• Bajardi: 0130-guruh talabasi Bozorova Maftuna Toshkent 2023 Mavzu: Penetration Testing. Kompyuter tarmoqlari va ularning elementlari
  • Penetratsiya testi bosqichlari: Penetratsiya testining sinovdan otkazish jarayonini besh bosqichga bolish mumkin. 1. Rejalashtirish va qidiruv ishlari
  • Statik tahlil
  • Ruxsat olish
  • Kirish imkoniyatini saqlash
  • Muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti kiberxavfsizlik asoslari




    Download 131,4 Kb.
    bet1/2
    Sana05.01.2024
    Hajmi131,4 Kb.
    #130496
      1   2
    Bog'liq
    maruza


    O‘ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALAR VAZIRLIGI
    MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI



    KIBERXAVFSIZLIK ASOSLARI


    Mustaqil ish
    Mavzu: Penetration Testing.
    Kompyuter tarmoqlari va ularning elementlari


    Bajardi: 0130-guruh talabasi
    Bozorova Maftuna

    Toshkent 2023
    Mavzu: Penetration Testing.
    Kompyuter tarmoqlari va ularning elementlari


    Penetratsiya testi nima?
    Penetratsiya testi, shuningdek, kirish testi sifatida ham tanilgan, foydalaniladigan zaifliklarni tekshirish uchun kompyuter tizimingizga kiberhujumning simulyatsiyasi. Veb-ilovalar xavfsizligi kontekstida kirish testi odatda veb-ilovalar xavfsizlik devorini (WAF) to'ldirish uchun ishlatiladi.
    Qalamni sinovdan o'tkazish kodni kiritish hujumlariga moyil bo'lgan ruxsatsiz kirishlar kabi zaifliklarni aniqlash uchun istalgan sonli dastur tizimlarini (masalan, dastur protokoli interfeyslari (API), front-end/backend serverlar) buzishga urinishlarni o'z ichiga olishi mumkin.
    Penetratsiya testidan olingan ma'lumotlar WAF xavfsizlik siyosatini sozlash va aniqlangan zaifliklarni tuzatish uchun ishlatilishi mumkin.
    Penetratsiya testi bosqichlari:
    Penetratsiya testining sinovdan o'tkazish jarayonini besh bosqichga bo'lish mumkin.
    1. Rejalashtirish va qidiruv ishlari
    Birinchi bosqich quyidagilarni o'z ichiga oladi:
    • Ko'rib chiqiladigan tizimlar va qo'llaniladigan test usullarini o'z ichiga olgan test ko'lami va maqsadlarini aniqlash.
    • Maqsad qanday ishlashini va uning potentsial zaifliklarini yaxshiroq tushunish uchun analitik ma'lumotlarni (masalan, tarmoq va domen nomlari, pochta serveri) to'plang.
    2. Skanerlash
    Keyingi qadam, maqsadli dastur turli xil bosqinchilik urinishlariga qanday javob berishini tushunishdir. Bu odatda quyidagilar yordamida amalga oshiriladi:
    Statik tahlil - ish paytida uning harakatini baholash uchun dastur kodini tekshirish. Ushbu vositalar butun kodni bir marta skanerlashi mumkin.
    Dinamik tahlil – dastur kodini ish holatida tekshirish. Bu amaliyroq skanerlash usuli, chunki u real vaqt rejimida ilovaning ishlashini ko'rish imkonini beradi.
    3. Ruxsat olish
    Ushbu bosqich maqsadning zaif tomonlarini aniqlash uchun saytlararo skriptlar, SQL in'ektsiyasi va orqa eshiklar kabi veb-ilova hujumlaridan foydalanadi. Keyin sinovchilar ushbu zaifliklardan foydalanishga harakat qilishadi, odatda imtiyozlarni oshirish, ma'lumotlarni o'g'irlash, trafikni ushlab turish va hokazolar, ular qanchalik zarar etkazishi mumkinligini ko'rish uchun.
    4. Kirish imkoniyatini saqlash
    Ushbu bosqichning maqsadi zaiflikdan foydalanilgan tizimda doimiy mavjudligiga erishish uchun foydalanish mumkinligini aniqlashdir - bu tajovuzkor chuqur kirish huquqiga ega bo'lishi uchun etarli. G'oya tashkilotning eng nozik ma'lumotlarini o'g'irlash uchun ko'pincha bir necha oy davomida tizimda qoladigan murakkab doimiy tahdidlarga taqlid qilishdir.
    5. Tahlil
    Keyin kirish testi natijalari batafsil bayon qilingan hisobotga tuziladi:
    • Foydalanilgan maxsus zaifliklar.
    • Kiritilgan maxfiy ma'lumotlar
    • Penetratsion sinov qurilmasi tizimda aniqlanmasdan qolishi mumkin bo'lgan vaqt.
    Ushbu ma'lumotlar zaifliklarni yumshatish va kelajakdagi hujumlardan himoya qilish uchun korporativ WAF sozlamalarini va boshqa ilovalar xavfsizligi echimlarini sozlashda yordam berish uchun xavfsizlik guruhlari tomonidan tahlil qilinadi.



    Download 131,4 Kb.
      1   2




    Download 131,4 Kb.

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    Muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti kiberxavfsizlik asoslari

    Download 131,4 Kb.