การทดสอบการเจาะคืออะไร? คู่มือฉบับย่อสำหรับปี 2563

ความปลอดภัยของคอมพิวเตอร์ไม่เคยมีความสำคัญ ด้วยแฮกเกอร์ที่คุกคามบัญชีธนาคารของคุณ ransomware ที่สามารถปิดเครื่องคอมพิวเตอร์ของคุณหากคุณไม่ชำระราคาตามที่ขอและทุกคนแอบดูคนอื่น ๆ มันยุติธรรมที่จะบอกว่าภาพความปลอดภัยมีความซับซ้อนมากขึ้นกว่าเดิม.


โชคดีที่ไม่ใช่ทุกคนที่มีทักษะความปลอดภัยออกมาเพื่อรับคุณ แฮ็กเกอร์บางคนทำงานได้ดีตรวจหาช่องโหว่โดยมีเป้าหมายในการแก้ไขมากกว่าที่จะเอาเปรียบพวกเขาเพื่อผลประโยชน์ส่วนตัว.

ในบทความนี้เราจะดูบทบาทของพวกเขาและอธิบายว่าการทดสอบการเจาะคืออะไร.

Bur แรก: Black Hat กับ White Hat

การทดสอบการเจาะ

ผู้ชายที่ดีเป็นที่รู้จักกันทั่วไปว่าเป็นผู้ทดสอบหมวกสีขาว คนเลวคือหมวกสีดำและหมวกสีเทาอยู่ระหว่างกัน หากคุณเห็นคนใดคนหนึ่งทำงานพวกเขาส่วนใหญ่จะทำสิ่งเดียวกันนั่นคือตรวจสอบเว็บไซต์เพื่อหาช่องโหว่ ความแตกต่างคือสิ่งที่เกิดขึ้นเมื่อพวกเขาพบปัญหา.

หมวกสีขาวรายงานปัญหาให้กับเจ้าของเว็บไซต์หรือแอปพลิเคชัน หมวกสีดำกำลังมองหาการแฮ็คเข้าไปในเว็บไซต์หรือขายข้อมูลเกี่ยวกับการเอาเปรียบผู้อื่น หมวกสีเทาไม่ค่อยเหมาะกับหมวดหมู่เหล่านั้น พวกเขาอาจแฮ็คเพื่อความสนุกสนานหรืออยากรู้อยากเห็นอาจผิดกฎหมาย แต่ไม่ต้องการหาเงินหรือทำอันตราย.

ทำไมเรื่องความปลอดภัยของ Web Application

ทุกคนที่มีสถานะออนไลน์สามารถถูกแฮ็ก บัญชี Twitter ของเพื่อนบ้านและธนาคารต่างประเทศเป็นเป้าหมายทั้งคู่ รางวัลสำหรับการเจาะเข้าไปในเว็บไซต์นั้นไร้ขีด จำกัด.

หากเว็บไซต์ใดถูกแฮ็กเกอร์สามารถนำสิ่งใดก็ได้จากชื่อผู้ใช้และรหัสผ่านไปยังรายละเอียดบัตรเครดิตหรือบันทึกทางการแพทย์ พวกเราส่วนใหญ่รู้จักคนที่ถูกแฮ็คอีเมลมักส่งข้อความถึงทุกคนในรายชื่อผู้ติดต่อดังนั้นอาชญากรรมไซเบอร์จึงส่งผลกระทบต่อพวกเราทุกคน.

เมื่อแฮกเกอร์สามารถควบคุมเว็บไซต์ได้พวกเขาสามารถใช้เพื่อขโมยรายละเอียดลูกค้าเพิ่มเติมซึ่งสามารถใช้เพื่อเข้าถึงบัญชีธนาคารหรือขโมย bitcoin พวกเขายังอาจได้รับข้อมูลลับทางธุรกิจหรือทางเทคนิค.

โดยปกติแล้ว บริษัท ต่างกระตือรือร้นที่จะทำทุกอย่างเท่าที่ทำได้เพื่อป้องกันการละเมิดความปลอดภัย การว่าจ้างการทดสอบการเจาะหรือการชำนาญเป็นวิธีที่ยอดเยี่ยมในการช่วยให้พวกเขาได้เปรียบเหนือแฮกเกอร์.

การประเมินช่องโหว่โดยผู้เชี่ยวชาญด้านความปลอดภัยเกี่ยวข้องกับการจ้างคนพยายามเจาะเข้าสู่เว็บไซต์ พวกเขาสามารถสอบสวนหาช่องโหว่ด้านความปลอดภัยในลักษณะเดียวกับที่อาชญากรต้องการและรายงานปัญหาที่พวกเขาพบกับเจ้าของเว็บไซต์ซึ่งพวกเขาสามารถแก้ไขได้.

การประเมินความเสี่ยง

การประเมินช่องโหว่

จุดอ่อนใหม่ในซอฟต์แวร์และเว็บไซต์ถูกค้นพบอยู่ตลอดเวลา ซอฟต์แวร์เวอร์ชันล่าสุดมักจะมีการแก้ไขสำหรับช่องโหว่ที่รู้จักดังนั้นการอัพเดตเป็นช่องโหว่.

ซึ่งอาจเป็นเรื่องยากสำหรับเว็บแอปพลิเคชันสำหรับผู้ใหญ่ ซอฟต์แวร์รุ่นต่าง ๆ ไม่สามารถทำงานร่วมกันได้ตลอดเวลาดังนั้นการอัพเดตให้ทันสมัยและทำให้แน่ใจว่าทุกอย่างใช้งานได้ง่าย.

เนื่องจากสิ่งเหล่านี้เปลี่ยนแปลงอยู่ตลอดเวลาจึงเป็นไปไม่ได้ที่จะรับประกันว่าแอปพลิเคชันจะปลอดภัย อาจเป็นไปได้ว่าไม่มีใครรับรู้ถึงจุดอ่อนในซอฟต์แวร์เซิร์ฟเวอร์รุ่นล่าสุดของคุณ ไม่น่าเป็นไปได้ว่าจะไม่มีข้อบกพร่องในอนาคต.

หากคุณกังวลเกี่ยวกับเว็บไซต์ของคุณที่ถูกแฮ็คคุณควรอ่านบทความของเราเกี่ยวกับความปลอดภัยของเว็บไซต์สำหรับตัวชี้สองสามตัว.

กล่องดำกับกล่องสีขาว

มีหลายวิธีในการประเมินช่องโหว่ในเว็บไซต์หรือแอปพลิเคชัน วิธีหนึ่งคือตรวจสอบช่องโหว่เช่นเดียวกับที่แฮ็กเกอร์ต้องการโดยไม่มีความรู้หรือความช่วยเหลือจากภายใน เรียกว่าการทดสอบกล่องดำ.

ในทางตรงกันข้ามการทดสอบกล่องสีขาวหมายถึงการทดสอบความปลอดภัยด้วยการเข้าถึงข้อมูลเช่นซอร์สโค้ดของแอปพลิเคชันที่ถูกตรวจสอบหรือรายละเอียดเกี่ยวกับซอฟต์แวร์ที่ใช้งานอยู่.

วิธีกล่องดำเป็นเหมือนสิ่งที่อาชญากรทำ การรับข้อมูลเกี่ยวกับระบบที่กำลังทดสอบเป็นความท้าทายที่สำคัญสำหรับผู้ที่ใช้วิธีนี้.

กลยุทธ์กล่องสีขาวช่วยให้ค้นหาช่องโหว่ได้ง่ายขึ้นเนื่องจากผู้ทดสอบสามารถเรียกดูทุกอย่างและดูว่ามันเข้ากันได้อย่างไร หากพวกเขารู้ว่าซอฟต์แวร์ใดกำลังทำงานอยู่พวกเขาสามารถกำหนดเป้าหมายการโจมตีได้ ที่กล่าวมาอาจไม่บ่งชี้ว่าช่องโหว่ที่แฮ็กเกอร์ตัวจริงคนใดน่าจะค้นหาได้.

เครื่องมือของการค้าขายเพนต์

Linux เป็นระบบปฏิบัติการที่ได้รับความนิยมสำหรับผู้ที่เกี่ยวข้องกับการทดสอบความปลอดภัย หากคุณจำเป็นต้องทำการประเมินช่องโหว่บนเว็บไซต์ Kali Linux เป็นการกระจายที่ดีเป็นพิเศษเนื่องจากติดตั้งมาพร้อมกับซอฟต์แวร์ที่เกี่ยวข้องทุกประเภทรวมถึง Wireshark และ Burp suite รวมถึงเครื่องมือที่มีประโยชน์อื่น ๆ อีกมากมาย.

การใช้เครื่องมือเช่นชุดเรอหรือชาร์ลส์เพื่อตรวจสอบปริมาณการใช้งานเว็บสามารถให้ภาพโดยละเอียดเกี่ยวกับสิ่งที่เกิดขึ้นเมื่อคุณเชื่อมต่อกับเว็บไซต์ พวกเขาตรวจสอบการเชื่อมต่อทั้งหมดที่คอมพิวเตอร์ของคุณทำและให้รายละเอียดที่คุณต้องการเกี่ยวกับพวกเขา นอกจากนี้ยังมีประโยชน์สำหรับการพัฒนาเว็บและการดีบักเป็นประจำ.

คุณสามารถใช้พวกเขาเพื่อปรับเปลี่ยนคำขอที่ส่งมาซึ่งดีมากถ้าคุณต้องการดูว่าเซิร์ฟเวอร์ตอบสนองต่อการรับส่งข้อมูลที่ไม่ได้มาตรฐานซึ่งอาจมาจากแฮ็กเกอร์หรือไม่.

ชาร์ลส์

นอกจากนี้ยังมีเครื่องมือในการทำการโจมตีด้วยรหัสผ่านแบบเดรัจฉานโดยอัตโนมัติ ตั้งเป้าหมายรหัสผ่านที่สั้นและง่าย การใช้ตัวจัดการรหัสผ่านสามารถช่วยให้คุณสร้างรหัสผ่านที่มีความเสี่ยงต่อการถูกโจมตีได้น้อยกว่า.

รูปแบบรหัสผ่านยังมีความเสี่ยงสำหรับการฉีดรหัส SQL ที่แอบเข้าไปในข้อมูลที่ส่งไปยังเซิร์ฟเวอร์ เครื่องทดสอบความปลอดภัยสามารถตรวจจับตำแหน่งที่อาจเกิดขึ้นและอัปเดตรหัสเพื่อให้มั่นใจว่ามีการจัดการข้อมูลที่เข้ามาอย่างปลอดภัย.

การดูว่าแอปพลิเคชันใช้หน่วยความจำคอมพิวเตอร์ยังสามารถเปิดเผยช่องโหว่ได้อย่างไร การเจาะผ่านส่วนในของโปรแกรมที่เรียกทำงานสามารถทำได้ด้วยตัวดีบั๊ก GNU หรือ GDB การทดสอบช่องโหว่ประเภทนี้เกี่ยวข้องกับการค้นหาช่องโหว่ที่สามารถให้แฮกเกอร์เข้าถึงเชลล์และอนุญาตให้พวกเขาควบคุมเซิร์ฟเวอร์.

gdb

เบราว์เซอร์ส่วนใหญ่มีคอนโซล dev ซึ่งเป็นประโยชน์สำหรับการตรวจสอบสิ่งที่เกิดขึ้นบนเว็บไซต์ เครื่องมือ dev ของ Chrome จะแสดงองค์ประกอบที่หน้าเว็บโหลดและเปิดเผยข้อผิดพลาด นอกเหนือจากการทำให้เกิดปัญหาสำหรับผู้ใช้แล้วข้อผิดพลาดอาจทำให้เว็บไซต์เสี่ยงต่อการถูกโจมตี.

คุณสามารถค้นหาคอนโซล dev ใน Chrome ได้โดยคลิกที่จุดสามจุดที่ด้านบนขวาเพื่อเปิดเมนูจากนั้นเลือก“ เครื่องมือเพิ่มเติม” > “เครื่องมือสำหรับผู้พัฒนา.” คลิกแท็บ “คอนโซล” เพื่อดูข้อผิดพลาดบนเว็บไซต์ที่คุณกำลังดู คุณอาจประหลาดใจที่ทราบว่าผิดพลาดมากเพียงใดแม้ในเว็บไซต์ที่มีชื่อเสียง.

โครเมี่ยมคอนโซล

บาง บริษัท อาจใช้เครือข่ายส่วนตัวเสมือนเพื่อช่วยป้องกันตนเองจากอันตราย ผู้โจมตีสามารถระบุได้ว่าและการเชื่อมต่อที่ปลอดภัยน้อยอาจเสี่ยงต่อการถูกเอารัดเอาเปรียบ นี่คือเหตุผลที่ควรระวังเมื่อเลือกบริการและเลือกหนึ่งในผู้ให้บริการ VPN ที่ดีที่สุด.

ทำเงินในการทดสอบความปลอดภัย

ทำเงินกับการทดสอบการเจาะ

หากความปลอดภัยของคอมพิวเตอร์เป็นสิ่งที่คุณสนใจ บริษัท มากกว่าที่เคยเสนอเงินรางวัลสาธารณะสำหรับผู้ที่ค้นหาและรายงานปัญหาด้วยเว็บไซต์ของพวกเขา รางวัลสามารถวิ่งได้สูงถึงหลายแสนดอลลาร์ นักล่าเงินรางวัลที่มีศักยภาพจะได้รับการเตือนแม้ว่าส่วนใหญ่จะต่ำกว่ามากและคุณจะต้องลงทุนเวลาสำคัญหากคุณต้องการลงจอด.

ที่กล่าวว่าให้บรรจุรางวัลเล็ก ๆ น้อย ๆ และคุณอาจจะได้งานเป็นที่ปรึกษาด้านความปลอดภัยหรือผู้ทดสอบการเจาะสอน บริษัท ต่างๆถึงวิธีการป้องกันตนเองจากนักล่าบั๊กที่มีความพิถีพิถันน้อยลง.

ความคิดสุดท้าย

ด้วยภูมิทัศน์ดิจิตอลที่เปลี่ยนแปลงตลอดเวลาความต้องการความปลอดภัยเป็นสิ่งที่ยิ่งใหญ่ที่สุด โชคดีที่การตระหนักถึงปัญหาเกี่ยวกับความปลอดภัยของเว็บแอปพลิเคชันและความปลอดภัยโดยทั่วไปก็เพิ่มขึ้นเช่นกัน.

การทดสอบการรุกเป็นส่วนสำคัญของความปลอดภัย มันเป็นสาขาที่ท้าทาย แต่น่าสนใจที่จะเรียน หากคุณพบว่าบทความนี้มีประโยชน์หรือมีประสบการณ์ในการคุมขังโปรดแจ้งให้เราทราบในความคิดเห็นด้านล่าง ขอบคุณที่อ่าน.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map