Pentesting uchun eng yaxshi nomzod

1 2 3 4 5 6

Bog'liq
Asliddin Malikov Beshimov Javohir Mustaqil ish Mavzu Penetratio-fayllar.org

Pentesting uchun eng yaxshi nomzod kompaniya maqsadiga va qaysi pen testingni o’tkazishni xohlayotganiga qarab keskin farq qilishi mumkin.

Penetration testing amalga oshirish bosqichlari

Sinovning ko'lami va maqsadlarini, shu jumladan ko'rib chiqilishi kerak bo'lgan tizimlar va qo'llaniladigan test usullarini aniqlash.
Pen testing o’tkazilishi kerak bo’lgan tizim qanday ishlashini va uning potentsial zaifliklarini yaxshiroq tushunish uchun razvedka ma'lumotlarini yig'ish (masalan, tarmoq va domen nomlari, pochta serveri).

Keyingi qadam, maqsadli dastur turli xil bosqinchilik urinishlariga qanday javob berishini tushunishdir. Bu odatda quyidagilar yordamida amalga oshiriladi:
- Statik tahlil - dasturning ishlayotganda qanday harakat qilishini baholash uchun uning kodini tekshirish. Ushbu vositalar bir martalik kodni to'liq skanerlashi mumkin.
- Dinamik tahlil - ishlayotgan holatda dastur kodini tekshirish. Bu skanerlashning yanada amaliy usuli, chunki u real vaqt rejimida dasturning ishlashini ko'rish imkonini beradi.

Ushbu bosqich tekshirilayotgan tizimni zaif tomonlarini ochish uchun cross-site scripting, SQL injection and backdoors kabi veb-ilova hujumlaridan foydalanadi. Keyin pen testerlar ushbu zaifliklardan foydalanishga harakat qiladilar, odatda tizimga kirish imkoniyatlarini oshirish, ma'lumotlarni o'g'irlash, trafikni ushlab turish va hokazolar, ular olib kelishi mumkin bo'lgan zararni tushunish uchundir.

Ushbu bosqichning maqsadi zaiflikdan ekspluatatsiya qilinayotgan tizimda doimiy mavjudligiga erishish uchun foydalanish mumkinligini ko'rishdir.
Ushbu boshqichda tashkilotning eng nozik ma'lumotlarini o'g'irlash uchun ko'pincha oylar davomida tizimda qoladigan ilg'or doimiy tahdidlarga taqlid qilishdir.

Download 12,28 Kb.

1 2 3 4 5 6

Download 12,28 Kb.