Kaj je testiranje na penetraciji? Kratek vodnik za leto 2020

Računalniška varnost še nikoli ni bila pomembnejša. Če hekerji grozijo vašemu bančnemu računu, odkupna programska oprema, ki lahko izklopi računalnik, če ne plačate želene cene in vsi vohunijo za vse druge, je pošteno reči, da je varnostna slika bolj zapletena kot kdaj koli prej.


Na srečo vas ne dobijo vsi z varnostnimi veščinami. Nekateri hekerji delujejo v dobro, in preizkušajo ranljivosti s ciljem, da jih odpravijo, namesto da bi jih izkoristili za osebne koristi.

V tem članku si bomo ogledali njihovo vlogo in razložili, kaj je penetracijsko testiranje.

Najprej Bur: Black Hat proti White Hat

penetracijsko testiranje

Dobri fantje so splošno znani kot testerji za bele klobuke. Slabi fantje so črni klobuki, sivi klobuki pa so nekje vmes. Če bi videli, da kdo od njih deluje, bi večinoma počeli isto: preverjanje spletnih strani glede ranljivosti. Razlika je v tem, kaj se zgodi, ko najdejo težavo.

Beli klobuki poročajo o težavi lastniku spletnega mesta ali aplikacije. Črni klobuki želijo vdreti na spletno stran ali prodati podatke o izkoriščanju drugim. Sivi klobuki ne ustrezajo ravno tistim kategorijam. Morda bodo zaslišali zabavo ali radovednost, kar bi lahko kršilo zakon, vendar ne bi radi zaslužili ali naredili škode.

Zakaj vprašanja varnosti spletnih aplikacij

Vsakdo, ki ima spletno prisotnost, se lahko pokvari. Obe tarči sta oba sosedovega Twitter računa in mednarodne banke. Nagrade za vdor na spletno mesto so lahko neomejene.

Če je spletno mesto ogroženo, lahko heker prevzame vse, od uporabniških imen in gesel do podatkov o kreditni kartici ali zdravstvenih kartonih. Večina nas pozna nekoga, katerega e-poštno sporočilo je bilo vdrto, pogosto pošilja sporočila vsem na svojem seznamu stikov, zato kibernetska kriminaliteta vpliva na vse nas..

Ko imajo hekerji nadzor nad spletno stranjo, jih lahko uporabijo za krajo več podrobnosti o strankah, s katerimi lahko dostopate do bančnih računov ali ukradejo bitcoin. Morda bodo lahko dobili tudi zaupne poslovne ali tehnične informacije.

Seveda si podjetja prizadevajo storiti vse, kar je v njihovi moči, da preprečijo kršitve varnosti. Najem penetracijskega testa ali pentest-a je specialist odličen način, da jim pomagajo pri prednosti hekerjem.

Ocena ranljivosti s strani varnostnega strokovnjaka vključuje najem nekoga, ki bo poskusil vdreti na spletno mesto. Lahko pregledajo varnostne luknje na enak način kot kriminalist in o težavah, ki jih najdejo, prijavijo lastniku spletnega mesta, ki ga lahko nato odpravi.

Ocena ranljivosti

Ocenjevanje ranljivosti

Nenehno odkrivamo nove pomanjkljivosti v programski opremi in na spletnih mestih. Najnovejše različice programske opreme običajno vključujejo popravke za znane ranljivosti, zato je posodobitev nanje smiselna.

Na zreli spletni aplikaciji je to lahko težko. Različne različice programske opreme niso vedno združljive med seboj, zato je posodabljanje stvari in zagotovitev, da vse deluje, ni enostavno.

Ker se te stvari vedno spreminjajo, je gotovo nemogoče zagotoviti, da je aplikacija varna. Mogoče se nihče ne zaveda ranljivosti, na primer v najnovejši različici strežniške programske opreme. Ni verjetno, da v prihodnosti ne bo ugotovljenih nobenih pomanjkljivosti.

Če vas skrbi, da bi vaše spletno mesto vdrlo, si preberite naš članek o varnosti spletnega mesta za nekaj kazalcev.

Black Box vs White Box

Obstajajo različni načini za ocenjevanje ranljivosti na spletnem mestu ali v aplikaciji. Eden od načinov je preverjanje ranljivosti na enak način, kot bi ga imel heker, brez notranjega znanja in pomoči. Temu se reče črno testiranje.

Na drugi strani testiranje belega polja pomeni varnostno testiranje z dostopom do informacij, kot je izvorna koda preizkušene aplikacije ali podrobnosti o programski opremi, ki se uporablja.

Pristop črne skrinjice je bolj podoben tistemu, kar bi storil zločinec. Pridobivanje informacij o sistemu, ki se testira, je ključni izziv za tiste, ki uporabljajo to metodo.

Strategija belega polja olajša iskanje ranljivosti, ker lahko preizkuševalec brska po vsem in vidi, kako vse skupaj ustreza. Če vedo, kakšna programska oprema se izvaja, lahko svoje napade ustrezno usmerijo. Kljub temu morda ne kaže, katere ranljivosti bi verjetno našel pravi heker.

Orodja najhujše trgovine

Linux je priljubljen operacijski sistem za tiste, ki sodelujejo pri testiranju varnosti. Če morate na spletni strani opraviti oceno ranljivosti, je Kali Linux še posebej dobra distribucija, saj je nameščena z vsemi vrstami ustrezne programske opreme, vključno z Wireshark in Burp suite, ter številnimi drugimi uporabnimi orodji.

Z uporabo orodja, kot sta Burp suite ali Charles za spremljanje spletnega prometa, lahko dobite podrobno sliko, kaj se dogaja, ko se povežete s spletnim mestom. Spremljajo vse povezave, ki jih naredi vaš računalnik, in vam dajo podrobnosti, ki jih potrebujete o njih. Uporabni so tudi za redno spletno razvijanje in odpravljanje napak.

Z njimi lahko spremenite poslane zahteve, kar je odlično, če želite videti, kako se strežnik odziva na vrsto nestandardnega prometa, ki bi lahko prišel iz hekerja.

charles

Na voljo so tudi orodja za avtomatizacijo napadov z geslom grobe sile, ki v bistvu preizkusijo čim več kombinacij. Cilji na kratka in preprosta gesla. Uporaba upravitelja gesel vam lahko pomaga ustvariti daljša, ki so manj ranljiva za napad.

Obrazci za geslo so tudi tveganje za vbrizgavanje SQL – prikrajanje kode v podatke, posredovane strežniku. Preizkuševalec varnosti lahko opazi mesta, kjer se to lahko zgodi, in posodobi kodo, da se zagotovi varna obdelava dohodnih podatkov.

Če pogledamo, kako aplikacija uporablja računalniški pomnilnik, lahko razkrijejo tudi ranljivosti. Pokukanje po notranjosti izvršljivega programa je mogoče storiti z napakom GNU ali GDB. Tovrstno testiranje ranljivosti vključuje iskanje podvigov, ki lahko hekerju omogočijo dostop do lupine in jim omogočijo nadzor nad strežnikom.

gdb

Večina brskalnikov ima konzolo za razvoj, ki je uporabna tudi za pregledovanje dogajanja na spletnem mestu. Chromova orodja za razvijalce bodo pokazala, katere elemente nalaga stran in razkrila bodo napake. Poleg tega, da uporabnikom povzročajo težave, lahko napake spletno mesto pustijo ranljive za napad.

Konzolo za razvojnike najdete v Chromu tako, da kliknete tri pike zgoraj desno, da odprete meni, nato pa izberete “več orodij” > “Orodja za razvijalce.” Kliknite zavihek »konzola«, da si ogledate napake na spletnem mestu, ki ga iščete. Morda boste presenečeni, ko boste izvedeli, koliko gre narobe, tudi na odmevnih spletnih mestih.

krom konzola

Nekatera podjetja lahko uporabljajo navidezno zasebno omrežje, da se zaščitijo pred škodo. Napadalec lahko ugotovi, da je izkoriščanje lahko ranljivo in manj varna povezava. Zato je treba biti pri izbiri storitve previden in izbrati enega najboljših ponudnikov VPN.

Denarni denar na testiranju varnosti

zaslužiti s penetracijskim testiranjem

Če vas računalniška varnost zanima, se nikoli ni bilo lažje vključiti. Več podjetij kot kdaj koli prej ponuja javne obljube za tiste, ki najdejo in poročajo o težavah na svojih spletnih straneh. Nagrade lahko znašajo tudi do sto tisoč dolarjev. Opozoriti pa je treba potencialne lovce na vložke, vendar je večina precej nižja, zato boste morali vložiti veliko časa, če boste želeli pristati.

Kljub temu, priskrbite nekaj majhnih nagrad in morda boste lahko zaposlili službo varnostnega svetovalca ali preizkuševalca penetracije, ki bo poučeval podjetja, kako se zaščititi pred manj natančnimi lovci na hrošče..

Končne misli

S stalno spreminjajočo se digitalno pokrajino je potreba po varnosti največja. Na srečo se je povečala tudi ozaveščenost o težavah glede varnosti spletnih aplikacij in varnosti na splošno.

Penetracijsko testiranje je velik del varnosti. Gre za zahtevno področje, a študij fascinantno. Če se vam zdi ta članek uporaben ali imate izkušnje s pestovanjem, nam to sporočite v spodnjih komentarjih. Hvala za branje.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map