पैनेट्रेशन टेस्टिंग ट्यूटोरियल: पेनटेस्ट क्या है?

द्वारा: थॉमस हैमिल्टन थॉमस हैमिल्टन
Hours Updated

भेदन परीक्षण

भेदन परीक्षण या पेन परीक्षण एक प्रकार का है सुरक्षा परीक्षण सॉफ़्टवेयर एप्लिकेशन, नेटवर्क या वेब एप्लिकेशन में हमलावर द्वारा शोषण की जा सकने वाली कमज़ोरियों, खतरों और जोखिमों को कवर करने के लिए उपयोग किया जाता है। पेनेट्रेशन टेस्टिंग का उद्देश्य सॉफ़्टवेयर एप्लिकेशन में मौजूद सभी संभावित सुरक्षा कमज़ोरियों की पहचान करना और उनका परीक्षण करना है। पेनेट्रेशन टेस्टिंग को पेन टेस्ट भी कहा जाता है।

भेदन परीक्षण

भेद्यता वह जोखिम है जिसके कारण हमलावर सिस्टम या उसमें मौजूद किसी भी डेटा को बाधित कर सकता है या उस तक अधिकृत पहुँच प्राप्त कर सकता है। भेद्यताएँ आमतौर पर सॉफ़्टवेयर विकास और कार्यान्वयन चरण के दौरान दुर्घटना से उत्पन्न होती हैं। आम भेद्यताओं में डिज़ाइन त्रुटियाँ, कॉन्फ़िगरेशन त्रुटियाँ, सॉफ़्टवेयर बग आदि शामिल हैं। प्रवेश विश्लेषण दो तंत्रों पर निर्भर करता है, अर्थात् भेद्यता मूल्यांकन और प्रवेश परीक्षण (VAPT)।

प्रवेश परीक्षण क्यों?

किसी उद्यम में प्रवेश आवश्यक है क्योंकि –

  • बैंक, निवेश बैंकिंग, स्टॉक ट्रेडिंग एक्सचेंज जैसे वित्तीय क्षेत्र चाहते हैं कि उनका डेटा सुरक्षित रहे, और सुरक्षा सुनिश्चित करने के लिए पेनेट्रेशन परीक्षण आवश्यक है
  • यदि सॉफ्टवेयर सिस्टम पहले ही हैक हो चुका है और संगठन यह पता लगाना चाहता है कि भविष्य में हैकिंग से बचने के लिए सिस्टम में अभी भी कोई खतरा मौजूद है या नहीं।
  • प्रोएक्टिव पेनिट्रेशन टेस्टिंग हैकर्स के खिलाफ सबसे अच्छा बचाव है

प्रवेश परीक्षण के प्रकार

चुने गए पेनेट्रेशन टेस्ट का प्रकार आम तौर पर दायरे पर निर्भर करता है और क्या संगठन किसी कर्मचारी, नेटवर्क एडमिन (आंतरिक स्रोत) या बाहरी स्रोतों द्वारा हमले का अनुकरण करना चाहता है। पेनेट्रेशन टेस्टिंग के तीन प्रकार हैं और वे हैं

ब्लैक-बॉक्स पैनेट्रेशन टेस्टिंग में, परीक्षक को परीक्षण किए जाने वाले सिस्टम के बारे में कोई जानकारी नहीं होती है। वह लक्ष्य नेटवर्क या सिस्टम के बारे में जानकारी एकत्र करने के लिए जिम्मेदार होता है।

व्हाइट-बॉक्स पैनेट्रेशन परीक्षण में, परीक्षक को आमतौर पर नेटवर्क या सिस्टम के बारे में पूरी जानकारी प्रदान की जाती है, जिसमें आईपी एड्रेस स्कीमा, स्रोत कोड, ओएस विवरण आदि शामिल हैं। इसे किसी भी आंतरिक स्रोतों (किसी संगठन के कर्मचारी) द्वारा किए गए हमले का अनुकरण माना जा सकता है।

ग्रे बॉक्स पेनिट्रेशन टेस्टिंग में, परीक्षक को सिस्टम का आंशिक ज्ञान प्रदान किया जाता है। इसे किसी बाहरी हैकर द्वारा किया गया हमला माना जा सकता है, जिसने किसी संगठन के नेटवर्क इंफ्रास्ट्रक्चर दस्तावेजों तक अवैध पहुँच प्राप्त कर ली थी।

पेनेट्रेशन टेस्टिंग कैसे करें

पेनेट्रेशन टेस्ट को निष्पादित करने के लिए निम्नलिखित गतिविधियाँ की जानी चाहिए –

भेदन परीक्षण

चरण 1) योजना चरण

  1. असाइनमेंट का दायरा और रणनीति निर्धारित की जाती है
  2. मौजूदा सुरक्षा नीतियों, मानकों का उपयोग दायरे को परिभाषित करने के लिए किया जाता है

चरण 2) खोज चरण

  1. सिस्टम के बारे में जितना संभव हो सके उतनी जानकारी इकट्ठा करें, जिसमें सिस्टम में मौजूद डेटा, यूजरनेम और पासवर्ड भी शामिल हैं। इसे भी कहा जाता है फिंगरप्रिंटिंग
  2. बंदरगाहों में स्कैन और जांच
  3. सिस्टम की कमजोरियों की जाँच करें

चरण 3) आक्रमण चरण

  1. विभिन्न कमजोरियों के लिए शोषण खोजें सिस्टम का शोषण करने के लिए आपको आवश्यक सुरक्षा विशेषाधिकारों की आवश्यकता है

चरण 4) रिपोर्टिंग चरण

  1. रिपोर्ट में विस्तृत निष्कर्ष शामिल होने चाहिए
  2. पाई गई कमजोरियों के जोखिम और व्यवसाय पर उनका प्रभाव
  3. सिफारिशें और समाधान, यदि कोई हो

पैनेट्रेशन टेस्टिंग में मुख्य कार्य सिस्टम की जानकारी इकट्ठा करना है। जानकारी इकट्ठा करने के दो तरीके हैं –

  • होस्ट के संबंध में 'एक से एक' या 'एक से अनेक' मॉडल: परीक्षक या तो एक लक्ष्य होस्ट या लक्ष्य होस्ट के तार्किक समूह (जैसे एक सबनेट) के विरुद्ध रैखिक तरीके से तकनीकों का निष्पादन करता है।
  • 'अनेक से एक' या 'अनेक से अनेक' मॉडल: परीक्षक यादृच्छिक, दर-सीमित और गैर-रैखिक तरीके से सूचना एकत्रण तकनीक को निष्पादित करने के लिए एकाधिक होस्ट का उपयोग करता है।

पैनेट्रेशन परीक्षण उपकरणों के उदाहरण

प्रवेश परीक्षण में विभिन्न प्रकार के उपकरणों का उपयोग किया जाता है और महत्वपूर्ण पेनटेस्ट उपकरण यह है:

1) Teramind

Teramind अंदरूनी खतरे की रोकथाम और कर्मचारी निगरानी के लिए एक व्यापक सूट प्रदान करता है। यह व्यवहार विश्लेषण और डेटा हानि रोकथाम के माध्यम से सुरक्षा को बढ़ाता है, अनुपालन सुनिश्चित करता है और व्यावसायिक प्रक्रियाओं को अनुकूलित करता है। इसका अनुकूलन योग्य प्लेटफ़ॉर्म विभिन्न संगठनात्मक आवश्यकताओं के अनुरूप है, जो उत्पादकता बढ़ाने और डेटा अखंडता की सुरक्षा पर ध्यान केंद्रित करने वाली कार्रवाई योग्य अंतर्दृष्टि प्रदान करता है।

Teramind

विशेषताएं:

  • अंदरूनी खतरे की रोकथाम: उपयोगकर्ता की उन गतिविधियों का पता लगाता है और उन्हें रोकता है जो डेटा के लिए अंदरूनी खतरों का संकेत हो सकती हैं।
  • व्यवसाय प्रक्रिया अनुकूलन: परिचालन प्रक्रियाओं को पुनः परिभाषित करने के लिए डेटा-संचालित व्यवहार विश्लेषण का उपयोग करता है।
  • कार्यबल उत्पादकता: कार्यबल की उत्पादकता, सुरक्षा और अनुपालन व्यवहार पर नज़र रखता है।
  • अनुपालन प्रबंधन: छोटे व्यवसायों, उद्यमों और सरकारी एजेंसियों के लिए उपयुक्त एकल, स्केलेबल समाधान के साथ अनुपालन का प्रबंधन करने में मदद करता है।
  • घटना फोरेंसिक: घटना प्रतिक्रिया, जांच और खतरे की खुफिया जानकारी को समृद्ध करने के लिए साक्ष्य प्रदान करता है।
  • डेटा खोने की रोकथाम: संवेदनशील डेटा की संभावित हानि से सुरक्षा और निगरानी करता है।
  • कर्मचारी निगरानी: कर्मचारी के प्रदर्शन और गतिविधियों पर नजर रखने की क्षमता प्रदान करता है।
  • व्यवहार विश्लेषण: अंतर्दृष्टि के लिए ग्राहक ऐप व्यवहार डेटा का विस्तृत विश्लेषण करता है.
  • अनुकूलन योग्य मॉनिटरिंग सेटिंग्स: विशिष्ट उपयोग मामलों के अनुरूप या पूर्वनिर्धारित नियमों को लागू करने के लिए निगरानी सेटिंग्स को अनुकूलित करने की अनुमति देता है।
  • डैशबोर्ड अंतर्दृष्टि: एक व्यापक डैशबोर्ड के माध्यम से कार्यबल गतिविधियों में दृश्यता और कार्रवाई योग्य अंतर्दृष्टि प्रदान करता है।

visit Teramind >>

  1. Nmap- इस उपकरण का उपयोग पोर्ट स्कैनिंग, ओएस पहचान, मार्ग का पता लगाने और भेद्यता स्कैनिंग के लिए किया जाता है।
  2. Nessus- यह पारंपरिक नेटवर्क-आधारित कमजोरियों का पता लगाने वाला उपकरण है।
  3. पास-द-हैश - यह टूल मुख्य रूप से पासवर्ड क्रैकिंग के लिए उपयोग किया जाता है।

पेनेट्रेशन परीक्षकों की भूमिका और जिम्मेदारियाँ

पेनेट्रेशन परीक्षक का काम है:

  • परीक्षकों को प्रवेश परीक्षण को सक्षम करने के लिए संगठन से आवश्यक जानकारी एकत्र करनी चाहिए
  • उन खामियों का पता लगाएं जो हैकर्स को लक्ष्य मशीन पर हमला करने की अनुमति दे सकती हैं
  • पेन परीक्षकों को वास्तविक हैकर्स की तरह सोचना और कार्य करना चाहिए, यद्यपि नैतिक रूप से।
  • पैनेट्रेशन परीक्षकों द्वारा किया गया कार्य पुनरुत्पादनीय होना चाहिए ताकि डेवलपर्स के लिए इसे ठीक करना आसान हो जाए
  • परीक्षण निष्पादन की आरंभ तिथि और समाप्ति तिथि पहले से निर्धारित की जानी चाहिए।
  • परीक्षण के दौरान सिस्टम या सूचना में किसी भी हानि के लिए परीक्षक जिम्मेदार होगा। सॉफ़्टवेयर परीक्षण
  • परीक्षक को डेटा और जानकारी गोपनीय रखनी चाहिए

मैनुअल पेनेट्रेशन बनाम स्वचालित पेनेट्रेशन परीक्षण

मैनुअल पेनेट्रेशन परीक्षण स्वचालित प्रवेश परीक्षण
मैनुअल परीक्षण परीक्षण चलाने के लिए विशेषज्ञ पेशेवरों की आवश्यकता होती है स्वचालित परीक्षण उपकरण कम अनुभवी पेशेवरों के साथ स्पष्ट रिपोर्ट प्रदान करते हैं
मैन्युअल परीक्षण को ट्रैक करने के लिए एक्सेल और अन्य उपकरणों की आवश्यकता होती है स्वचालन परीक्षण केंद्रीकृत और मानक उपकरण हैं
मैनुअल परीक्षण में, नमूना परिणाम परीक्षण दर परीक्षण भिन्न होते हैं स्वचालित परीक्षणों के मामले में, परिणाम परीक्षण दर परीक्षण भिन्न नहीं होते हैं
मेमोरी क्लीनिंग को उपयोगकर्ताओं द्वारा याद रखा जाना चाहिए स्वचालित परीक्षण में व्यापक सफाई होगी।

पेनेट्रेशन परीक्षण के नुकसान

पेनेट्रेशन टेस्टिंग सिस्टम में सभी कमज़ोरियों का पता नहीं लगा सकता। पेनेट्रेशन टेस्टर्स के पास समय, बजट, दायरा और कौशल की सीमाएँ होती हैं

जब हम प्रवेश परीक्षण कर रहे होंगे तो निम्नलिखित दुष्प्रभाव होंगे:

  • डेटा हानि और भ्रष्टाचार
  • नीचे समय
  • लागत में वृद्धि

निष्कर्ष

परीक्षकों को एक वास्तविक हैकर की तरह काम करना चाहिए और एप्लिकेशन या सिस्टम का परीक्षण करना चाहिए और यह जांचना चाहिए कि कोड सुरक्षित रूप से लिखा गया है या नहीं। यदि एक अच्छी तरह से कार्यान्वित सुरक्षा नीति है तो एक प्रवेश परीक्षण प्रभावी होगा। प्रवेश परीक्षण नीति और कार्यप्रणाली प्रवेश परीक्षण को और अधिक प्रभावी बनाने के लिए एक जगह होनी चाहिए। यह प्रवेश परीक्षण के लिए एक पूर्ण शुरुआती गाइड है।

पेनेट्रेशन परीक्षण के नुकसान

हमारी जाँच करें लाइव पेनेट्रेशन परीक्षण परियोजना