Čo je penetračné testovanie? Stručný sprievodca do roku 2020

Počítačová bezpečnosť nikdy nebola dôležitejšia. Keďže hackeri ohrozujú váš bankový účet, ransomware, ktorý môže vypnúť počítač, ak nezaplatíte požadovanú cenu a všetci, ktorí špehujú všetkých, je spravodlivé povedať, že bezpečnostný obrázok je zložitejší ako kedykoľvek predtým..


Našťastie nie všetci, ktorí majú bezpečnostné schopnosti, vás chcú dostať. Niektorí hackeri pracujú pre dobro a hľadajú zraniteľné miesta s cieľom ich skôr opraviť ako zneužiť na osobný zisk.

V tomto článku sa pozrieme na ich úlohu a vysvetlíme, čo je penetračné testovanie.

Najprv bur: Black Hat vs White Hat

penetračné testovanie

Dobrí chlapci sa bežne nazývajú testeri bielych klobúkov. Zlí ľudia sú čierne klobúky a sivé klobúky sú niekde medzi tým. Ak ste videli, že niektorý z nich pracuje, väčšinou by robili to isté: kontrolu zraniteľnosti webových stránok. Rozdiel je v tom, čo sa stane, keď nájdu problém.

Biele klobúky nahlásia problém vlastníkovi webovej stránky alebo aplikácie. Čierne klobúky sa snažia preniknúť na web alebo predávať informácie o zneužívaní ostatným. Sivé klobúky do týchto kategórií celkom nezapadajú. Mohli by hacknúť pre zábavu alebo zvedavosť, prípadne porušiť zákon, ale nechcú zarobiť peniaze alebo poškodiť.

Prečo záleží na zabezpečení webových aplikácií

Každý, kto má online prítomnosť, môže byť hacknutý. Ciele sú Twitter účet vášho suseda a medzinárodné banky. Odmeny za prienik na webovú stránku môžu byť neobmedzené.

Ak dôjde k ohrozeniu webových stránok, môže hacker vziať čokoľvek od používateľských mien a hesiel až po podrobnosti o kreditnej karte alebo lekárske záznamy. Väčšina z nás pozná niekoho, ktorého e-mail bol napadnutý hackermi, často posielajú správy všetkým v ich zozname kontaktov, takže počítačová kriminalita má vplyv na nás všetkých.

Keď hackeri majú kontrolu nad webom, môžu ho použiť na ukradnutie ďalších podrobností o zákazníkovi, ktoré môžu byť použité na prístup k bankovým účtom alebo na ukradnutie bitcoínov. Môžu mať tiež možnosť získať dôverné obchodné alebo technické informácie.

Spoločnosti sa samozrejme snažia urobiť všetko, čo je v ich silách, aby zabránili narušeniu bezpečnosti. Prenajatie penetračného testu, alebo jeho najúčinnejšieho špecialistu, je skvelý spôsob, ako im pomôcť získať náskok pred hackermi.

Posúdenie zraniteľnosti odborníkom v oblasti bezpečnosti zahŕňa najatie niekoho, kto sa pokúsi preniknúť na webovú stránku. Môžu zisťovať bezpečnostné diery rovnakým spôsobom, aký by zločinec mohol nahlásiť, a zistia problémy, ktoré nájdu, vlastníkovi webových stránok, ktorý ich potom môže opraviť.

Posúdenie zraniteľnosti

Posudzovanie zraniteľnosti

Neustále sa objavujú nové nedostatky v softvéri a webových stránkach. Najnovšie verzie softvéru zvyčajne obsahujú opravy známych slabých miest, takže ich aktualizácia je rozumná.

Na zrelej webovej aplikácii to však môže byť ťažké. Rôzne verzie softvéru nie sú vždy navzájom kompatibilné, takže udržiavanie aktuálnosti a uistenie sa, že všetko funguje, nie je ľahké.

Pretože sa tieto veci neustále menia, je takmer nemožné zaručiť bezpečnosť aplikácie. Môže sa stať, že si napríklad nikto neuvedomuje slabé miesta v najnovšej verzii serverového softvéru. Je však nepravdepodobné, že sa v budúcnosti nenájdu žiadne nedostatky.

Ak sa obávate napadnutia svojich webových stránok, prečítajte si niekoľko článkov v našom článku o bezpečnosti webových stránok.

Black Box vs White Box

Existuje niekoľko spôsobov, ako vykonať posúdenie zraniteľnosti na webovej stránke alebo v aplikácii. Jedným z prístupov je zisťovať zraniteľné miesta rovnakým spôsobom, aký by hacker urobil, a to bez akýchkoľvek vedomostí alebo pomoci. To sa nazýva testovanie čiernej skrinky.

Na druhej strane testovanie v bielej skrinke znamená testovanie bezpečnosti s prístupom k informáciám, ako je zdrojový kód skúmanej aplikácie alebo podrobnosti o použitom softvéri..

Prístup v čiernej skrinke je skôr ako to, čo by zločinec urobil. Získanie informácií o testovanom systéme je pre používateľov tejto metódy kľúčovou výzvou.

Stratégia bieleho poľa uľahčuje hľadanie zraniteľností, pretože tester môže prehľadávať všetko a vidieť, ako to všetko zapadá do seba. Ak vedia, aký softvér je spustený, môžu podľa toho zacieľovať svoje útoky. To však nemusí naznačovať, ktoré zraniteľné miesta by skutočný hacker pravdepodobne našiel.

Nástroje Pentest Trade

Linux je populárny operačný systém pre tých, ktorí sa podieľajú na testovaní bezpečnosti. Ak potrebujete vykonať posúdenie zraniteľnosti na webovej stránke, Kali Linux je obzvlášť dobrá distribúcia, pretože je nainštalovaná so všetkými druhmi relevantného softvéru vrátane sady Wireshark a Burp, ako aj s mnohými ďalšími užitočnými nástrojmi..

Pomocou nástroja ako napríklad Burp Suite alebo Charles na sledovanie webového prenosu môžete získať podrobný obraz o tom, čo sa deje pri pripojení k webovej stránke. Sledujú všetky pripojenia, ktoré váš počítač vytvára, a poskytujú vám podrobnosti, ktoré o nich potrebujete. Sú tiež užitočné pre pravidelný vývoj webových aplikácií a ladenie.

Môžete ich použiť na úpravu odoslaných požiadaviek, čo je skvelé, ak chcete zistiť, ako server reaguje na druh neštandardnej komunikácie, ktorá môže pochádzať od hackera..

Charles

Existujú aj nástroje na automatizáciu útokov heslom hrubou silou, ktoré sa v podstate snažia čo najviac kombinácií. Zameriava sa na krátke a ľahké heslá. Použitie správcu hesiel vám môže pomôcť vygenerovať dlhšie, ktoré sú menej náchylné na jeho útok.

Formuláre s heslom tiež predstavujú riziko pre SQL injekciu – vkradnutie kódu do údajov odovzdaných serveru. Tester bezpečnosti môže nájsť miesta, kde by sa to mohlo vyskytnúť, a aktualizovať kód, aby sa zabezpečilo bezpečné zaobchádzanie s prichádzajúcimi údajmi.

Pri pohľade na to, ako aplikácia využíva počítačovú pamäť, sa môžu odhaliť zraniteľné miesta. Prechod dovnútra spustiteľného programu je možné vykonať pomocou ladiaceho programu GNU alebo GDB. Tento druh testovania zraniteľnosti zahŕňa hľadanie exploitov, ktoré môžu hackerovi poskytnúť prístup do shellu a umožniť im prevziať kontrolu nad serverom..

gdb

Väčšina prehliadačov má dev konzolu, ktorá je tiež užitočná na skúmanie udalostí na webových stránkach. Nástroje pre vývojárov prehliadača Chrome ukážu, ktoré prvky sa stránka načíta, a odhalia chyby. Okrem toho, že spôsobujú problémy používateľom, môžu chyby spôsobiť, že web bude náchylný na útok.

Konzolu pre vývojárov nájdete v prehliadači Chrome kliknutím na tri bodky v pravom hornom rohu a otvorením ponuky, výberom možnosti „ďalšie nástroje“ > “nástroje pre vývojárov.” Kliknutím na kartu „konzola“ zobrazíte chyby na prezeranom webe. Možno vás prekvapí, keď sa dozviete, koľko sa pokazí, dokonca aj na vysoko profilovaných webových stránkach.

chróm-console

Niektoré spoločnosti môžu používať virtuálnu súkromnú sieť na ochranu pred poškodením. Útočník môže zistiť, že aj menej bezpečné spojenie môže byť zneužívané. Preto je dôležité pri výbere služby byť opatrný a vybrať si jedného z najlepších poskytovateľov VPN v okolí.

Zarábanie peňazí v testovaní bezpečnosti

zarábanie peňazí pomocou penetračného testovania

Ak vás počítačová bezpečnosť zaujíma, nikdy nebolo ľahšie zapojiť sa. Viac spoločností ako kedykoľvek predtým ponúka verejnú odmenu tým, ktorí nájdu a nahlásia problémy na svojich webových stránkach. Ceny môžu byť vysoké až stovky tisíc dolárov. Upozorňujeme potenciálnych lovcov odmeny, ale väčšina z nich je omnoho nižšia a ak si chcete pristáť, budete musieť investovať značné množstvo času..

To znamená, že si vezmite niekoľko malých cien a vy budete môcť pristáť ako bezpečnostný konzultant alebo tester penetrácie, ktorý učia spoločnosti, ako sa chrániť pred menej prísnymi poľovníkmi v oblasti chýb..

Záverečné myšlienky

S neustále sa meniacim digitálnym prostredím je potreba bezpečnosti najväčšia. Našťastie narástlo aj povedomie o problémoch týkajúcich sa bezpečnosti webových aplikácií a bezpečnosti všeobecne.

Penetračné testovanie je veľká časť bezpečnosti. Je to náročné pole, ale fascinujúce je štúdium. Ak ste zistili, že tento článok je užitočný alebo máte skúsenosti so zatajovaním, dajte nám vedieť v komentároch nižšie. Vďaka za prečítanie.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map