सुरक्षा परीक्षण क्या है? उदाहरण

द्वारा: थॉमस हैमिल्टन थॉमस हैमिल्टन
Hours Updated

सुरक्षा परीक्षण क्या है?

सुरक्षा परीक्षण यह एक प्रकार का सॉफ़्टवेयर परीक्षण है जो सॉफ़्टवेयर एप्लिकेशन में कमज़ोरियों, खतरों, जोखिमों को उजागर करता है और घुसपैठियों से दुर्भावनापूर्ण हमलों को रोकता है। सुरक्षा परीक्षणों का उद्देश्य सॉफ़्टवेयर सिस्टम की सभी संभावित खामियों और कमज़ोरियों की पहचान करना है, जिसके परिणामस्वरूप कर्मचारियों या संगठन के बाहरी लोगों के हाथों सूचना, राजस्व, प्रतिष्ठा का नुकसान हो सकता है।

सुरक्षा परीक्षण

सुरक्षा परीक्षण क्यों महत्वपूर्ण है?

का मुख्य लक्ष्य सुरक्षा परीक्षण सिस्टम में खतरों की पहचान करना और इसकी संभावित कमजोरियों को मापना है, ताकि खतरों का सामना किया जा सके और सिस्टम काम करना बंद न करे या उसका शोषण न किया जा सके। यह सिस्टम में सभी संभावित सुरक्षा जोखिमों का पता लगाने में भी मदद करता है और डेवलपर्स को कोडिंग के माध्यम से समस्याओं को ठीक करने में मदद करता है।

सॉफ़्टवेयर परीक्षण में सुरक्षा परीक्षण के प्रकार

ओपन सोर्स सिक्योरिटी टेस्टिंग मेथोडोलॉजी मैनुअल के अनुसार सुरक्षा परीक्षण के सात मुख्य प्रकार हैं। उन्हें इस प्रकार समझाया गया है:

सॉफ़्टवेयर परीक्षण में सुरक्षा परीक्षण के प्रकार

  • भेद्यता स्कैनिंगयह ज्ञात भेद्यता हस्ताक्षरों के विरुद्ध सिस्टम को स्कैन करने के लिए स्वचालित सॉफ्टवेयर के माध्यम से किया जाता है।
  • सुरक्षा स्कैनिंग: इसमें नेटवर्क और सिस्टम की कमज़ोरियों की पहचान करना शामिल है, और बाद में इन जोखिमों को कम करने के लिए समाधान प्रदान करता है। यह स्कैनिंग मैन्युअल और ऑटोमेटेड स्कैनिंग दोनों के लिए की जा सकती है।
  • प्रवेश परीक्षण: इस तरह का परीक्षण दुर्भावनापूर्ण हैकर के हमले का अनुकरण करता है। इस परीक्षण में बाहरी हैकिंग प्रयास की संभावित कमज़ोरियों की जाँच करने के लिए किसी विशेष सिस्टम का विश्लेषण शामिल होता है।
  • जोखिम का मूल्यांकन: इस परीक्षण में संगठन में देखे गए सुरक्षा जोखिमों का विश्लेषण शामिल है। जोखिमों को निम्न, मध्यम और उच्च के रूप में वर्गीकृत किया जाता है। यह परीक्षण जोखिम को कम करने के लिए नियंत्रण और उपायों की सिफारिश करता है।
  • सुरक्षा लेखा परीक्षा: यह अनुप्रयोगों का एक आंतरिक निरीक्षण है और Operaटिंग सिस्टम सुरक्षा खामियों के लिए। कोड की लाइन दर लाइन जांच के जरिए भी ऑडिट किया जा सकता है
  • नैतिक हैकिंग: यह किसी संगठन के सॉफ़्टवेयर सिस्टम को हैक करना है। दुर्भावनापूर्ण हैकर्स के विपरीत, जो अपने लाभ के लिए चोरी करते हैं, उनका उद्देश्य सिस्टम में सुरक्षा खामियों को उजागर करना होता है।
  • आसन मूल्यांकन: यह सुरक्षा स्कैनिंग को जोड़ती है, नैतिक हैकिंग और जोखिम आकलन किसी संगठन की समग्र सुरक्षा स्थिति को दर्शाने के लिए।

सुरक्षा परीक्षण कैसे करें

इस बात पर हमेशा सहमति बनी है कि अगर हम काम को टालेंगे तो लागत अधिक होगी। सुरक्षा परीक्षण सॉफ़्टवेयर कार्यान्वयन चरण के बाद या तैनाती के बाद। इसलिए, शुरुआती चरणों में SDLC जीवन चक्र में सुरक्षा परीक्षण को शामिल करना आवश्यक है।

आइए SDLC में प्रत्येक चरण के लिए अपनाई जाने वाली संगत सुरक्षा प्रक्रियाओं पर नज़र डालें

सुरक्षा परीक्षण

एसडीएलसी चरण सुरक्षा प्रक्रियाएँ
आवश्यकताएँ आवश्यकताओं के लिए सुरक्षा विश्लेषण और दुरुपयोग/गलत उपयोग के मामलों की जाँच करें
डिज़ाइन डिजाइनिंग के लिए सुरक्षा जोखिम विश्लेषण। जाँच की योजना सुरक्षा परीक्षण सहित
कोडिंग और यूनिट परीक्षण स्थैतिक और गतिशील परीक्षण और सुरक्षा सफेद Box परीक्षण
एकीकरण जांच काली Box परीक्षण
सिस्टम परीक्षण काली Box परीक्षण और भेद्यता स्कैनिंग
कार्यान्वयन भेदन परीक्षण, भेद्यता स्कैनिंग
सहायता पैच का प्रभाव विश्लेषण

परीक्षण योजना में निम्नलिखित शामिल होना चाहिए

  • सुरक्षा-संबंधी परीक्षण मामले या परिदृश्य
  • सुरक्षा परीक्षण से संबंधित परीक्षण डेटा
  • सुरक्षा परीक्षण के लिए आवश्यक परीक्षण उपकरण
  • विभिन्न सुरक्षा उपकरणों से प्राप्त विभिन्न परीक्षण परिणामों का विश्लेषण

सुरक्षा परीक्षण के लिए उदाहरण परीक्षण परिदृश्य

सुरक्षा परीक्षण मामलों की एक झलक देने के लिए नमूना परीक्षण परिदृश्य –

  • पासवर्ड एन्क्रिप्टेड प्रारूप में होना चाहिए
  • एप्लिकेशन या सिस्टम को अमान्य उपयोगकर्ताओं को अनुमति नहीं देनी चाहिए
  • एप्लिकेशन के लिए कुकीज़ और सत्र समय की जाँच करें
  • वित्तीय साइटों के लिए, ब्राउज़र का बैक बटन काम नहीं करना चाहिए।

सुरक्षा परीक्षण के लिए पद्धतियाँ/ दृष्टिकोण/ तकनीकें

सुरक्षा परीक्षण में विभिन्न पद्धतियों का पालन किया जाता है, और वे इस प्रकार हैं:

  • टाइगर Box: यह हैकिंग आमतौर पर लैपटॉप पर की जाती है जिसमें ऑपरेटिंग सिस्टम और हैकिंग टूल का संग्रह होता है। यह परीक्षण पैठ परीक्षकों और सुरक्षा परीक्षकों को कमजोरियों का आकलन करने और हमलों का संचालन करने में मदद करता है।
  • काली Boxपरीक्षक को नेटवर्क टोपोलॉजी और प्रौद्योगिकी से संबंधित हर चीज का परीक्षण करने का अधिकार है।
  • ग्रे Boxपरीक्षक को प्रणाली के बारे में आंशिक जानकारी दी जाती है, और यह श्वेत और काले बॉक्स मॉडल का संकर है।

सुरक्षा परीक्षण भूमिकाएँ

  • हैकर्स - बिना अनुमति के कंप्यूटर सिस्टम या नेटवर्क तक पहुंच बनाते हैं
  • क्रैकर्स - डेटा चुराने या नष्ट करने के लिए सिस्टम में सेंध लगाते हैं
  • एथिकल हैकर - अधिकांश ब्रेकिंग गतिविधियाँ करता है लेकिन मालिक की अनुमति से
  • स्क्रिप्ट किडीज़ या पैकेट मंकी - प्रोग्रामिंग भाषा कौशल वाले अनुभवहीन हैकर्स

सुरक्षा परीक्षण उपकरण

1) Teramind

Teramind अंदरूनी खतरे की रोकथाम और कर्मचारी निगरानी के लिए एक व्यापक सूट प्रदान करता है। यह व्यवहार विश्लेषण और डेटा हानि रोकथाम के माध्यम से सुरक्षा को बढ़ाता है, अनुपालन सुनिश्चित करता है और व्यावसायिक प्रक्रियाओं को अनुकूलित करता है। इसका अनुकूलन योग्य प्लेटफ़ॉर्म विभिन्न संगठनात्मक आवश्यकताओं के अनुरूप है, जो उत्पादकता बढ़ाने और डेटा अखंडता की सुरक्षा पर ध्यान केंद्रित करने वाली कार्रवाई योग्य अंतर्दृष्टि प्रदान करता है।

Teramind

विशेषताएं:

  • अंदरूनी खतरे की रोकथाम: उपयोगकर्ता की उन गतिविधियों का पता लगाता है और उन्हें रोकता है जो डेटा के लिए अंदरूनी खतरों का संकेत हो सकती हैं।
  • व्यवसाय प्रक्रिया अनुकूलन: परिचालन प्रक्रियाओं को पुनः परिभाषित करने के लिए डेटा-संचालित व्यवहार विश्लेषण का उपयोग करता है।
  • कार्यबल उत्पादकता: कार्यबल की उत्पादकता, सुरक्षा और अनुपालन व्यवहार पर नज़र रखता है।
  • अनुपालन प्रबंधन: छोटे व्यवसायों, उद्यमों और सरकारी एजेंसियों के लिए उपयुक्त एकल, स्केलेबल समाधान के साथ अनुपालन का प्रबंधन करने में मदद करता है।
  • घटना फोरेंसिक: घटना प्रतिक्रिया, जांच और खतरे की खुफिया जानकारी को समृद्ध करने के लिए साक्ष्य प्रदान करता है।
  • डेटा खोने की रोकथाम: संवेदनशील डेटा की संभावित हानि से सुरक्षा और निगरानी करता है।
  • कर्मचारी निगरानी: कर्मचारी के प्रदर्शन और गतिविधियों पर नजर रखने की क्षमता प्रदान करता है।
  • व्यवहार विश्लेषण: अंतर्दृष्टि के लिए ग्राहक ऐप व्यवहार डेटा का विस्तृत विश्लेषण करता है.
  • अनुकूलन योग्य मॉनिटरिंग सेटिंग्स: विशिष्ट उपयोग मामलों के अनुरूप या पूर्वनिर्धारित नियमों को लागू करने के लिए निगरानी सेटिंग्स को अनुकूलित करने की अनुमति देता है।
  • डैशबोर्ड अंतर्दृष्टि: एक व्यापक डैशबोर्ड के माध्यम से कार्यबल गतिविधियों में दृश्यता और कार्रवाई योग्य अंतर्दृष्टि प्रदान करता है।

visit Teramind >>

2) Owasp

ओपन वेब एप्लीकेशन सुरक्षा परियोजना (OWASP) एक विश्वव्यापी गैर-लाभकारी संगठन है जो सॉफ्टवेयर की सुरक्षा में सुधार पर केंद्रित है। इस परियोजना में विभिन्न सॉफ्टवेयर वातावरण और प्रोटोकॉल का परीक्षण करने के लिए कई उपकरण हैं। परियोजना के प्रमुख उपकरणों में शामिल हैं

  1. जेड हमला प्रॉक्सी (ZAP - एक एकीकृत प्रवेश परीक्षण उपकरण)
  2. OWASP निर्भरता जाँच (यह परियोजना निर्भरताओं के लिए स्कैन करता है और ज्ञात कमजोरियों के विरुद्ध जांच करता है)
  3. OWASP वेब परीक्षण वातावरण परियोजना (सुरक्षा उपकरणों और दस्तावेज़ों का संग्रह)

3) वायरशार्क

Wireshark यह एक नेटवर्क विश्लेषण उपकरण है जिसे पहले ईथरियल के नाम से जाना जाता था। यह वास्तविक समय में पैकेट को कैप्चर करता है और उन्हें मानव पठनीय प्रारूप में प्रदर्शित करता है। मूल रूप से, यह एक नेटवर्क पैकेट विश्लेषक है- जो आपके नेटवर्क प्रोटोकॉल, डिक्रिप्शन, पैकेट जानकारी आदि के बारे में मिनट विवरण प्रदान करता है। यह एक ओपन सोर्स है और इसे लिनक्स पर इस्तेमाल किया जा सकता है, Windows, ओएस एक्स, Solaris, NetBSD, FreeBSD और कई अन्य सिस्टम। इस उपकरण के माध्यम से प्राप्त की गई जानकारी को GUI या TTY मोड TShark उपयोगिता के माध्यम से देखा जा सकता है।

4) डब्ल्यू3एएफ

w3af एक वेब एप्लीकेशन अटैक और ऑडिट फ्रेमवर्क है। इसमें तीन प्रकार के प्लगइन हैं; डिस्कवरी, ऑडिट और अटैक जो साइट में किसी भी भेद्यता के लिए एक दूसरे के साथ संवाद करते हैं, उदाहरण के लिए w3af में एक डिस्कवरी प्लगइन भेद्यता के लिए परीक्षण करने के लिए अलग-अलग यूआरएल की तलाश करता है और इसे ऑडिट प्लगइन को अग्रेषित करता है जो फिर भेद्यता की खोज के लिए इन यूआरएल का उपयोग करता है।

सुरक्षा परीक्षण के मिथक और तथ्य

आइये सुरक्षा परीक्षण के मिथकों और तथ्यों पर एक दिलचस्प विषय पर बात करते हैं:

मिथक #1 हमें सुरक्षा नीति की आवश्यकता नहीं है क्योंकि हमारा व्यवसाय छोटा है

तथ्य: हर किसी और हर कंपनी को एक सुरक्षा नीति की आवश्यकता होती है

मिथक #2 सुरक्षा परीक्षण में निवेश पर कोई लाभ नहीं है

तथ्य: सुरक्षा परीक्षण सुधार के क्षेत्रों को इंगित कर सकता है जिससे कार्यकुशलता में सुधार हो सकता है और डाउनटाइम कम हो सकता है, जिससे अधिकतम थ्रूपुट प्राप्त किया जा सकता है।

मिथक #3इसे सुरक्षित करने का एकमात्र तरीका इसे अनप्लग करना है।

तथ्य: किसी संगठन को सुरक्षित करने का एकमात्र और सबसे अच्छा तरीका है "परफेक्ट सिक्योरिटी" पाना। स्थिति का आकलन करके और व्यापार, कानूनी और उद्योग औचित्य के साथ तुलना करके परफेक्ट सिक्योरिटी हासिल की जा सकती है।

मिथक #4इंटरनेट सुरक्षित नहीं है। मैं सिस्टम की सुरक्षा और व्यवसाय को बचाने के लिए सॉफ्टवेयर या हार्डवेयर खरीदूंगा।

तथ्य: सबसे बड़ी समस्याओं में से एक है सुरक्षा के लिए सॉफ्टवेयर और हार्डवेयर खरीदना। इसके बजाय, संगठन को पहले सुरक्षा को समझना चाहिए और फिर उसे लागू करना चाहिए।

निष्कर्ष

सुरक्षा परीक्षण किसी एप्लिकेशन के लिए सबसे महत्वपूर्ण परीक्षण है और यह जाँचता है कि गोपनीय डेटा गोपनीय रहता है या नहीं। इस प्रकार के परीक्षण में, परीक्षक हमलावर की भूमिका निभाता है और सुरक्षा से संबंधित बग खोजने के लिए सिस्टम के इर्द-गिर्द घूमता है। डेटा को हर तरह से सुरक्षित रखने के लिए सॉफ्टवेयर इंजीनियरिंग में सुरक्षा परीक्षण बहुत महत्वपूर्ण है।