Kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari




Download 352,52 Kb.
Pdf ko'rish
bet1/5
Sana13.05.2024
Hajmi352,52 Kb.
#228981
  1   2   3   4   5
Bog'liq
pentatsion



O’ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA
KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI MUHAMMAD
AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI
UNIVERSITETI
Tarmoq Xafsizligi Fanidan
Mavzu::
Penetration Testing
Guruh: 215-21:
Bajardi: Avloqulov Sarvar
Tekshirdi: 
Xolimtayeva Ikbol


Reja:
1.P
enetration Testing nima.
2. Penetration test sinovlarining turlari
3.Penetratsion tekshirish usullari
4.Ommabop Pentesting vositalari
5.Xulosa
6.Foydalanilgan Adaboyatlar


Penetratsion test nima?
Penetratsiya testi (yoki qalam testi) kiberxavfsizlik bo'yicha 
mutaxassis kompyuter tizimidagi zaifliklarni topishga va ulardan 
foydalanishga harakat qiladigan xavfsizlik mashqidir. Ushbu taqlid 
qilingan hujumning maqsadi tajovuzkorlar foydalanishi mumkin 
bo'lgan tizim himoyasidagi zaif nuqtalarni aniqlashdir.
Bu bank kimnidir o'g'ri sifatida kiyinish va ularning binosiga bostirib 
kirishga va kassaga kirishga urinish uchun yollaganiga o'xshaydi. Agar
"o'g'ri" muvaffaqiyat qozonib, bank yoki kassaga kirsa, bank xavfsizlik 
choralarini qanday kuchaytirish kerakligi haqida qimmatli ma'lumotga 
ega bo'ladi.
Penetration testlarini kim amalga oshiradi?
Tizim qanday himoyalanganligi haqida oldindan maʼlumotga ega 
boʻlmagan odam tomonidan ruchka sinovini oʻtkazgan maʼqul, chunki 
ular tizimni yaratgan ishlab chiquvchilar oʻtkazib yuborgan koʻr-
koʻrona nuqtalarni koʻrsatishi mumkin. Shu sababli, sinovlarni o'tkazish
uchun odatda tashqi pudratchilar jalb qilinadi. Ushbu pudratchilar 
ko'pincha "axloqiy xakerlar" deb ataladi, chunki ular ruxsat va 
xavfsizlikni oshirish maqsadida tizimga kirish uchun yollanadi.


Ko'pgina axloqiy xakerlar ilg'or darajaga ega va qalam sinovi uchun 
sertifikatga ega bo'lgan tajribali ishlab chiquvchilardir. Boshqa 
tomondan, ba'zi eng yaxshi axloqiy xakerlar o'z-o'zini o'rgatadi. 
Darhaqiqat, ba'zilari isloh qilingan jinoiy xakerlar bo'lib, ular hozirda 
o'z tajribalaridan foydalanib, xavfsizlik kamchiliklarini ulardan 
foydalanish o'rniga ularni tuzatishga yordam berishadi. Qalam sinovini
o'tkazish uchun eng yaxshi nomzod maqsadli kompaniyaga va ular 
qaysi turdagi qalam testini boshlashni xohlayotganiga qarab juda farq 
qilishi mumkin.
Penetration test sinovlarining qanday turlari mavjud?

Open-box pen test-Ochiq qutili qalam testi - Ochiq quti testida
xakerga maqsadli kompaniyaning xavfsizlik ma'lumotlariga oid
ba'zi ma'lumotlar oldindan taqdim etiladi.

Closed-box pen test-Yopiq quti qalam testi - "Yagona ko'r" test 
sifatida ham tanilgan, bu xakerga maqsadli kompaniya 
nomidan tashqari hech qanday ma'lumot berilmaydi.

Covert pen test-Yashirin qalam testi – “ikki marta koʻr” ruchka 
sinovi sifatida ham tanilgan bu holat kompaniyada deyarli 


hech kim qalam sinovi oʻtkazilayotganidan, jumladan, hujumga
javob beradigan IT va xavfsizlik mutaxassislari ham xabardor 
emas. Yashirin testlar uchun, huquqni muhofaza qilish bilan 
bog'liq har qanday muammolarni oldini olish uchun xakerning 
testning ko'lami va boshqa tafsilotlarini oldindan yozma 
ravishda yozishi ayniqsa muhimdir.

External pen test-Tashqi qalam testi - Tashqi testda axloqiy 
xaker kompaniyaning veb-saytlari va tashqi tarmoq serverlari 
kabi tashqi texnologiyalariga qarshi chiqadi. Ayrim hollarda 
xakerga kompaniya binosiga ham kirishga ruxsat berilmasligi 
mumkin. Bu hujumni uzoq joydan o'tkazish yoki yaqin atrofda 
to'xtab turgan yuk mashinasi yoki furgondan sinov o'tkazishni 
anglatishi mumkin.

Internal pen test -Ichki qalam testi - Ichki testda axloqiy xaker 
testni kompaniyaning ichki tarmog'idan amalga oshiradi. 
Ushbu turdagi test norozi xodim kompaniyaning xavfsizlik 
devori ortidan qanchalik zarar etkazishi mumkinligini 
aniqlashda foydalidir.


Oddiy Penetration testi qanday amalga 
oshiriladi?
Qalam sinovlari razvedka bosqichidan boshlanadi, bu davrda axloqiy 
xaker o'zlarining simulyatsiya qilingan hujumini rejalashtirish uchun 
foydalanadigan ma'lumotlar va ma'lumotlarni to'plash uchun vaqt 
sarflaydi. Shundan so'ng, e'tibor maqsadli tizimga kirish va uni saqlab 
qolishga aylanadi, bu esa keng vositalar to'plamini talab qiladi.
Hujum vositalariga qo'pol kuch hujumlari yoki SQL 
in'ektsiyalarini ishlab chiqarish uchun mo'ljallangan dasturiy ta'minot 
kiradi . Shuningdek, ruchkani sinash uchun maxsus mo'ljallangan 
apparat vositalari mavjud, masalan, xakerga ushbu tarmoqqa 
masofadan kirishni ta'minlash uchun tarmoqdagi kompyuterga 
ulanishi mumkin bo'lgan kichik ko'rinmas qutilar. Bundan tashqari, 
axloqiy xaker zaifliklarni topish uchun ijtimoiy muhandislik 
usullaridan foydalanishi mumkin. Misol uchun, kompaniya xodimlariga 
fishing elektron pochta xabarlarini yuborish yoki hatto binoga jismoniy
kirish uchun o'zlarini etkazib beruvchi sifatida yashirish.
Hacker ularning izlarini yopish orqali testni yakunlaydi; bu har qanday 
o'rnatilgan uskunani olib tashlash va aniqlanmaslik uchun qo'llaridan 
kelganini qilish va maqsadli tizimni aynan qanday topib qo'yishni 
anglatadi.


Penetratsiyani tekshirish usullari
Tashqi sinov
Tashqi kirish testlari kompaniyaning internetda ko'rinadigan 
aktivlariga, masalan, veb-ilovaning o'zi, kompaniya veb-saytiga, 
elektron pochta va domen nomlari serverlariga (DNS) qaratilgan. 
Maqsad qimmatli ma'lumotlarga kirish va olishdir.
Ichki sinov
Ichki testda xavfsizlik devori orqasidagi ilovaga kirish huquqiga ega 
bo'lgan tester zararli insayder hujumini simulyatsiya qiladi. Bu yolg'on 
xodimni taqlid qilish shart emas. Umumiy boshlang'ich stsenariy, 
hisob ma'lumotlari 
fishing hujumi
tufayli o'g'irlangan xodim bo'lishi 
mumkin .
Ko'r-ko'rona sinov
Ko'r-ko'rona testda testerga faqat maqsadli korxona nomi beriladi. Bu 
xavfsizlik xodimlariga haqiqiy dastur hujumi qanday sodir bo'lishini 
real vaqt rejimida ko'rish imkonini beradi.


Ikki marta ko'r-ko'rona sinov
Ikki marta ko'r-ko'rona sinovda xavfsizlik xodimlari simulyatsiya 
qilingan hujum haqida oldindan ma'lumotga ega emaslar. Haqiqiy 
dunyoda bo'lgani kabi, buzg'unchilikka urinish oldidan ularning 
himoyasini mustahkamlash uchun vaqtlari bo'lmaydi.
Maqsadli test
Ushbu stsenariyda sinovchi va xavfsizlik xodimlari birgalikda ishlaydi 
va bir-birlarini harakatlarini baholaydilar. Bu xavfsizlik guruhiga 
xakerlar nuqtai nazaridan real vaqt rejimida fikr-mulohazalarni taqdim 
etadigan qimmatli o'quv mashqidir.


Penetratsion test va ijtimoiy muhandislik
Penetratsiya testi boshqa tajovuzkorlardan oldin xizmatlar va 
tashkilotlardagi zaifliklarni aniqlash uchun faol chora sifatida xizmat 
qiladi.


Penetratsion test ko'plab sohalarda taklif qilinishi mumkin, masalan:

Veb ilovalar. Yangi veb-ilovalar ishlab chiqilgan va chiqarilgan.

Tarmoq va infratuzilma. Ko'pgina ilovalar veb-ilova emas, balki 
boshqa protokollardan foydalanadi. Ushbu tashkilot ilovalari ham 
tashqi, ham ichki joylashishi mumkin.

Ichkarida sinov / Infektsiyalangan kompyuter simulyatsiyasi. 
Agar foydalanuvchi o'z tizimida zararli dasturlarni qabul qilsa 
nima bo'ladi? Bu deyarli har qanday tashkilot uchun jiddiy xavf 
tug'diruvchi ushbu tizimda klaviaturaga ega bo'lgan tajovuzkorga
teng bo'ladi.

Tashqi tashkiliy test. Penetratsion sinovchilar uchun butun 
tashkilot doirasidagi sinov. Bu ideal, lekin ko'pincha ushbu uzoq 
muddatli yoki ushbu testni o'tkazish uchun tashqi jamoani yollash
bilan bog'liq yuqori xarajatlarga e'tibor qaratish uchun o'zlarining
ichki penetratsion test guruhiga ega bo'lishni o'z ichiga oladi.

O'g'irlangan noutbuk stsenariysi. Quyida bizning 
stsenariylarimizda batafsil tavsiflangan.


Mijoz tomoni ilovalari. Korxonada C, C++, Java, Flash, Silverlight 
yoki boshqa kompilyatsiya qilingan dasturlar kabi turli tillarda 
yozilgan ko'plab ilovalar mavjud. Penetratsion test ushbu 
aktivlarga ham e'tibor qaratishi mumkin.

Simsiz tarmoqlar. Sinov WIFI-ni buzish mumkinligini, 
qurilmalarda eskirgan va zaif dasturiy ta'minot mavjudligini va 
simsiz tarmoq va boshqa tarmoqlar o'rtasida to'g'ri 
segmentatsiya o'rnatilganligini aniqlashga xizmat qiladi.

Mobil ilovalar (Android, Windows Phone, IOS). Mobil ilovalarda 
zaifliklar bo'lishi mumkin, shuningdek, ulanishlar va korxona 
ichida joylashgan tizimlarga havolalar ham bo'lishi mumkin. Mobil
ilovalar, shuningdek, tajovuzkorlar tomonidan osongina 


foydalanilishi mumkin bo'lgan API kalitlari kabi sirlarga ega 
bo'lishi mumkin.

Ijtimoiy muhandislik. Quyida bizning stsenariylarimizda batafsil 
tavsiflangan.

Fishing va Vishing. Quyida bizning stsenariylarimizda batafsil 
tavsiflangan.

Jismoniy. Penetratsion test guruhi, agar ular noutbuk bilan bir 
joyda paydo bo'lsa va tarmoqqa ulangan bo'lsa, nima bo'lishini 
ko'rishga harakat qilishi mumkin. Jismoniy hujumlar joylarga 
qarshi boshqa turdagi yashirin hujumlarni ham o'z ichiga olishi 
mumkin.

ICS ("Sanoatni boshqarish tizimlari") / SCADA ("Nazorat nazorati 
va ma'lumotlarni yig'ish"). Ushbu tizimlar odatda tashkilotlarning 
eng zaif va muhim aktivlarini nazorat qiladi va shuning uchun 
ular tekshirilishi kerak.
Axborot xavfsizligi bo'yicha kirish testi ko'nikmalarini talab qiladigan 
eng yaxshi kasblar [1]


Download 352,52 Kb.
  1   2   3   4   5




Download 352,52 Kb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



Kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari

Download 352,52 Kb.
Pdf ko'rish