|
Muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti kiberxavfsizlik asoslari
|
| bet | 1/2 | | Sana | 05.01.2024 | | Hajmi | 131.4 Kb. | | #130496 |
Bog'liq maruza
O‘ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALAR VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI
KIBERXAVFSIZLIK ASOSLARI
Mustaqil ish
Mavzu: Penetration Testing.
Kompyuter tarmoqlari va ularning elementlari
Bajardi: 0130-guruh talabasi
Bozorova Maftuna
Toshkent 2023
Mavzu: Penetration Testing.
Kompyuter tarmoqlari va ularning elementlari
Penetratsiya testi nima?
Penetratsiya testi, shuningdek, kirish testi sifatida ham tanilgan, foydalaniladigan zaifliklarni tekshirish uchun kompyuter tizimingizga kiberhujumning simulyatsiyasi. Veb-ilovalar xavfsizligi kontekstida kirish testi odatda veb-ilovalar xavfsizlik devorini (WAF) to'ldirish uchun ishlatiladi.
Qalamni sinovdan o'tkazish kodni kiritish hujumlariga moyil bo'lgan ruxsatsiz kirishlar kabi zaifliklarni aniqlash uchun istalgan sonli dastur tizimlarini (masalan, dastur protokoli interfeyslari (API), front-end/backend serverlar) buzishga urinishlarni o'z ichiga olishi mumkin.
Penetratsiya testidan olingan ma'lumotlar WAF xavfsizlik siyosatini sozlash va aniqlangan zaifliklarni tuzatish uchun ishlatilishi mumkin.
Penetratsiya testi bosqichlari:
Penetratsiya testining sinovdan o'tkazish jarayonini besh bosqichga bo'lish mumkin.
1. Rejalashtirish va qidiruv ishlari
Birinchi bosqich quyidagilarni o'z ichiga oladi:
• Ko'rib chiqiladigan tizimlar va qo'llaniladigan test usullarini o'z ichiga olgan test ko'lami va maqsadlarini aniqlash.
• Maqsad qanday ishlashini va uning potentsial zaifliklarini yaxshiroq tushunish uchun analitik ma'lumotlarni (masalan, tarmoq va domen nomlari, pochta serveri) to'plang.
2. Skanerlash
Keyingi qadam, maqsadli dastur turli xil bosqinchilik urinishlariga qanday javob berishini tushunishdir. Bu odatda quyidagilar yordamida amalga oshiriladi:
• Statik tahlil - ish paytida uning harakatini baholash uchun dastur kodini tekshirish. Ushbu vositalar butun kodni bir marta skanerlashi mumkin.
• Dinamik tahlil – dastur kodini ish holatida tekshirish. Bu amaliyroq skanerlash usuli, chunki u real vaqt rejimida ilovaning ishlashini ko'rish imkonini beradi.
3. Ruxsat olish
Ushbu bosqich maqsadning zaif tomonlarini aniqlash uchun saytlararo skriptlar, SQL in'ektsiyasi va orqa eshiklar kabi veb-ilova hujumlaridan foydalanadi. Keyin sinovchilar ushbu zaifliklardan foydalanishga harakat qilishadi, odatda imtiyozlarni oshirish, ma'lumotlarni o'g'irlash, trafikni ushlab turish va hokazolar, ular qanchalik zarar etkazishi mumkinligini ko'rish uchun.
4. Kirish imkoniyatini saqlash
Ushbu bosqichning maqsadi zaiflikdan foydalanilgan tizimda doimiy mavjudligiga erishish uchun foydalanish mumkinligini aniqlashdir - bu tajovuzkor chuqur kirish huquqiga ega bo'lishi uchun etarli. G'oya tashkilotning eng nozik ma'lumotlarini o'g'irlash uchun ko'pincha bir necha oy davomida tizimda qoladigan murakkab doimiy tahdidlarga taqlid qilishdir.
5. Tahlil
Keyin kirish testi natijalari batafsil bayon qilingan hisobotga tuziladi:
• Foydalanilgan maxsus zaifliklar.
• Kiritilgan maxfiy ma'lumotlar
• Penetratsion sinov qurilmasi tizimda aniqlanmasdan qolishi mumkin bo'lgan vaqt.
Ushbu ma'lumotlar zaifliklarni yumshatish va kelajakdagi hujumlardan himoya qilish uchun korporativ WAF sozlamalarini va boshqa ilovalar xavfsizligi echimlarini sozlashda yordam berish uchun xavfsizlik guruhlari tomonidan tahlil qilinadi.
|
| |
