Шта је тестирање продором? Кратки водич за 2020. годину

Сигурност рачунара никада није била важнија. Када хакери прете вашем банковном рачуну, рансомваре-у који вам може угасити рачунар ако не платите тражену цену и ако сви шпијунирају све остале, фер је рећи да је безбедносна слика сложенија него икад пре.


Срећом, нису сви који имају сигурносне вештине да вас пронађу. Неки хакери раде за добро, истражујући рањивости с циљем да их исправе, а не да их искористе за личну корист.

У овом ћемо чланку погледати њихову улогу и објаснити шта је тестирање пенетрације.

Прво место: Блацк Хат вс Вхите Хат

пенетрација тестирање

Добри момци су обично познати као тестери за бели шешир. Лоши су црни шешири, а сиви шешири су негде између. Када бисте видели да неко од њих ради, углавном би радили исту ствар: проверавајући веб локације на рањивости. Разлика је у ономе што се догоди када пронађу проблем.

Бијели шешири пријављују проблем власнику веб странице или апликације. Црни шешири траже да харају на веб страницу или продају информације о експлоатацији другима. Сиви шешири не одговарају баш тим категоријама. Они могу хаковати због забаве или радозналости, потенцијално кршећи закон, али не желећи зарадити новац или нанијети штету.

Зашто је сигурност веб апликација важна

Свако ко има интернет присуство може бити хакован. Циљеви вашег комшије и међународне банке су обоје мета. Награде за пробој на веб страницу могу бити неограничене.

Ако је веб локација угрожена, хакер може преузети било шта, од корисничких имена и лозинки, до детаља о кредитној картици или медицинских картона. Већина нас познаје некога чија је е-пошта хакирана, често шаљемо поруке свима на својој листи контаката, тако да цибер криминал врши утицај на све нас..

Једном када хакери имају контролу над веб страницом, могу их користити за крађу више детаља о клијентима, који се могу користити за приступ банковним рачунима или крађу битцоина. Такође могу добити поверљиве пословне или техничке информације.

Наравно, компаније желе да учине све што могу како би спречиле кршење безбедности. Запошљавање теста пенетрације или пентест-а, специјалиста је одличан начин да им помогне да надмаше хакере.

Процена рањивости од стране радника обезбеђења укључује ангажовање некога да покуша да провали на веб локацију. Они могу истражити сигурносне рупе на исти начин на који би то урадио злочинац и пријавити проблеме које нађу власнику веб локације, који их потом може исправити.

Процена рањивости

Процена рањивости

Стално се откривају нове слабости у софтверу и веб локацијама. Најновије верзије софтвера обично садрже исправке за познате рањивости, па је ажурирање на њих оправдано.

То може бити тешко на зрелој веб апликацији. Различите верзије софтвера нису увек компатибилне једна са другом, тако да ажурирање ствари и проверавање да све функционише није лако.

Како се ове ствари увек мењају, готово је немогуће гарантовати да је апликација безбедна. Могуће је да нико, на пример, није свестан рањивости у најновијој верзији софтверског софтвера. Ипак, мало је вероватно да убудуће неће бити недостатака.

Ако сте забринути због хаковања ваше веб локације, прочитајте наш чланак о безбедности веб локације неколико упутстава.

Блацк Бок вс Вхите Бок

Постоје различити начини за процену рањивости на веб локацији или апликацији. Један од приступа је испитивање рањивости на исти начин на који би то направио хакер, без знања и помоћи изнутра. То се зове тестирање црне кутије.

С друге стране, тестирање беле кутије значи безбедносно тестирање са приступом информацијама попут изворног кода пробне апликације или детаља о томе који се софтвер користи.

Приступ црној кутији више личи на оно што би учинио злочинац. Добијање информација о систему који се тестира је кључни изазов за оне који користе ову методу.

Стратегија беле кутије олакшава проналажење рањивости јер тестер може прегледати све и видети како се све то уклапа. Ако знају који софтвер се покреће, могу циљати нападе према томе. Међутим, то не може указивати на које рањивости би вероватно могао да се нађе прави хакер.

Алати пентест трговине

Линук је популаран оперативни систем за оне који су укључени у тестирање сигурности. Ако требате да извршите процену рањивости на веб локацији, Кали Линук је посебно добра дистрибуција, јер се инсталира са свим врстама релевантног софтвера, укључујући Виресхарк и Бурп пакет, као и многим другим корисним алатима.

Употреба алата као што су Бурп суите или Цхарлес за надгледање веб саобраћаја може вам дати детаљну слику о ономе што се дешава када се повежете на веб локацију. Они прате све везе које ваш рачунар успоставља и дају вам потребне детаље о њима. Такође су корисни за редовно развијање веба и уклањање погрешака.

Можете их користити за модификовање послатих захтева, што је сјајно ако желите да видите како сервер реагује на нестандардни саобраћај који може доћи од хакера.

цхарлес

Постоје и алати за аутоматизацију напада грубим лозинкама, који у основи испробавају што више комбинација. Циља кратке, једноставне лозинке. Кориштење управитеља лозинки може вам помоћи да генерирате дуже оне који су мање рањиви због напада.

Обрасци лозинке такође представљају ризик за убризгавање СКЛ-а – ушуњавање кода у податке прослеђене на сервер. Тестер за сигурност може уочити мјеста на којима се то може догодити и ажурирати код како би се осигурало да се са долазним подацима рукује сигурно.

Гледајући како апликација користи рачунарску меморију такође може открити рањивости. Пробијање кроз унутрашњост извршног програма може се обавити помоћу ГНУ исправљача или ГДБ. Ова врста тестирања рањивости укључује тражење експлоата који могу дати хакеру приступ шкољци и омогућити им да преузму контролу над сервером.

гдб

Већина прегледача има конзолу за развој, што је такође корисно за испитивање онога што се дешава на веб локацији. Цхроме-ови алати за развој ће приказати елементе које страница учитава и открити грешке. Осим што корисницима стварају проблеме, грешке могу оставити веб локацију рањивом за напад.

Конзолу за развој можете пронаћи у Цхромеу кликом на три тачке у горњем десном углу да бисте отворили мени, а затим изабрали „више алата“ > „Алати за програмере“. Кликните картицу „конзола“ да бисте видели грешке на веб локацији коју гледате. Можда ћете бити изненађени када сазнате колико иде по злу, чак и на веб веб локацијама.

хром-конзола

Неке компаније могу користити виртуелну приватну мрежу како би се заштитиле од штете. Међутим, нападач може препознати то, а мање сигурна веза може бити рањива на експлоатацију. Зато је важно бити опрезан када бирате услугу и бирате једног од најбољих ВПН провајдера.

Зарађивање новца на тестирању сигурности

зарадити новац продором

Ако вас безбедност рачунара занима, никада се није било лакше укључити у то. Више компанија него икад нуди јавна обиљежја за оне који пронађу и пријаве проблеме на својим веб локацијама. Награде могу бити стотине хиљада долара. Упозоравамо потенцијалне ловце на улоге, иако су многи знатно нижи и мораћете да уложите значајно време ако желите да слете један.

Уз то, узмите неколико малих награда и можда ћете моћи да запослите посао безбедног консултанта или пробијача продора, подучавајући компаније како да се заштите од мање скромних ловаца на бубе вани.

Последње мисли

Уз стално променљив дигитални пејзаж, потреба за сигурношћу је највећа до сада. Срећом, свест о проблемима везаним за безбедност веб апликација и безбедности уопште, такође је порасла.

Пробијање продором је велики део сигурности. То је изазовно поље, али фасцинантно за проучавање. Ако сте овај чланак сматрали корисним или имате искуство пробијања пензија, јавите нам у коментарима у наставку. Хвала за читање.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map