testimine ei leia kõiki süsteemi turvaauke. Läbitungitestidel on aja, eelarve, ulatuse ja oskuste piirangud

Läbitungimistestide tegemisel on järgmised kõrvaltoimed:

  • Andmekadu ja korruptsioon
  • Alla aeg
  • Suurendage kulusid

Järeldus

Testijad peaksid käituma nagu tõeline häkker ja testima rakendust või süsteemi ning kontrollima, kas kood on turvaliselt kirjutatud. Läbitungimistest on tõhus, kui on olemas hästi rakendatud turvapoliitika. Läbitungimistestimise poliitika ja metoodika peaksid olema koht, kus läbitungimistesti tõhustada. See on läbitungimistesti täielik juhend algajatele.

Läbitungimistesti puudused

Vaata meie Live Penetration Testing Project

Teile võib meeldida: