• Kor-korona sinov
  • Maqsadli test
  • Penetratsion test va veb-ilovalar xavfsizlik devorlari
  • Muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti kiberxavfsizlik asoslari




    Download 131,4 Kb.
    bet2/2
    Sana05.01.2024
    Hajmi131,4 Kb.
    #130496
    1   2
    Bog'liq
    maruza

    Penetratsiya testi metodlari:
    Tashqi sinov
    Tashqi penetratsiya testlari veb-ilovaning o'zi, kompaniya veb-sayti, elektron pochta va domen nomlari tizimi (DNS) serverlari kabi Internetda ko'rinadigan kompaniya aktivlariga qaratilgan. Maqsad qimmatli ma'lumotlarga kirish va olishdir.
    Ichki test
    Ichki test paytida xavfsizlik devori orqasidagi ilovaga kirish huquqiga ega bo'lgan tester zararli insayder hujumini simulyatsiya qiladi. Bu firibgar xodimga taqlid qilish shart emas. Umumiy boshlang'ich stsenariy hisob ma'lumotlari fishing hujumida o'g'irlangan xodim bo'lishi mumkin.
    Ko'r-ko'rona sinov
    Ko'r-ko'rona testda testerga faqat maqsadli korxona nomi aytiladi. Bu xavfsizlik xodimlariga real vaqtda ilovaga haqiqiy hujum qanday sodir bo'lishini tushunish imkoniyatini beradi.
    Ikki marta ko'r test
    Ikki marta ko'r-ko'rona sinovda xavfsizlik xodimlari simulyatsiya qilingan hujum haqida oldindan ma'lumotga ega emas edi. Haqiqiy dunyoda bo'lgani kabi, ular xakerlik urinishidan oldin himoyasini kuchaytirishga vaqtlari bo'lmaydi.
    Maqsadli test
    Ushbu stsenariyda ham sinovchi, ham xavfsizlik xodimlari birgalikda ishlaydi va bir-birlarini harakatlari haqida xabardor qiladilar. Bu xavfsizlik guruhiga xakerlar nuqtai nazaridan real vaqtda fikr-mulohazalarni taqdim etadigan qimmatli o'quv mashqidir.


    Penetratsion test va veb-ilovalar xavfsizlik devorlari
    Penetratsion test va WAF eksklyuziv, ammo o'zaro manfaatli xavfsizlik choralaridir.
    Penetratsion test sinovlarining ko'p turlari uchun (ko'r va ikki marta ko'r testlar bundan mustasno), sinovchi dasturning zaif tomonlarini aniqlash va ulardan foydalanish uchun jurnallar kabi WAF ma'lumotlaridan foydalanishi mumkin.
    O'z navbatida, WAF ma'murlari qalam sinovlari ma'lumotlaridan foydalanishlari mumkin. Sinov tugagandan so'ng, WAF konfiguratsiyasi sinov paytida aniqlangan zaif tomonlardan himoya qilish uchun yangilanishi mumkin.
    Nihoyat, kirish testi xavfsizlik auditi tartib-qoidalari, jumladan PCI DSS va SOC 2 uchun maʼlum muvofiqlik talablariga javob beradi. PCI-DSS 6.6 kabi baʼzi standartlarga faqat sertifikatlangan WAF dan foydalanganda erishish mumkin. Biroq, bu yuqorida aytib o'tilgan afzalliklari va WAF konfiguratsiyasini yaxshilash qobiliyati tufayli penetratsion testni kamroq foydali qilmaydi.

    Penetration testing amalga oshirish bosqichlari


    Pen testingni amalga oshirish jarayoni umumiy 5 ta bosqichga bo’linadi.
    Planning and reconnaissance(razvedka qilish)
    Sinovning ko'lami va maqsadlarini, shu jumladan ko'rib chiqilishi kerak bo'lgan tizimlar va qo'llaniladigan test usullarini aniqlash.
    Pen testing o’tkazilishi kerak bo’lgan tizim qanday ishlashini va uning potentsial zaifliklarini yaxshiroq tushunish uchun razvedka ma'lumotlarini yig'ish (masalan, tarmoq va domen nomlari, pochta serveri).
    Scanning
    Keyingi qadam, maqsadli dastur turli xil bosqinchilik urinishlariga qanday javob berishini tushunishdir. Bu odatda quyidagilar yordamida amalga oshiriladi:
    Statik tahlil - dasturning ishlayotganda qanday harakat qilishini baholash uchun uning kodini tekshirish. Ushbu vositalar bir martalik kodni to'liq skanerlashi mumkin.
    Dinamik tahlil - ishlayotgan holatda dastur kodini tekshirish. Bu skanerlashning yanada amaliy usuli, chunki u real vaqt rejimida dasturning ishlashini ko'rish imkonini beradi.
    Gaining Access (Tizimga kirish)
    Ushbu bosqich tekshirilayotgan tizimni zaif tomonlarini ochish uchun cross-site scripting, SQL injection and backdoors kabi veb-ilova hujumlaridan foydalanadi. Keyin pen testerlar ushbu zaifliklardan foydalanishga harakat qiladilar, odatda tizimga kirish imkoniyatlarini oshirish, ma'lumotlarni o'g'irlash, trafikni ushlab turish va hokazolar, ular olib kelishi mumkin bo'lgan zararni tushunish uchundir.
    Maintaining access(Doimiy tizimga kirishni saqlash)
    Ushbu bosqichning maqsadi zaiflikdan ekspluatatsiya qilinayotgan tizimda doimiy mavjudligiga erishish uchun foydalanish mumkinligini ko'rishdir.
    Ushbu boshqichda tashkilotning eng nozik ma'lumotlarini o'g'irlash uchun ko'pincha oylar davomida tizimda qoladigan ilg'or doimiy tahdidlarga taqlid qilishdir.

    Analysis
    Keyin, penetration testing natijalari tashkilotdagi xavfsizlik xodimlariga o’zatiladi.


    Tizimni buzish uchun foydalanilgan zayifliklari.
    Pen tester qo’lga kiritgan muhim ma’lumotlar.
    Pen tester tizimdaligi payitida aniqlanmay qolgan vaqt.
    Ushbu ma'lumotlar zaifliklarni tuzatish va kelajakdagi hujumlardan himoya qilish uchun korporativ WAF sozlamalarini va boshqa ilovalar xavfsizligi echimlarini sozlashda yordam berish uchun xavfsizlik xodimlari tomonidan tahlil qilinadi.
    Penetration testing turlari
    Pentestingda avval yig’ilgan ma'lumotlar miqdori uning natijalariga katta ta'sir ko'rsatishi mumkin. Pen testing uslubi odatda oq quti, qora quti yoki kulrang qutiga kirish testi sifatida aniqlanadi.
    Tizim xaqida pentesterga berilgan ma’lumot bo’yicha farqlanadi:
    ma’lumot yo’q oz miqdorda to’liq ma’lumot
    Qora quti sinovi(Black-box testing)
    Pen testingning ushbu turida penetratsion tester maqsadli tizim haqida ichki ma'lumotga ega bo'lmagan holda o'rtacha xaker roliga joylashtiriladi. Sinovchilarga hech qanday arxitektura diagrammasi yoki ommaga ochiq bo'lmagan manba kodi taqdim etilmaydi. Qora qutiga kirish testi tarmoqdan tashqarida foydalanish mumkin bo'lgan tizimdagi zaifliklarni aniqlaydi.
    Bu shuni anglatadiki, qora qutiga kirish testi maqsadli tarmoq ichidagi hozirda ishlayotgan dasturlar va tizimlarning dinamik tahliliga tayanadi. Qora qutining penetratsiyasini tekshiruvchisi avtomatlashtirilgan skanerlash vositalari va qo'lda kirish testi uchun metodologiyalar bilan tanish bo'lishi kerak. Qora qutining penetratsiyasini tekshiruvchilar, shuningdek, kuzatuvlari asosida maqsadli tarmoqning o'z xaritalarini yaratishga qodir bo'lishi kerak, chunki ularga bunday diagramma berilmagan.
    Pen testerga berilgan cheklangan bilim qora qutiga kirish testlarini eng tez bajarishga imkon beradi, chunki topshiriqning davomiyligi ko'p jihatdan testerning maqsadning tashqi ko'rinishdagi xizmatlaridagi zaifliklarni aniqlash va ulardan foydalanish qobiliyatiga bog'liq. Ushbu yondashuvning asosiy salbiy tomoni shundaki, agar testerlar tizimni buzolmasa, ichki xizmatlarning zaif tomonlari aniqlanmagan va tuzatilmagan bo'lib qoladi.

    Kulrang quti testi(Grey box penetration testing)


    Shaffof quti testi sifatida ham tanilgan kulrang quti pen testida faqat cheklangan ma'lumotlar tester bilan almashiladi. Odatda bu login ma'lumotlari shaklida bo'ladi. Kulrang quti testi imtiyozli foydalanuvchi ega bo'lishi mumkin bo'lgan kirish darajasini va ular keltirishi mumkin bo'lgan zararni tushunishga yordam beradi. Kulrang quti testlari chuqurlik va samaradorlik o'rtasidagi muvozanatni saqlaydi va ichki tahdidni yoki tarmoq perimetrini buzgan hujumni simulyatsiya qilish uchun ishlatilishi mumkin.
    Haqiqiy hujumlarining aksariyatida doimiy raqib maqsadli muhitda razvedka olib boradi va ularga xuddi shunday bilimlarni insayderga beradi. Kulrang quti testi ko'pincha mijozlar tomonidan samaradorlik va haqiqiylik o'rtasidagi eng yaxshi muvozanat sifatida ma'qullanadi, bu potentsial vaqt talab qiladigan razvedka bosqichini yo'q qiladi.
    Oq quti testi(White box penetration testing)
    Oq quti pentesting turi, ba'zan kristall yoki qiya quti qalam testi deb ataladi, to'liq tarmoq va tizim ma'lumotlarini, shu jumladan tarmoq xaritalari va hisob ma'lumotlarini tester bilan almashishni o'z ichiga oladi. Bu vaqtni tejashga va shartnomaning umumiy narxini kamaytirishga yordam beradi. Oq quti pentesting iloji boricha ko'proq hujum vektorlaridan foydalangan holda ma'lum bir tizimga maqsadli hujumni simulyatsiya qilish uchun foydalidir.
    Penetration testing usullari.
    Tashqi
    Tashqi kirish testlari kompaniyaning internetda ko'rinadigan aktivlariga, masalan, veb-ilovaning o'zi, kompaniya veb-saytiga, elektron pochta va domen nomlari serverlariga (DNS) qaratilgan. Maqsad qimmatli ma'lumotlarga kirish va olishdir.
    Ichki
    Ichki testda tizim firewalli orqasidagi ilovaga kirish huquqiga ega bo'lgan tester zararli insayder hujumini simulyatsiya qiladi. Bu tovlamachi xodimni taqlid qilish shart emas. Umumiy boshlang'ich stsenariy hisob ma'lumotlari fishing hujumi tufayli o'g'irlangan xodim bo'lishi mumkin.
    Blind testing
    Blind testingda pen tester faqat maqsadli korxona nomi beriladi. Bu xavfsizlik xodimlariga haqiqiy dastur hujumi qanday sodir bo'lishini real vaqt rejimida ko'rish imkonini beradi.

    Penetration testing usullari.


    Double-blind testing.
    Double-blind testingda xavfsizlik xodimlari simulyatsiya qilingan hujum haqida oldindan ma'lumotga ega emaslar. Haqiqiy dunyoda bo'lgani kabi, buzg'unchilikka urinish oldidan ularning himoyasini mustahkamlash uchun vaqtlari bo'lmaydi.
    Targeted testing.
    Ushbu stsenariyda pen tester va xavfsizlik xodimlari birgalikda ishlaydi va bir-birlarini harakatlarini baholaydilar. Bu xavfsizlik guruhiga xakerlar nuqtai nazaridan real vaqt rejimida fikr-mulohazalarni taqdim etadigan qimmatli o'quv mashqidir.
    Software tools
    Types
    Network penetration testing tools
    Web application penetration testing tools
    Database penetration testing tools
    Automated penetration testing tools
    Open source penetration testing tools
    Web application penetration testing tools
    Ma'lumotlar bazasiga kirishni tekshirish vositalari. Agar xakerning maqsadi qimmatli ma'lumotlarni o'g'irlash bo'lsa, bu qimmatli malumotlar odatda ma'lumotlar bazasida yashiringan, shuning uchun pen testingda qulflarni ochish uchun dasturiy vositalar bo'lishi muhimdir. nmap va sqlmap bu maqsad uchun muhim vositalardir. Tarmoqdagi barcha Microsoft SQL Serverni aniq maqsad qilib qo'yadigan va aniqlashga harakat qiluvchi faol va passiv skaner SQL Recon va avtomatlashtirilgan SQL injection vositasi BSQL Hacker.
    Database penetration testing tools
    Eng oddiy xaker o’z vaqtini o'ziga tegishli bo'lmagan tarmoqlarni buzish bilan o'tkazadi va shuning uchun pen testerga maqsadlarining tarmoq infratuzilmasiga kirishga yordam beradigan vositalar kerak bo'ladi. Bizning eng yaxshi tanlovlarimizdan Kali Linux, nmap, Metasploit, Wireshark, Jon the Ripper va Burp Suite bu toifaga kiradi.
    Xulosa
    Xuloas o’rnida shuni aytish kerakki, xozirda eng qimmatli narsa bu axborotdir. Judayam ko’p kompaniyalar va davlat tashkilotlari uzlarini faoliyatlarini yanada samarli qilish uchun esa turli xil web ilovalardan foydalanib kelmoqda. Va albatta ushbu davlat tashkilotlariga va kompaniyalarga zarar yetkazish maqsadida ularni websaytlariga xujumlar yoki malumotlari saqlangan serverlarga xujumlar uyushtirilmoqda. Ushbu xolatlarni oldini olish uchun alabatta penetration testing va pen tester larning o’rni beqiyosdir. Chunki pen testerlar yuqorida aytilganidek pen testing orqali uyushtirilishi mumkin bo’lgan xujumlarni va tizim zayifliklarini oldindan aniqlab bartaraf etiladi.
    Metasploit
    Metasploit penetratsion test uchun ishlatiladigan eng kuchli vositalardan biridir.
    Metasploit-ni o'rnatish uchun hardware talablari:
    2 GHz + processor
    1 GB RAM available
    1 GB + available disk space
    Download 131,4 Kb.
    1   2




    Download 131,4 Kb.

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    Muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti kiberxavfsizlik asoslari

    Download 131,4 Kb.