एथिकल ह्याकिंग फंडामेन्टलहरू

यो ब्लग पोष्ट पेन्ट्रेशन टेस्टिंग र एथिकल ह्याकिंगको परिचय हो। हामी कलम परीक्षणको आधारभूत कुरा कवर गर्नेछौं र वर्णन गर्नुहोस् किन प्रवेश परीक्षण संगठनहरूका लागि महत्वपूर्ण छ।

हामी प्रवेश परीक्षणको चरणहरू पनि कभर गर्नेछौं र प्रत्येक चरणमा के हुन्छ वर्णन गर्दछौं।

अन्तमा, हामी पेनेट्रेशन टेस्टि commonlyमा सामान्यतया प्रयोग हुने केही उपकरणहरू हेर्नेछौं।




प्रवेश परीक्षण - नैतिक ह्याकि Bas बेसिक्स

एथिकल ह्याकि What भनेको के हो?

जब हामी ह्याकि ofको बारेमा सोच्दछौं, हामी यसलाई प्रायः अवैध वा आपराधिक गतिविधिमा स associate्लग्न गर्दछौं। जब एक ह्याकरले प्रणालीमा हमला गर्छ, तिनीहरू यो प्रणालीको मालिकको ज्ञान र सहमति बिना गर्छन्। सरल भाषामा भन्नुपर्दा यो मालिकको पूर्ण अनुमति र अघिल्लो सम्झौता बिना कसैको घरमा प्रवेश गर्नुजस्तो हो।

एथिकल ह्याकिcking, अर्कोतर्फ, अझै ह्याकि is गर्दै छ। यसमा प्रणालीको बारेमा जानकारी जम्मा गर्ने, कमाहरू पत्ता लगाउने र पहुँच प्राप्त गर्ने काम समावेश छ। यद्यपि, नैतिक ह्याकि inमा, पेन परीक्षक has_ पूर्ण सहमति र अनुमति _ प्रणाली मालिकको। तसर्थ, गतिविधि नैतिक हुन्छ, अर्थात् राम्रो इरादाको साथ।


ग्राहकहरूले सुरक्षा सुधार गर्न नैतिक ह्याकरहरू प्रयोग गर्छन्।

प्रवेश परीक्षण के हो?

प्रवेश परीक्षणमा सम्भावित सुरक्षा उल्लंघनसँग सम्बन्धित जोखिमको आकलन गर्न वास्तविक आक्रमणहरूको नक्कल समावेश गर्दछ।

कलम परीक्षणको बखत, परीक्षकहरूले भेद्यताहरू पत्ता लगाउन विभिन्न उपकरणहरू र विधिहरू प्रयोग गर्छन्। त्यसपछि उनीहरू कमजोर शोषण गर्ने प्रयास गर्नेछन् आक्रमणकारीहरूले सफल शोषणपछि के हासिल गर्न सक्दछन् भन्ने मूल्या assess्कन गर्न।

किन प्रवेश परीक्षण आवश्यक छ?

वर्षौंको दौडान साइबर खतराहरू र सूचना प्रविधि सम्बन्धी आपराधिक गतिविधिहरूको संख्यामा निरन्तर वृद्धि भइरहेको छ। व्यवसायहरूले उनीहरूको प्रणालीमा कमजोरीहरू पहिचान गर्न नियमित कमजोरी मूल्यांकन र प्रवेश परीक्षण गर्न आवश्यक छ। त्यसोभए उनीहरूको मालिसियस ह्याकरहरू बिरूद्ध प्रभावकारी उपायहरू प्रयोग गर्न सक्दछन्।


कलम कसले गर्छ?

नैतिक ह्याकरहरू ती व्यक्ति हुन् जसले सामान्य रूपमा पेनेट्रेसन टेस्टिंग गर्छन्।

चोर समात्नको लागि तपाईले सोच्नु पर्छ।

नैतिक ह्याकिंगमा पनि यस्तै हुन्छ।

कम्प्युटर प्रणालीमा सुरक्षा प्वालहरू फेला पार्न र यसलाई ठीक गर्न, तपाईंले मालिसियस ह्याकरको जस्तो सोच्नु पर्छ। तपाईं उही रणनीतिहरू, उपकरणहरू, र प्रक्रियाहरू प्रयोग गर्नुहुन्छ तिनीहरू प्रयोग गर्न सक्नुहुन्छ।


एक नैतिक ह्याकरले समान उपकरणहरू र प्रविधिहरू अपराधीले प्रयोग गर्न सक्दछ। तर तिनीहरू नेटवर्क वा प्रणाली सुरक्षित गर्न मद्दतको लागि ग्राहकको पूर्ण समर्थन र अनुमोदनको साथ त्यसो गर्छन्।

प्रवेश परीक्षण बनाम कमजोर पार्ने आकलन

असुरक्षा मूल्यांकनले जोखिमहरूका लागि खुला सम्पत्ति (नेटवर्क, सर्भर, अनुप्रयोगहरू) जाँच गर्दछ। एक कमजोर स्क्यान को नकारात्मक पक्ष यो अक्सर झूटा सकारात्मक रिपोर्ट गर्दछ। गलत पॉजिटिभ एउटा संकेत हुन सक्दछ कि अवस्थित नियन्त्रण पूर्ण प्रभावी छैन।

प्रवेश परीक्षण एक कदम अगाडि जान्छ र कमजोरहरूलाई हेर्छ र तिनीहरूलाई प्रयास र शोषण गर्दछ।



Penteration टेस्टिंगका प्रकारहरू

कालो बक्स प्रवेश परीक्षण

कालो-बाकस प्रवेश परीक्षणमा, परीक्षकलाई लक्ष्यको बारेमा पहिलेको ज्ञान छैन। यसले निकटको वास्तविक-संसारको आक्रमणहरूको नक्कल गर्दछ र गलत सकारात्मकलाई कम गर्दछ।


यस प्रकारको परीक्षणको लागि लक्ष्य प्रणाली / नेटवर्कमा विस्तृत अनुसन्धान र जानकारी भेला हुन आवश्यक पर्दछ। यसले सामान्यतया अधिक समय, प्रयास र कालो बक्स प्रवेश परीक्षण गर्नको लागि लागत खान्दछ।

खरानी-बक्स प्रवेश परीक्षण

खरानी-बक्स प्रवेश परीक्षणमा, परीक्षकसँग लक्षित पूर्वाधारको बारेमा सीमित वा आंशिक ज्ञान हुन्छ। उनीहरूसँग स्थानमा सुरक्षा संयन्त्रहरूको केही ज्ञान छ।

यो एक आन्तरिक वा बाह्य ह्याकरले जोसँग आक्रमणको अनुकरण गर्दछ केहि ज्ञान वा लक्षित प्रणालीमा सुविधाहरू।

श्वेत-बक्स प्रवेश परीक्षण

सेतो-बाकस प्रवेश परीक्षणमा, परीक्षकहरूको लक्ष्य पूर्वाधारको बारेमा पूर्ण गहन ज्ञान हुन्छ। उनीहरूलाई स्थानमा सुरक्षा संयन्त्रहरूको बारेमा थाहा छ। यो परीक्षण धेरै छिटो, सजिलो, र कम महँगो बनाउँछ।


यो एक आक्रमणको अनुकरण गर्दछ जुन लक्ष्य प्रणालीमा पूर्ण ज्ञान र सुविधाहरू प्राप्त गर्ने एक इन्साइडरद्वारा हुन सक्छ।

घोषित परीक्षण

यस प्रकारको परीक्षणमा, सबैलाई थाहा हुन्छ जब परीक्षण सुरु हुन्छ। आईटी स्टाफको नेटवर्क टोली, र व्यवस्थापन टोली सबैलाई कलम परीक्षण गतिविधिको पूर्व ज्ञान छ।

अघोषित परीक्षण

यस प्रकारको परीक्षणमा, आईटी स्टाफ र समर्थन टोलीसँग कलम परीक्षण गतिविधिको पहिले ज्ञान हुँदैन।

केवल शीर्ष प्रबन्धन परिक्षण तालिका बारे सचेत छ। त्यस्ता परीक्षणले आईटीको उत्तरदायित्व निर्धारण गर्दछ र सुरक्षा आक्रमणको मामलामा स्टाफलाई समर्थन गर्दछ।

स्वचालित प्रवेश परीक्षण

किनभने प्रवेश परीक्षणमा धेरै कार्यहरू सामेल हुन्छन् र आक्रमणको सतह क्षेत्र पनि कहिलेकाँही जटिल हुन्छ, कहिलेकाँही धेरै कार्यहरू स्वचालित गर्नको लागि उपकरणहरू प्रयोग गर्नु आवश्यक हुन्छ।

उपकरण नियमित अन्तरालमा एक पूर्वाधारको बिरूद्ध चलाउँदछ र त्यसपछि सम्बन्धित टोलीसँग मुद्दाहरूको समाधानको लागि रिपोर्ट साझा गर्दछ।

स्वचालित उपकरणहरू प्रयोग गर्ने नकारात्मक पक्ष भनेको तिनीहरू केवल पूर्वनिर्धारित कमजोरीहरूको लागि जाँच गर्नेछन् जसले गर्दा गलत सकारात्मक रिपोर्टिंग गरिन्छ।

यसले सुरक्षा दृष्टिकोणबाट आर्किटेक्चर र प्रणाली एकीकरण समीक्षा गर्न सक्दैन। जे होस्, यो बहु लक्षित बारम्बार स्क्यान गर्न र म्यानुअल परीक्षण पूरकको लागि उपयुक्त छ।

म्यानुअल प्रवेश परीक्षण

म्यानुअल परीक्षणमा, परीक्षकले लक्षित प्रणाली प्रवेश गर्न आफ्नै विशेषज्ञता र सीपहरूको प्रयोग गर्दछ। परीक्षकले आर्किटेक्चर र अन्य प्रक्रियात्मक पक्षहरूको समीक्षा पनि सम्बन्धित टोलीसँग परामर्श गर्न सक्छ। समग्र सुरक्षा परीक्षणको लागि, स्वचालित र म्यानुअल परीक्षणको संयोजन प्रयोग गर्न उत्तम हुन्छ।



प्रवेश परीक्षणको चरणहरू

कलम परीक्षण पूर्व सगाई चरणको साथ सुरू हुन्छ। यसले ग्राहकलाई कलम परीक्षणको लागि उनीहरूको लक्ष्यहरू बारेमा कुरा गर्नु र परीक्षणको दायरा म्यापि। समावेश गर्दछ।

ग्राहक र कलम परीक्षकलाई प्रश्नहरूको रूपमा र सेट अपेक्षाहरू।

केही ग्राहकहरूले गतिविधिहरूको दायरामा सीमानाहरू राख्दछन्।

उदाहरण को लागी, ग्राहकले परीक्षकलाई डाटाबेसको जोखिमहरू पत्ता लगाउन अनुमति प्रदान गर्दछ, तर संवेदनशील डेटा ल्याउनको लागि।

पूर्व संलग्नता चरणले अन्य विवरणहरू पनि समाहित गर्दछ, जस्तै परिक्षण विन्डो, सम्पर्क जानकारी, र भुक्तान सर्तहरू।

जानकारी भेला

जानकारी भेला गर्ने चरणमा, कलम परीक्षकहरूले ग्राहकको बारेमा सार्वजनिक रूपमा उपलब्ध जानकारीको खोजी गर्छन् र ग्राहकको प्रणालीहरूमा जडान हुने सम्भावित तरिकाहरू पहिचान गर्छन्।

परीक्षकहरूले पोर्ट स्क्यानर जस्ता उपकरणहरू प्रयोग गर्न थाल्छन् आन्तरिक नेटवर्कमा के प्रणालीहरू छन् र त्यहाँ के सफ्टवेयर चल्दैछन् भन्ने बारे जानकारी लिन।

धम्की मोडेलिंग

धमकी-मोडेलिंग चरणमा, परीक्षकहरूले प्रत्येक खोजीको मूल्य र ग्राहकमा पार्ने प्रभावको निर्धारण गर्न अघिल्लो चरणमा भेला गरिएको जानकारीको प्रयोग गर्दछ यदि फेला पार्दा आक्रमणकारीलाई प्रणालीमा बिच्छेद गर्न अनुमति दियो भने।

यस मूल्या्कनले पेन्स्टरलाई एउटा कार्य योजना र आक्रमण गर्ने विधिहरू विकास गर्न मद्दत पुर्‍याउँछ।

कमजोरी विश्लेषण

कलम परीक्षकहरूले प्रणालीमा आक्रमण गर्न सक्नु अघि उनीहरूले जोखिम विश्लेषण गर्दछन्। यहाँ, पेन परीक्षकहरूले प्रणालीहरूमा कमजोरीहरू पत्ता लगाउन प्रयास गरे जुन अर्को चरणमा फाइदा लिन सकिन्छ।

अपरेशन

शोषण चरणमा, पेन परीक्षकहरूले लक्षित प्रणाली विरूद्ध उनीहरूको शोषण सुरु गर्छन्। तिनीहरूले ग्राहकको प्रणालीहरूको पहुँचको प्रयासमा पहिले पत्ता लगाइएका कमजोरीहरू प्रयोग गर्छन्। तिनीहरू प्रणालीमा प्रवेश गर्न विभिन्न उपकरण र विधि प्रयास गर्दछन्।

शोषण पोष्ट गर्नुहोस्

शोषण पश्चात, परीक्षकहरूले क्षतिको हदको मूल्या evalu्कन गर्दछ जुन एक विशेष शोषण मार्फत गर्न सकिन्छ। अर्को शब्दहरुमा, तिनीहरुले जोखिमहरुको आकलन गर्छन्।

उदाहरणको लागि, कलम परीक्षणको क्रममा, परीक्षकहरूले ग्राहकको प्रणालीमा सम्झौता गरे। के त्यो घुसपैठले ग्राहकलाई कुनै अर्थ दिन्छ?

यदि तपाइँ त्यस्तो प्रणालीमा प्रवेश गर्नुभयो जुन आक्रमणकर्तालाई चासोको कुनै महत्त्वपूर्ण जानकारी प्रकट गर्दैन, त्यसोभए के हुन्छ? यो जोखिमको जोखिम उल्लेखनीय रूपमा कम छ यदि तपाईं एक ग्राहकको विकास प्रणालीको शोषण गर्न सक्षम हुनुभयो भन्दा।

रिपोर्ट गर्दै

प्रवेश परीक्षणको अन्तिम चरण रिपोर्टि is गर्दैछ। यस चरणमा, कलम परीक्षकहरूले उनीहरूको खोजी ग्राहकलाई अर्थपूर्ण तरीकामा व्यक्त गर्छन्। रिपोर्टले ग्राहकलाई उनीहरूले के गर्दै छन् राम्ररी सूचित गर्दछ र जहाँ उनीहरूलाई आफ्नो सुरक्षा मुद्रामा सुधार गर्न आवश्यक छ।

रिपोर्टले प्रत्येक शोषणको विवरण र तिनीहरूलाई सुधार गर्न उपायहरू समावेश गर्न सक्छ।



प्रवेश उपकरणको लागि प्रयोग गरिने सामान्य उपकरणहरू

कलम परीक्षणको क्रममा प्रयोग हुने दुई धेरै साधारण उपकरणहरू हुन् Nmapमेटास्प्लिट

दुबै उपकरणहरूले एक लक्षित प्रणालीमा जानकारीको धनी प्रदान गर्न सक्दछन्।

आपत्तिजनक सुरक्षा बाट काली लिनक्स धेरै अन्य समावेश गर्दछ उपकरणहरू परीक्षणको विभिन्न चरणहरूमा प्रयोग गरियो।

रोचक लेख