|
Pentesting uchun eng yaxshi nomzod
|
| bet | 2/4 | | Sana | 30.12.2023 | | Hajmi | 50.88 Kb. | | #129198 |
Bog'liq Kiber MI Sh 4-sinf ona tili 1-chorak @e baza ishreja, 1387780, Boshqarish tizimlarini loyihalash fanidan test savollariTJA sirtqi, Савол - жавоб, Zagatovkalarga mehanik ishlov berish, True, Reja. Ôzgarmas tok-hozir.org, Metallarga ishlov beradigan yonilg’i pechlarning ishlash printsi, Kitob 2544 uzsmart.uz, 13042 1 78ABB5D76C5F25F8157FE79402092E1371053786, курс ишини ёзиш буйича услубийO`TA22 S 06 GURUH, 1-Amaliy nodir, 3.2-3.3 AMALIY MASHG\'ULOT.KIBERXAVFSIZLIK ASOSLARI, 2-amaliy mashg\'ulot. Inson resurslarini boshqarish fanining maqsadi.Pentesting uchun eng yaxshi nomzod kompaniya maqsadiga va qaysi pen testingni o’tkazishni xohlayotganiga qarab keskin farq qilishi mumkin.
Penetration testing amalga oshirish bosqichlari
Pen testingni amalga oshirish jarayoni umumiy 5 ta bosqichga bo’linadi.
Planning and reconnaissance(razvedka qilish)
Sinovning ko'lami va maqsadlarini, shu jumladan ko'rib chiqilishi kerak bo'lgan tizimlar va qo'llaniladigan test usullarini aniqlash.
Pen testing o’tkazilishi kerak bo’lgan tizim qanday ishlashini va uning potentsial zaifliklarini yaxshiroq tushunish uchun razvedka ma'lumotlarini yig'ish (masalan, tarmoq va domen nomlari, pochta serveri).
Scanning
Keyingi qadam, maqsadli dastur turli xil bosqinchilik urinishlariga qanday javob berishini tushunishdir. Bu odatda quyidagilar yordamida amalga oshiriladi:
Statik tahlil - dasturning ishlayotganda qanday harakat qilishini baholash uchun uning kodini tekshirish. Ushbu vositalar bir martalik kodni to'liq skanerlashi mumkin.
Dinamik tahlil - ishlayotgan holatda dastur kodini tekshirish. Bu skanerlashning yanada amaliy usuli, chunki u real vaqt rejimida dasturning ishlashini ko'rish imkonini beradi.
Gaining Access (Tizimga kirish)
Ushbu bosqich tekshirilayotgan tizimni zaif tomonlarini ochish uchun cross-site scripting, SQL injection and backdoors kabi veb-ilova hujumlaridan foydalanadi. Keyin pen testerlar ushbu zaifliklardan foydalanishga harakat qiladilar, odatda tizimga kirish imkoniyatlarini oshirish, ma'lumotlarni o'g'irlash, trafikni ushlab turish va hokazolar, ular olib kelishi mumkin bo'lgan zararni tushunish uchundir.
Maintaining access(Doimiy tizimga kirishni saqlash)
Ushbu bosqichning maqsadi zaiflikdan ekspluatatsiya qilinayotgan tizimda doimiy mavjudligiga erishish uchun foydalanish mumkinligini ko'rishdir.
Ushbu boshqichda tashkilotning eng nozik ma'lumotlarini o'g'irlash uchun ko'pincha oylar davomida tizimda qoladigan ilg'or doimiy tahdidlarga taqlid qilishdir.
Analysis
Keyin, penetration testing natijalari tashkilotdagi xavfsizlik xodimlariga o’zatiladi.
Tizimni buzish uchun foydalanilgan zayifliklari.
Pen tester qo’lga kiritgan muhim ma’lumotlar.
Pen tester tizimdaligi payitida aniqlanmay qolgan vaqt.
Ushbu ma'lumotlar zaifliklarni tuzatish va kelajakdagi hujumlardan himoya qilish uchun korporativ WAF sozlamalarini va boshqa ilovalar xavfsizligi echimlarini sozlashda yordam berish uchun xavfsizlik xodimlari tomonidan tahlil qilinadi.
Penetration testing turlari
Pentestingda avval yig’ilgan ma'lumotlar miqdori uning natijalariga katta ta'sir ko'rsatishi mumkin. Pen testing uslubi odatda oq quti, qora quti yoki kulrang qutiga kirish testi sifatida aniqlanadi.
Tizim xaqida pentesterga berilgan ma’lumot bo’yicha farqlanadi:
ma’lumot yo’q oz miqdorda to’liq ma’lumot
Qora quti sinovi(Black-box testing)
Pen testingning ushbu turida penetratsion tester maqsadli tizim haqida ichki ma'lumotga ega bo'lmagan holda o'rtacha xaker roliga joylashtiriladi. Sinovchilarga hech qanday arxitektura diagrammasi yoki ommaga ochiq bo'lmagan manba kodi taqdim etilmaydi. Qora qutiga kirish testi tarmoqdan tashqarida foydalanish mumkin bo'lgan tizimdagi zaifliklarni aniqlaydi.
Bu shuni anglatadiki, qora qutiga kirish testi maqsadli tarmoq ichidagi hozirda ishlayotgan dasturlar va tizimlarning dinamik tahliliga tayanadi. Qora qutining penetratsiyasini tekshiruvchisi avtomatlashtirilgan skanerlash vositalari va qo'lda kirish testi uchun metodologiyalar bilan tanish bo'lishi kerak. Qora qutining penetratsiyasini tekshiruvchilar, shuningdek, kuzatuvlari asosida maqsadli tarmoqning o'z xaritalarini yaratishga qodir bo'lishi kerak, chunki ularga bunday diagramma berilmagan.
Pen testerga berilgan cheklangan bilim qora qutiga kirish testlarini eng tez bajarishga imkon beradi, chunki topshiriqning davomiyligi ko'p jihatdan testerning maqsadning tashqi ko'rinishdagi xizmatlaridagi zaifliklarni aniqlash va ulardan foydalanish qobiliyatiga bog'liq. Ushbu yondashuvning asosiy salbiy tomoni shundaki, agar testerlar tizimni buzolmasa, ichki xizmatlarning zaif tomonlari aniqlanmagan va tuzatilmagan bo'lib qoladi.
Kulrang quti testi(Grey box penetration testing)
Shaffof quti testi sifatida ham tanilgan kulrang quti pen testida faqat cheklangan ma'lumotlar tester bilan almashiladi. Odatda bu login ma'lumotlari shaklida bo'ladi. Kulrang quti testi imtiyozli foydalanuvchi ega bo'lishi mumkin bo'lgan kirish darajasini va ular keltirishi mumkin bo'lgan zararni tushunishga yordam beradi. Kulrang quti testlari chuqurlik va samaradorlik o'rtasidagi muvozanatni saqlaydi va ichki tahdidni yoki tarmoq perimetrini buzgan hujumni simulyatsiya qilish uchun ishlatilishi mumkin.
Haqiqiy hujumlarining aksariyatida doimiy raqib maqsadli muhitda razvedka olib boradi va ularga xuddi shunday bilimlarni insayderga beradi. Kulrang quti testi ko'pincha mijozlar tomonidan samaradorlik va haqiqiylik o'rtasidagi eng yaxshi muvozanat sifatida ma'qullanadi, bu potentsial vaqt talab qiladigan razvedka bosqichini yo'q qiladi.
Oq quti testi(White box penetration testing)
Oq quti pentesting turi, ba'zan kristall yoki qiya quti qalam testi deb ataladi, to'liq tarmoq va tizim ma'lumotlarini, shu jumladan tarmoq xaritalari va hisob ma'lumotlarini tester bilan almashishni o'z ichiga oladi. Bu vaqtni tejashga va shartnomaning umumiy narxini kamaytirishga yordam beradi. Oq quti pentesting iloji boricha ko'proq hujum vektorlaridan foydalangan holda ma'lum bir tizimga maqsadli hujumni simulyatsiya qilish uchun foydalidir.
Penetration testing usullari.
Tashqi
Tashqi kirish testlari kompaniyaning internetda ko'rinadigan aktivlariga, masalan, veb-ilovaning o'zi, kompaniya veb-saytiga, elektron pochta va domen nomlari serverlariga (DNS) qaratilgan. Maqsad qimmatli ma'lumotlarga kirish va olishdir.
|
| |
