Mikä on läpäisytestaus? Pikaopas vuodelle 2020

Tietoturva ei ole koskaan ollut tärkeämpää. Kun hakkerit uhkaavat pankkitiliäsi, ransomware, joka voi sammuttaa tietokoneesi, jos et maksa pyydettävää hintaa, ja kaikki vakoilevat kaikkia muita, on kohtuullista sanoa, että turvallisuuskuva on monimutkaisempi kuin koskaan ennen..

Onneksi kaikki turvallisuustaidot tuntevat sinut. Jotkut hakkerit työskentelevät hyväksi ja etsivät haavoittuvuuksia korjatakseen ne sen sijaan, että hyödyntäisivät niitä henkilökohtaisen hyödyn saamiseksi.

Tässä artikkelissa tarkastelemme heidän roolia ja selitämme, mikä on läpäisytestaus.

Bur ensin: Musta hattu ja valkoinen hattu

levinneisyystestaus

Hyvät kaverit tunnetaan yleisesti valkoisten hattujen testaajina. Pahat pojat ovat mustia hattuja ja harmaat hatut ovat jossain niiden välissä. Jos näkisit jonkin heistä toimivan, he tekisivät useimmiten samoin: tarkistamalla verkkosivustoilla heikkouksia. Ero on siinä, mitä tapahtuu, kun he löytävät ongelman.

Valkoiset hatut ilmoittavat ongelmasta verkkosivuston tai sovelluksen omistajalle. Mustat hatut haluavat tunkeutua verkkosivustoon tai myydä tietoa hyväksikäytöstä muille. Harmaat hatut eivät sovi aivan niihin luokkiin. He saattavat hakkeroida hauskanpitoa tai uteliaisuuttaan, mahdollisesti rikkoa lakia, mutta eivät halua ansaita rahaa tai tehdä haittaa.

Miksi verkkosovellusten turvallisuus?

Jokainen, jolla on online-läsnäolo, voidaan hakkeroida. Naapurisi Twitter-tili ja kansainväliset pankit ovat molemmat kohteita. Palkkiot verkkosivustolle pääsystä voivat olla rajattomat.

Jos verkkosivusto on vaarantunut, hakkeri voi viedä mitä tahansa käyttäjänimistä ja salasanoista luottokorttitietoihin tai potilastietoihin. Suurin osa meistä tuntee jonkun, jonka sähköpostiin on hakkeroitu, ja lähettää usein viestejä kaikille heidän yhteystietoluettelossaan oleville henkilöille, joten verkkorikollisuus vaikuttaa meihin kaikkiin.

Kun hakkerit hallitsevat verkkosivustoa, he voivat varastaa sitä enemmän asiakkaan tietoja, joita voidaan käyttää pankkitileihin pääsyyn tai bitcoinien varastamiseen. He voivat myös saada luottamuksellisia yritystietoja tai teknisiä tietoja.

Yritykset ovat luonnollisesti innokkaita tekemään kaikkensa estääkseen tietoturvaloukkauksia. Tunkeutumistesti- tai pentest-asiantuntijan palkkaaminen on loistava tapa auttaa heitä saamaan hyökkääjät hakkereihin.

Turvallisuusammattilaisen tekemä haavoittuvuuden arviointi sisältää henkilön palkkaamisen yrittämään murtautua verkkosivustoon. He voivat tutkia tietoturva-aukkoja samalla tavalla kuin rikollinen ja ilmoittaa löytämissä ongelmista verkkosivuston omistajalle, joka voi sitten korjata ne.

Haavoittuvuuden arviointi

Haavoittuvuuden arviointi

Ohjelmistoissa ja verkkosivustoissa löydetään jatkuvasti uusia heikkouksia. Uusimmat ohjelmistoversiot sisältävät yleensä tunnettujen haavoittuvuuksien korjaukset, joten päivittäminen niihin on järkevää.

Se voi kuitenkin olla vaikeaa kypsässä verkkosovelluksessa. Eri ohjelmistoversiot eivät ole aina yhteensopivia keskenään, joten asioiden pitäminen ajan tasalla ja kaiken toiminnan varmistaminen ei ole helppoa.

Koska nämä asiat muuttuvat aina, on melkein mahdotonta taata sovelluksen turvallisuutta. Voi olla, että kukaan ei ole tietoinen esimerkiksi palvelinohjelmistosi uusimman version haavoittuvuuksista. On kuitenkin epätodennäköistä, että tulevaisuudessa ei löydy virheitä.

Jos olet huolissasi verkkosivustosi hakkeroinnista, sinun on luettava muutama osoitin verkkosivustomme artikkelista.

Musta laatikko vs. valkoinen laatikko

On olemassa erilaisia ​​tapoja suorittaa haavoittuvuuden arviointi verkkosivustolle tai sovellukselle. Yksi lähestymistapa on koettaa haavoittuvuudet samalla tavalla kuin hakkeri tekisi ilman sisäisiä tietoja tai apua. Tätä kutsutaan mustan laatikon testaamiseksi.

Valkoisen ruudun testaus tarkoittaa toisaalta tietoturvatestausta, jolla on pääsy tietoihin, kuten koettavan sovelluksen lähdekoodi tai yksityiskohdat siitä, mitä ohjelmistoa käytetään.

Musta laatikko -lähestymistapa on enemmän kuin mitä rikollinen tekisi. Tietoja testattavasta järjestelmästä on keskeinen haaste tätä menetelmää käyttäville.

Valkoisen laatikon strategia helpottaa haavoittuvuuksien löytämistä, koska testaaja voi selata kaikkea ja nähdä kuinka kaikki sopii yhteen. Jos he tietävät, mitä ohjelmistoja käytetään, he voivat kohdistaa hyökkäykset vastaavasti. Se ei kuitenkaan välttämättä ilmoita, mitä haavoittuvuuksia todellinen hakkeri todennäköisesti löytäisi.

Pentest-kaupan työkalut

Linux on suosittu käyttöjärjestelmä turvallisuustestauksessa mukana oleville. Jos sinun on tehtävä haavoittuvuuden arviointi verkkosivustolla, Kali Linux on erityisen hyvä jakelu, koska se on asennettu kaikenlaisten asiaankuuluvien ohjelmistojen, kuten Wireshark ja Burp suite, sekä monien muiden hyödyllisten työkalujen kanssa..

Työkalun, kuten Burp suite tai Charles, käyttäminen verkkoliikenteen seuraamiseen voi antaa sinulle yksityiskohtaisen kuvan siitä, mitä tapahtuu, kun muodostat yhteyden verkkosivustoon. He seuraavat kaikkia tietokoneesi muodostamia yhteyksiä ja antavat sinulle tarvitsemasi tiedot heistä. Ne ovat hyödyllisiä myös säännöllisessä web-kehityksessä ja virheenkorjauksessa.

Niiden avulla voit muokata lähetettyjä pyyntöjä, mikä on hienoa, jos haluat nähdä, kuinka palvelin reagoi sellaiseen epästandardiseen liikenteeseen, joka saattaa tulla hakkereista..

Kaarle

On myös työkaluja raa’an voiman salasanahyökkäysten automatisoimiseksi, jotka käytännössä kokeilevat mahdollisimman monta yhdistelmää. Se kohdistuu lyhyisiin, helpoihin salasanoihin. Salasanahallinnan avulla voit luoda pidempiä salasanoja, jotka ovat vähemmän alttiita sen hyökkäykselle.

Salasanan muodot ovat myös riski SQL: n injektiolle – hiipimällä koodi palvelimelle siirrettyihin tietoihin. Suojaustesteri voi havaita paikat, joissa sitä voi tapahtua, ja päivittää koodin varmistaakseen saapuvien tietojen turvallisen käsittelyn.

Tutkimalla kuinka sovellus käyttää tietokoneen muistia, voi myös paljastaa haavoittuvuuksia. Käynnistäminen suoritettavan ohjelman sisäpisteiden läpi voidaan suorittaa GNU-virheenkorjaimella tai GDB: llä. Tällainen haavoittuvuustestaus sisältää sellaisten hyötyjen etsimisen, jotka voivat antaa hakkereille pääsyn kuoreen ja antaa heidän hallita palvelinta..

gdb

Useimmissa selaimissa on dev-konsoli, josta on hyötyä myös verkkosivuston tapahtumien tutkimisessa. Chromen dev-työkalut osoittavat, mitä elementtejä sivu latautuu, ja paljastavat virheet. Sen lisäksi, että virheet aiheuttavat käyttäjille ongelmia, ne saattavat estää verkkosivuston hyökkäyksiltä.

Löydät dev-konsolin Chromessa napsauttamalla kolmea pistettä oikeassa yläkulmassa avataksesi valikon ja valitsemalla sitten ”lisää työkaluja” > “kehittäjän työkalut.” Napsauta “konsoli” -välilehteä nähdäksesi virheet tarkastelemallasi verkkosivustossa. Saatat olla yllättynyt, kun tiedät kuinka paljon menee pieleen, jopa korkean profiilin verkkosivustoilla.

kromi-konsoli

Jotkut yritykset voivat käyttää virtuaalia yksityistä verkkoa suojautuakseen vahingoilta. Hyökkääjä voi kuitenkin tunnistaa sen, ja vähemmän turvallinen yhteys voi olla alttiina hyväksikäytölle. Siksi on tärkeää olla varovainen valittaessa palvelua ja valita yksi parhaimmista VPN-palveluntarjoajista.

Rahan ansaitseminen turvallisuustestauksessa

ansaita rahaa tunkeutumistestillä

Jos tietoturva kiinnostaa sinua, osallistuminen ei ole koskaan ollut näin helppoa. Enemmän yrityksiä kuin koskaan tarjoaa julkisia palkkioita niille, jotka löytävät ongelmia verkkosivuillaan ja ilmoittavat niistä. Palkinnot voivat olla jopa satoja tuhansia dollareita. Mahdollisia palkkionmetsästäjiä varoitetaan, tosin useimmat ovat paljon alhaisemmat, ja sinun on investoitava huomattavasti aikaa, jos haluat purkaa.

Laadimme kuitenkin muutaman pienen palkinnon ja saatat pystyä purkamaan työpaikan turvallisuuskonsulttina tai tunkeutumisen testaajana, joka opettaa yrityksiä suojaamaan itsensä siellä olevilta vähemmän tuskailta metsästäjiltä..

Lopulliset ajatukset

Jatkuvasti muuttuvassa digitaalisessa maastossa turvallisuustarve on suurin. Onneksi tietoisuus web-sovellusten tietoturvasta ja yleensä turvallisuudesta on myös kasvanut.

Läpäisytestaus on iso osa turvallisuutta. Se on haastava ala, mutta kiehtova tutkittava. Jos olet todennut, että tämä artikkeli on hyödyllistä tai sinulla on kokeellista kokemusta, ota meihin yhteyttä alla olevissa kommenteissa. Kiitos käsittelystä.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me