Ano ang Pagsubok sa Penetration? Isang Mabilis na Gabay para sa 2020

Ang seguridad sa computer ay hindi kailanman naging mas mahalaga. Sa pagbabanta ng mga hacker ng iyong account sa bangko, maaaring isara ng ransomware ang iyong PC kung hindi mo babayaran ang hinihiling na presyo at lahat ay nagsusumite sa iba, makatarungan na sabihin na mas kumplikado ang larawan ng seguridad kaysa dati..


Sa kabutihang palad, hindi lahat na may mga kasanayan sa seguridad ay upang makuha ka. Ang ilang mga hacker ay gumana para sa mabuti, probing para sa kahinaan na may layunin ng pag-aayos ng mga ito sa halip na pagsamantalahan ang mga ito para sa personal na pakinabang.

Sa artikulong ito, titingnan namin ang kanilang papel at ipaliwanag kung ano ang pagsubok sa pagtagos.

Bur muna: Black Hat vs White Hat

pagsubok sa pagtagos

Ang mabubuting lalaki ay karaniwang kilala bilang mga puting sumbrero ng puting. Ang mga masasamang tao ay mga itim na sumbrero at ang mga kulay-abo na sumbrero ay nasa isang lugar sa pagitan. Kung nakita mo ang alinman sa mga ito na nagtatrabaho, karamihan ay ginagawa nila ang parehong bagay: ang pagsuri sa mga website para sa mga kahinaan. Ang pagkakaiba ay kung ano ang mangyayari kapag nahanap nila ang isang isyu.

Iniuulat ng mga puting sumbrero ang isyu sa may-ari ng website o aplikasyon. Ang mga itim na sumbrero ay naghahanap upang mag-hack sa website o magbenta ng impormasyon tungkol sa pagsasamantala sa iba. Ang mga grey hats ay hindi akma sa mga kategoryang ito. Maaari silang mag-hack para sa kasiyahan o pag-usisa, potensyal na paglabag sa batas, ngunit hindi naghahanap upang kumita ng pera o gumawa ng pinsala.

Bakit Mahalaga ang Web Security Security

Ang sinumang may isang online presence ay maaaring mai-hack. Ang account sa Twitter ng iyong kapitbahay at mga pandaigdigang bangko ay parehong target. Ang mga gantimpala para sa paglabag sa isang website ay maaaring maging walang hanggan.

Kung ang isang website ay nakompromiso, ang hacker ay maaaring kumuha ng anumang bagay mula sa mga username at password sa mga detalye ng credit card o mga rekord ng medikal. Karamihan sa atin alam ang isang tao na ang email ay na-hack, madalas na nagpapadala ng mga mensahe sa lahat sa kanilang listahan ng contact, kaya ang cybercrime ay may epekto sa ating lahat.

Kapag ang mga hacker ay may kontrol sa isang website, magagamit nila ito upang magnakaw ng higit pang mga detalye ng customer, na maaaring magamit upang ma-access ang mga account sa bangko o magnakaw ng bitcoin. Maaari rin silang makakuha ng kumpidensyal na impormasyon sa negosyo o teknikal.

Naturally, ang mga kumpanya ay masigasig na gawin ang anumang makakaya nila upang maiwasan ang mga paglabag sa seguridad. Ang pag-upa ng isang pagsubok sa pagtagos, o pentest, ang espesyalista ay isang mahusay na paraan upang matulungan silang makuha ang gilid sa mga hacker.

Ang isang kahusayan sa pagtatasa ng isang propesyonal sa seguridad ay nagsasangkot sa pag-upa ng isang tao upang subukang masira sa website. Maaari silang mag-usisa para sa mga butas ng seguridad sa parehong paraan na gagawin ng isang kriminal at iulat ang mga problema na nahanap nila sa may-ari ng website, na pagkatapos ay maiayos ang mga ito.

Pagtatantya ng Vulnerability

Pagtatasa ng kakayahang kumita

Ang mga bagong kahinaan sa software at website ay patuloy na natuklasan. Ang pinakabagong mga bersyon ng software ay karaniwang may kasamang mga pag-aayos para sa kilalang mga kahinaan, kaya’t ang pag-update sa kanila ay matino.

Na maaaring maging mahirap sa isang mature na aplikasyon ng web, bagaman. Ang iba’t ibang mga bersyon ng software ay hindi palaging magkatugma sa isa’t isa, kaya’t napapanatiling napapanahon ang mga bagay at tiyaking gumagana ang lahat ay hindi madali.

Habang ang mga bagay na ito ay palaging nagbabago, ito ay susunod sa imposible upang masiguro ang isang aplikasyon ay ligtas. Maaaring walang sinuman ang nakakaalam ng mga kahinaan sa pinakabagong bersyon ng iyong software ng server, halimbawa. Gayunman, hindi malamang na walang makitang mahahanap sa hinaharap.

Kung nag-aalala ka tungkol sa iyong website na na-hack, dapat mong basahin ang aming artikulo sa seguridad ng website para sa ilang mga payo.

Itim na Box vs White Box

Mayroong iba’t ibang mga paraan upang magsagawa ng isang kahinaan pagtatasa sa isang website o aplikasyon. Ang isang diskarte ay upang suriin ang mga kahinaan sa parehong paraan ng isang hacker, na walang kaalaman sa loob o tulong. Ito ay tinatawag na pagsubok sa itim na kahon.

Ang pagsubok sa puting kahon, sa kabilang banda, ay nangangahulugang pagsubok sa seguridad na may access sa impormasyon tulad ng source code ng application na sinusubukan o mga detalye tungkol sa kung anong software ang ginagamit.

Ang diskarteng itim na kahon ay katulad ng gagawin ng isang kriminal. Ang pagkuha ng impormasyon tungkol sa system na nasubok ay isang pangunahing hamon para sa mga gumagamit ng pamamaraang ito.

Ang diskarte sa puting kahon ay ginagawang mas madali upang makahanap ng mga kahinaan dahil ang tester ay maaaring mag-browse sa lahat ng bagay at makita kung paano magkasama ang lahat. Kung alam nila kung anong software ang tumatakbo, maaari nilang mai-target ang kanilang mga pag-atake nang naaayon. Iyon ay sinabi, hindi maaaring ipahiwatig kung aling mga kahinaan ang isang tunay na hacker ay malamang na makahanap.

Mga tool ng Pentest Trade

Ang Linux ay isang tanyag na operating system para sa mga kasangkot sa pagsubok sa seguridad. Kung kailangan mong gumawa ng isang kahinaan sa pagtatasa ng kahinaan sa isang website, ang Kali Linux ay isang partikular na mahusay na pamamahagi dahil ito ay naka-install sa lahat ng mga uri ng may-katuturang software, kabilang ang Wireshark at Burp suite, pati na rin ang maraming iba pang mga kapaki-pakinabang na tool.

Ang paggamit ng isang tool tulad ng Burp suite o Charles upang subaybayan ang trapiko sa web ay maaaring magbigay sa iyo ng isang detalyadong larawan ng kung ano ang nangyayari kapag kumonekta ka sa isang website. Sinusubaybayan nila ang lahat ng mga koneksyon na ginagawa ng iyong computer at binibigyan ka ng mga detalye na kailangan mo tungkol sa mga ito. Kapaki-pakinabang din ang mga ito para sa regular na pag-unlad ng web at pag-debug.

Maaari mong gamitin ang mga ito upang baguhin ang mga kahilingan na ipinadala, na mahusay kung nais mong makita kung paano tumugon ang isang server sa uri ng hindi pamantayang trapiko na maaaring magmula sa isang hacker.

mga charles

Mayroon ding mga tool upang awtomatiko ang pag-atake ng matapang na password, na mahalagang subukan ang maraming mga kumbinasyon hangga’t maaari. Nagpe-target ito ng maikli, madaling password. Ang paggamit ng isang tagapamahala ng password ay makakatulong sa iyo na makabuo ng mas mahaba na hindi gaanong masugatan sa pag-atake nito.

Ang mga form ng password ay isang panganib din para sa SQL injection – sneaking code sa data na naipasa sa server. Maaaring makita ng isang tester ng seguridad ang mga lugar kung saan maaaring mangyari at i-update ang code upang matiyak na ang mga papasok na data ay ligtas na hawakan.

Ang pagtingin sa kung paano gumagamit ng isang memorya ng computer ay maaari ring magbunyag ng mga kahinaan. Ang pag-poke sa pamamagitan ng mga innards ng isang maipapatupad na programa ay maaaring gawin sa debugger ng GNU, o GDB. Ang ganitong uri ng pagsubok ng kahinaan ay nagsasangkot ng paghahanap ng mga pagsasamantala na maaaring magbigay ng pag-access sa hacker sa isang shell at payagan silang kontrolin ang isang server.

gdb

Karamihan sa mga browser ay may isang cons cons, na kapaki-pakinabang din para sa pagsusuri kung ano ang nangyayari sa isang website. Ang mga tool ng dev ng Chrome ay magpapakita kung anong mga elemento ang naglo-load ng pahina at magbubunyag ng mga error. Bilang karagdagan sa sanhi ng mga problema para sa mga gumagamit, ang mga error ay maaaring mag-iwan ng isang website na mahina laban sa pag-atake.

Maaari mong mahanap ang dev console sa Chrome sa pamamagitan ng pag-click sa tatlong tuldok sa kanang tuktok upang buksan ang menu, pagkatapos ay pumili ng “higit pang mga tool” > “Mga tool ng developer.” I-click ang tab na “console” upang matingnan ang mga error sa website na iyong tinitingnan. Maaari kang magulat na malaman kung gaano kalaki ang mali, kahit na sa mga website na may mataas na profile.

chrome-console

Ang ilang mga kumpanya ay maaaring gumamit ng virtual pribadong network upang makatulong na maprotektahan ang kanilang sarili mula sa pinsala. Ang isang magsasalakay ay maaaring makilala na, bagaman, at isang mas ligtas na koneksyon ay maaaring masugatan sa pagsasamantala. Iyon ang dahilan kung bakit mahalagang maging maingat kapag pumipili ng isang serbisyo at pumili ng isa sa pinakamahusay na mga nagbibigay ng VPN sa paligid.

Paggawa ng Pera sa Pagsubok sa Seguridad

paggawa ng pera sa pagsubok ng pagtagos

Kung interesado ka sa seguridad sa computer, hindi ito naging madali upang makisali. Maraming mga kumpanya kaysa kailanman nag-aalok ng mga pampublikong bounties para sa mga nakakahanap at mag-ulat ng mga isyu sa kanilang mga website. Ang mga premyo ay maaaring tumakbo ng kasing taas ng daan-daang libong dolyar. Gayunman, binigyan ng babala ang mga potensyal na mangangaso na higit na mababa at kailangan mong mamuhunan ng makabuluhang oras kung nais mong mapunta ang isa.

Iyon ay sinabi, maglagay ng ilang maliit na mga premyo at maaari kang makapag-lupa ng trabaho bilang isang consultant sa seguridad, o tagasubok ng pagtagos, nagtuturo sa mga kumpanya kung paano maprotektahan ang kanilang sarili mula sa hindi gaanong scrupulous na mga mangangaso sa labas.

Pangwakas na Kaisipan

Sa isang palaging nagbabago ng digital na tanawin ang pangangailangan para sa seguridad ay ang pinakadulo na. Sa kabutihang palad, ang kamalayan ng mga isyu sa paligid ng seguridad ng web application, at seguridad sa pangkalahatan, ay lumago din.

Ang pagsubok sa penetration ay isang malaking bahagi ng seguridad. Ito ay isang mapaghamong larangan, ngunit kaakit-akit sa pag-aaral. Kung nahanap mo na kapaki-pakinabang ang artikulong ito, o may karanasan sa pentesting, ipaalam sa amin ang mga komento sa ibaba. Salamat sa pagbabasa.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map