यो ब्लग पोष्ट पेन्ट्रेशन टेस्टिंग र एथिकल ह्याकिंगको परिचय हो। हामी कलम परीक्षणको आधारभूत कुरा कवर गर्नेछौं र वर्णन गर्नुहोस् किन प्रवेश परीक्षण संगठनहरूका लागि महत्वपूर्ण छ।
हामी प्रवेश परीक्षणको चरणहरू पनि कभर गर्नेछौं र प्रत्येक चरणमा के हुन्छ वर्णन गर्दछौं।
अन्तमा, हामी पेनेट्रेशन टेस्टि commonlyमा सामान्यतया प्रयोग हुने केही उपकरणहरू हेर्नेछौं।
जब हामी ह्याकि ofको बारेमा सोच्दछौं, हामी यसलाई प्रायः अवैध वा आपराधिक गतिविधिमा स associate्लग्न गर्दछौं। जब एक ह्याकरले प्रणालीमा हमला गर्छ, तिनीहरू यो प्रणालीको मालिकको ज्ञान र सहमति बिना गर्छन्। सरल भाषामा भन्नुपर्दा यो मालिकको पूर्ण अनुमति र अघिल्लो सम्झौता बिना कसैको घरमा प्रवेश गर्नुजस्तो हो।
एथिकल ह्याकिcking, अर्कोतर्फ, अझै ह्याकि is गर्दै छ। यसमा प्रणालीको बारेमा जानकारी जम्मा गर्ने, कमाहरू पत्ता लगाउने र पहुँच प्राप्त गर्ने काम समावेश छ। यद्यपि, नैतिक ह्याकि inमा, पेन परीक्षक has_ पूर्ण सहमति र अनुमति _ प्रणाली मालिकको। तसर्थ, गतिविधि नैतिक हुन्छ, अर्थात् राम्रो इरादाको साथ।
ग्राहकहरूले सुरक्षा सुधार गर्न नैतिक ह्याकरहरू प्रयोग गर्छन्।
प्रवेश परीक्षणमा सम्भावित सुरक्षा उल्लंघनसँग सम्बन्धित जोखिमको आकलन गर्न वास्तविक आक्रमणहरूको नक्कल समावेश गर्दछ।
कलम परीक्षणको बखत, परीक्षकहरूले भेद्यताहरू पत्ता लगाउन विभिन्न उपकरणहरू र विधिहरू प्रयोग गर्छन्। त्यसपछि उनीहरू कमजोर शोषण गर्ने प्रयास गर्नेछन् आक्रमणकारीहरूले सफल शोषणपछि के हासिल गर्न सक्दछन् भन्ने मूल्या assess्कन गर्न।
वर्षौंको दौडान साइबर खतराहरू र सूचना प्रविधि सम्बन्धी आपराधिक गतिविधिहरूको संख्यामा निरन्तर वृद्धि भइरहेको छ। व्यवसायहरूले उनीहरूको प्रणालीमा कमजोरीहरू पहिचान गर्न नियमित कमजोरी मूल्यांकन र प्रवेश परीक्षण गर्न आवश्यक छ। त्यसोभए उनीहरूको मालिसियस ह्याकरहरू बिरूद्ध प्रभावकारी उपायहरू प्रयोग गर्न सक्दछन्।
नैतिक ह्याकरहरू ती व्यक्ति हुन् जसले सामान्य रूपमा पेनेट्रेसन टेस्टिंग गर्छन्।
चोर समात्नको लागि तपाईले सोच्नु पर्छ।
नैतिक ह्याकिंगमा पनि यस्तै हुन्छ।
कम्प्युटर प्रणालीमा सुरक्षा प्वालहरू फेला पार्न र यसलाई ठीक गर्न, तपाईंले मालिसियस ह्याकरको जस्तो सोच्नु पर्छ। तपाईं उही रणनीतिहरू, उपकरणहरू, र प्रक्रियाहरू प्रयोग गर्नुहुन्छ तिनीहरू प्रयोग गर्न सक्नुहुन्छ।
एक नैतिक ह्याकरले समान उपकरणहरू र प्रविधिहरू अपराधीले प्रयोग गर्न सक्दछ। तर तिनीहरू नेटवर्क वा प्रणाली सुरक्षित गर्न मद्दतको लागि ग्राहकको पूर्ण समर्थन र अनुमोदनको साथ त्यसो गर्छन्।
असुरक्षा मूल्यांकनले जोखिमहरूका लागि खुला सम्पत्ति (नेटवर्क, सर्भर, अनुप्रयोगहरू) जाँच गर्दछ। एक कमजोर स्क्यान को नकारात्मक पक्ष यो अक्सर झूटा सकारात्मक रिपोर्ट गर्दछ। गलत पॉजिटिभ एउटा संकेत हुन सक्दछ कि अवस्थित नियन्त्रण पूर्ण प्रभावी छैन।
प्रवेश परीक्षण एक कदम अगाडि जान्छ र कमजोरहरूलाई हेर्छ र तिनीहरूलाई प्रयास र शोषण गर्दछ।
कालो-बाकस प्रवेश परीक्षणमा, परीक्षकलाई लक्ष्यको बारेमा पहिलेको ज्ञान छैन। यसले निकटको वास्तविक-संसारको आक्रमणहरूको नक्कल गर्दछ र गलत सकारात्मकलाई कम गर्दछ।
यस प्रकारको परीक्षणको लागि लक्ष्य प्रणाली / नेटवर्कमा विस्तृत अनुसन्धान र जानकारी भेला हुन आवश्यक पर्दछ। यसले सामान्यतया अधिक समय, प्रयास र कालो बक्स प्रवेश परीक्षण गर्नको लागि लागत खान्दछ।
खरानी-बक्स प्रवेश परीक्षणमा, परीक्षकसँग लक्षित पूर्वाधारको बारेमा सीमित वा आंशिक ज्ञान हुन्छ। उनीहरूसँग स्थानमा सुरक्षा संयन्त्रहरूको केही ज्ञान छ।
यो एक आन्तरिक वा बाह्य ह्याकरले जोसँग आक्रमणको अनुकरण गर्दछ केहि ज्ञान वा लक्षित प्रणालीमा सुविधाहरू।
सेतो-बाकस प्रवेश परीक्षणमा, परीक्षकहरूको लक्ष्य पूर्वाधारको बारेमा पूर्ण गहन ज्ञान हुन्छ। उनीहरूलाई स्थानमा सुरक्षा संयन्त्रहरूको बारेमा थाहा छ। यो परीक्षण धेरै छिटो, सजिलो, र कम महँगो बनाउँछ।
यो एक आक्रमणको अनुकरण गर्दछ जुन लक्ष्य प्रणालीमा पूर्ण ज्ञान र सुविधाहरू प्राप्त गर्ने एक इन्साइडरद्वारा हुन सक्छ।
यस प्रकारको परीक्षणमा, सबैलाई थाहा हुन्छ जब परीक्षण सुरु हुन्छ। आईटी स्टाफको नेटवर्क टोली, र व्यवस्थापन टोली सबैलाई कलम परीक्षण गतिविधिको पूर्व ज्ञान छ।
यस प्रकारको परीक्षणमा, आईटी स्टाफ र समर्थन टोलीसँग कलम परीक्षण गतिविधिको पहिले ज्ञान हुँदैन।
केवल शीर्ष प्रबन्धन परिक्षण तालिका बारे सचेत छ। त्यस्ता परीक्षणले आईटीको उत्तरदायित्व निर्धारण गर्दछ र सुरक्षा आक्रमणको मामलामा स्टाफलाई समर्थन गर्दछ।
किनभने प्रवेश परीक्षणमा धेरै कार्यहरू सामेल हुन्छन् र आक्रमणको सतह क्षेत्र पनि कहिलेकाँही जटिल हुन्छ, कहिलेकाँही धेरै कार्यहरू स्वचालित गर्नको लागि उपकरणहरू प्रयोग गर्नु आवश्यक हुन्छ।
उपकरण नियमित अन्तरालमा एक पूर्वाधारको बिरूद्ध चलाउँदछ र त्यसपछि सम्बन्धित टोलीसँग मुद्दाहरूको समाधानको लागि रिपोर्ट साझा गर्दछ।
स्वचालित उपकरणहरू प्रयोग गर्ने नकारात्मक पक्ष भनेको तिनीहरू केवल पूर्वनिर्धारित कमजोरीहरूको लागि जाँच गर्नेछन् जसले गर्दा गलत सकारात्मक रिपोर्टिंग गरिन्छ।
यसले सुरक्षा दृष्टिकोणबाट आर्किटेक्चर र प्रणाली एकीकरण समीक्षा गर्न सक्दैन। जे होस्, यो बहु लक्षित बारम्बार स्क्यान गर्न र म्यानुअल परीक्षण पूरकको लागि उपयुक्त छ।
म्यानुअल परीक्षणमा, परीक्षकले लक्षित प्रणाली प्रवेश गर्न आफ्नै विशेषज्ञता र सीपहरूको प्रयोग गर्दछ। परीक्षकले आर्किटेक्चर र अन्य प्रक्रियात्मक पक्षहरूको समीक्षा पनि सम्बन्धित टोलीसँग परामर्श गर्न सक्छ। समग्र सुरक्षा परीक्षणको लागि, स्वचालित र म्यानुअल परीक्षणको संयोजन प्रयोग गर्न उत्तम हुन्छ।
कलम परीक्षण पूर्व सगाई चरणको साथ सुरू हुन्छ। यसले ग्राहकलाई कलम परीक्षणको लागि उनीहरूको लक्ष्यहरू बारेमा कुरा गर्नु र परीक्षणको दायरा म्यापि। समावेश गर्दछ।
ग्राहक र कलम परीक्षकलाई प्रश्नहरूको रूपमा र सेट अपेक्षाहरू।
केही ग्राहकहरूले गतिविधिहरूको दायरामा सीमानाहरू राख्दछन्।
उदाहरण को लागी, ग्राहकले परीक्षकलाई डाटाबेसको जोखिमहरू पत्ता लगाउन अनुमति प्रदान गर्दछ, तर संवेदनशील डेटा ल्याउनको लागि।
पूर्व संलग्नता चरणले अन्य विवरणहरू पनि समाहित गर्दछ, जस्तै परिक्षण विन्डो, सम्पर्क जानकारी, र भुक्तान सर्तहरू।
जानकारी भेला गर्ने चरणमा, कलम परीक्षकहरूले ग्राहकको बारेमा सार्वजनिक रूपमा उपलब्ध जानकारीको खोजी गर्छन् र ग्राहकको प्रणालीहरूमा जडान हुने सम्भावित तरिकाहरू पहिचान गर्छन्।
परीक्षकहरूले पोर्ट स्क्यानर जस्ता उपकरणहरू प्रयोग गर्न थाल्छन् आन्तरिक नेटवर्कमा के प्रणालीहरू छन् र त्यहाँ के सफ्टवेयर चल्दैछन् भन्ने बारे जानकारी लिन।
धमकी-मोडेलिंग चरणमा, परीक्षकहरूले प्रत्येक खोजीको मूल्य र ग्राहकमा पार्ने प्रभावको निर्धारण गर्न अघिल्लो चरणमा भेला गरिएको जानकारीको प्रयोग गर्दछ यदि फेला पार्दा आक्रमणकारीलाई प्रणालीमा बिच्छेद गर्न अनुमति दियो भने।
यस मूल्या्कनले पेन्स्टरलाई एउटा कार्य योजना र आक्रमण गर्ने विधिहरू विकास गर्न मद्दत पुर्याउँछ।
कलम परीक्षकहरूले प्रणालीमा आक्रमण गर्न सक्नु अघि उनीहरूले जोखिम विश्लेषण गर्दछन्। यहाँ, पेन परीक्षकहरूले प्रणालीहरूमा कमजोरीहरू पत्ता लगाउन प्रयास गरे जुन अर्को चरणमा फाइदा लिन सकिन्छ।
शोषण चरणमा, पेन परीक्षकहरूले लक्षित प्रणाली विरूद्ध उनीहरूको शोषण सुरु गर्छन्। तिनीहरूले ग्राहकको प्रणालीहरूको पहुँचको प्रयासमा पहिले पत्ता लगाइएका कमजोरीहरू प्रयोग गर्छन्। तिनीहरू प्रणालीमा प्रवेश गर्न विभिन्न उपकरण र विधि प्रयास गर्दछन्।
शोषण पश्चात, परीक्षकहरूले क्षतिको हदको मूल्या evalu्कन गर्दछ जुन एक विशेष शोषण मार्फत गर्न सकिन्छ। अर्को शब्दहरुमा, तिनीहरुले जोखिमहरुको आकलन गर्छन्।
उदाहरणको लागि, कलम परीक्षणको क्रममा, परीक्षकहरूले ग्राहकको प्रणालीमा सम्झौता गरे। के त्यो घुसपैठले ग्राहकलाई कुनै अर्थ दिन्छ?
यदि तपाइँ त्यस्तो प्रणालीमा प्रवेश गर्नुभयो जुन आक्रमणकर्तालाई चासोको कुनै महत्त्वपूर्ण जानकारी प्रकट गर्दैन, त्यसोभए के हुन्छ? यो जोखिमको जोखिम उल्लेखनीय रूपमा कम छ यदि तपाईं एक ग्राहकको विकास प्रणालीको शोषण गर्न सक्षम हुनुभयो भन्दा।
प्रवेश परीक्षणको अन्तिम चरण रिपोर्टि is गर्दैछ। यस चरणमा, कलम परीक्षकहरूले उनीहरूको खोजी ग्राहकलाई अर्थपूर्ण तरीकामा व्यक्त गर्छन्। रिपोर्टले ग्राहकलाई उनीहरूले के गर्दै छन् राम्ररी सूचित गर्दछ र जहाँ उनीहरूलाई आफ्नो सुरक्षा मुद्रामा सुधार गर्न आवश्यक छ।
रिपोर्टले प्रत्येक शोषणको विवरण र तिनीहरूलाई सुधार गर्न उपायहरू समावेश गर्न सक्छ।
कलम परीक्षणको क्रममा प्रयोग हुने दुई धेरै साधारण उपकरणहरू हुन् Nmap र मेटास्प्लिट ।
दुबै उपकरणहरूले एक लक्षित प्रणालीमा जानकारीको धनी प्रदान गर्न सक्दछन्।
आपत्तिजनक सुरक्षा बाट काली लिनक्स धेरै अन्य समावेश गर्दछ उपकरणहरू परीक्षणको विभिन्न चरणहरूमा प्रयोग गरियो।