Mi az áthatolásteszt? Gyors útmutató 2020-ra

A számítógépes biztonság soha nem volt ilyen fontos. Ha a hackerek fenyegetik a bankszámláját, az olyan ransomware, amely le tudja állítani a számítógépet, ha nem fizeti meg a kért árat, és mindenki másra kémkedik, igazságos, hogy a biztonsági kép bonyolultabb, mint valaha..


Szerencsére nem mindenki rendelkezik biztonsági ismeretekkel, hogy megszerezze magát. Néhány hackerek jól működnek, és a sérülékenységeket próbálják kipróbálni azzal a céllal, hogy ezeket kijavítsák, és ne személyes haszonszerzés céljából használják fel őket.

Ebben a cikkben megvizsgáljuk a szerepüket és elmagyarázzuk, mi a penetrációs tesztelés.

Bur először: fekete kalap és fehér kalap

penetrációs vizsgálat

A jó fiúkat közismerten fehér kalapok tesztelõinek hívják. A rossz fiúk fekete kalapok és a szürke kalapok valahol a kettő között vannak. Ha látná, hogy egyikük működik, akkor többnyire ugyanazt csinálják: ellenőrzik a weboldalakat sebezhetőség szempontjából. A különbség az, hogy mi történik, ha problémát találnak.

Fehér kalapok jelentik a problémát a weboldal vagy az alkalmazás tulajdonosának. A fekete kalapok be akarnak támadni a weboldalra, vagy eladni másoknak a kizsákmányolással kapcsolatos információkat. A szürke kalapok nem igazán felelnek meg ezeknek a kategóriáknak. Előfordulhat, hogy szórakozásból vagy kíváncsiságból csapkodnak, esetleg megsértik a törvényeket, de nem akarnak pénzt keresni vagy ártani.

Miért számít a webes alkalmazások biztonsága?

Bárki, aki online jelen van, megtámadható. A szomszéd Twitter-fiókja és a nemzetközi bankok egyaránt célok. A weboldalra való belépésért járó jutalmak korlátlanok lehetnek.

Ha egy webhelyet veszélyeztet, a hackerek bármit elfoglalhatnak a felhasználónevektől és a jelszavaktól a hitelkártya-adatokig vagy az orvosi nyilvántartásokig. Legtöbben ismerünk valakit, akinek az e-mailjét feltörték, és gyakran üzeneteket küldenek mindenki számára, aki szerepel a névjegyzékben, így a számítógépes bűnözés mindannyiunkra hatással van..

Miután a hackerek ellenőrzik a webhelyet, felhasználhatják azt további ügyfél-adatok ellopására, amelyek felhasználhatók bankszámlák elérésére vagy bitcoin ellopására. Lehet, hogy bizalmas üzleti vagy műszaki információkat is beszerezhetnek.

A társaságok természetesen szívesen megtesznek minden tőlük telhetőt, hogy megakadályozzák a biztonsági szabályok megsértését. A penetrációs teszt vagy a pentest-szakember felvétele nagyszerű módja annak, hogy elősegítsék a hackerek előnyeit.

Egy biztonsági szakember által végzett sebezhetőségi vizsgálat során fel kell venni valakit, aki megpróbál betörni a weboldalra. Ugyanúgy próbálhatják meg vizsgálni a biztonsági lyukakat, mint egy bűncselekmény, és jelentik a talált problémákat a weboldal tulajdonosának, aki ezeket kijavíthatja..

Sebezhetőség értékelése

A biztonsági rés értékelése

Folyamatosan fedeznek fel új gyengeségeket a szoftverekben és a webhelyeken. A legfrissebb szoftververziók általában tartalmaznak ismert biztonsági réseket, ezért frissítésük ésszerű.

Ez azonban nehéz lehet egy érett webes alkalmazásban. A szoftver különféle verziói nem mindig kompatibilisek egymással, így a dolgok naprakészen tartása és a működés ellenőrzése nem könnyű.

Mivel ezek a dolgok mindig változnak, lehetetlen garantálni az alkalmazás biztonságát. Lehet, hogy senki sem ismeri a kiszolgálószoftver legújabb verziójának biztonsági réseit. Nem valószínű azonban, hogy a jövőben hibákat találnak.

Ha aggódik webhelyének feltörése miatt, olvassa el néhány, a webhely biztonságáról szóló cikket.

Fekete doboz vs Fehér doboz

A sebezhetőség értékelésének különböző módjai vannak egy weboldalon vagy alkalmazáson keresztül. Az egyik megközelítés a sérülékenységek kipróbálása ugyanúgy, mint a hackerek számára, belső ismeretek vagy segítség nélkül. Ezt nevezik fekete doboz tesztelésnek.

A fehér doboz tesztelése viszont azt jelenti, hogy biztonsági teszteket kell elérni olyan információkhoz, mint például a vizsgált alkalmazás forráskódja vagy a használt szoftver részletei..

A fekete doboz megközelítés inkább olyan, mint amit a bűnöző megtenne. A tesztelt rendszerrel kapcsolatos információk megszerzése kulcsfontosságú kihívás azok számára, akik ezt a módszert használják.

A fehér doboz stratégia megkönnyíti a sebezhetőségek megtalálását, mivel a tesztelő mindent átjárhat, és megnézheti, hogy mindez hogyan illeszkedik egymáshoz. Ha tudják, hogy melyik szoftver fut, megcélozhatják támadásaikat. Ennek ellenére lehet, hogy nem jelzi, hogy mely valószínűséggel találhat valódi hackert.

A Pentest kereskedelem szerszámai

A Linux népszerű operációs rendszer a biztonsági tesztekben részt vevők számára. Ha webhelyen sebezhetőségi vizsgálatot kell végeznie, akkor a Kali Linux különösen jó disztribúció, mivel mindenféle releváns szoftverrel együtt telepítve van, beleértve a Wireshark és a Burp programcsomagot, valamint sok más hasznos eszközt..

Az olyan eszközök használatával, mint például a Burp suite vagy a Charles a webes forgalom megfigyeléséhez, részletes képet kaphat arról, hogy mi történik, amikor csatlakozik egy weboldalhoz. Figyelemmel kísérik az összes számítógépes kapcsolatot, és megadják a rájuk vonatkozó információkat. Hasznosak rendszeres webfejlesztésben és hibakeresésben is.

Használhatja azokat az elküldött kérelmek módosítására, ami nagyszerű, ha azt szeretné látni, hogy a szerver hogyan reagál a hackertől származó esetleges nem szabványos forgalomra..

Károly

Vannak olyan eszközök is a brute force jelszó támadások automatizálásához, amelyek lényegében a lehető legtöbb kombinációt próbálják ki. Rövid, egyszerű jelszavakat céloz meg. A jelszókezelő használatával előállíthat olyan hosszabb jelszókat, amelyek kevésbé érzékenyek a támadásra.

A jelszó-formák szintén veszélyt jelentenek az SQL-befecskendezésre – kód becsapása a kiszolgálóra továbbított adatokba. A biztonsági tesztelő észlelheti azokat a helyeket, ahol ez előfordulhat, és frissítheti a kódot a bejövő adatok biztonságos kezelése érdekében.

Ha megvizsgálja, hogy egy alkalmazás hogyan használja a számítógép memóriáját, felfedezheti a biztonsági réseket is. A végrehajtható program belső betűin keresztül történő beillesztés a GNU hibakeresővel vagy a GDB segítségével végezhető el. Az ilyen típusú sebezhetőségi tesztelés során kihasználják a hackerek hozzáférését a héjhoz, és lehetővé teszik számukra a kiszolgáló irányítását..

gdb

A legtöbb böngésző rendelkezik dev konzollal, amely szintén hasznos a webhelyen zajló események megvizsgálásához. A Chrome fejlesztőeszközei megmutatják, milyen elemeket tölt be az oldal, és felfedik a hibákat. Amellett, hogy problémákat okoz a felhasználók számára, a hibák támadásoknak is kitéve a webhelyet.

A dev konzolt megtalálhatja a Chrome-ban, ha rákattint a jobb felső sarokban található három pontra a menü megnyitásához, majd a „további eszközök” > “fejlesztői eszközök.” Kattintson a „konzol” fülre a megtekintett webhely hibáinak megtekintéséhez. Meglepődhet, ha megtudja, mennyi rosszul történik, még a magas szintű webhelyeken is.

króm-konzol

Egyes vállalatok virtuális magánhálózatot használhatnak, hogy megvédjék magukat a káros hatásoktól. A támadó azonban felismeri, hogy egy kevésbé biztonságos kapcsolat ki lehet téve a kizsákmányolásnak. Ezért fontos, hogy legyen óvatos, amikor szolgáltatást választ, és válassza ki az egyik legjobb VPN-szolgáltatót.

Pénzkeresés a biztonsági tesztelés során

pénzt keresni a penetrációs teszteléssel

Ha a számítógépes biztonság érdekli Önt, még soha nem volt ilyen egyszerű részt venni. Mint valaha több társaság kínál nyilvános pénzeszközt azoknak, akik webhelyükön problémákat találnak és jelentenek. A díjak akár százezer dollárt is elérhetnek. A potenciális fejvadászokat figyelmeztetni kell, bár a legtöbb jóval alacsonyabb, és jelentős időt kell befektetnie, ha egy.

Tehát, csomagolj néhány apró díjat, és elképzelheti, hogy biztonsági tanácsadóként vagy penetrációs tesztelőként dolgozik, és megtanítja a cégeket, hogyan kell megvédeni magukat a kevésbé szigorú hibás vadászoktól..

Végső gondolatok

Az állandóan változó digitális környezetben a legnagyobb szükség van a biztonságra. Szerencsére nőtt a webalkalmazások és általában az általános biztonság kérdéseinek tudatossága is.

A behatolásteszt a biztonság nagy részét képezi. Ez egy kihívást jelentő terület, de tanulságos. Ha hasznosnak találta ezt a cikket, vagy van pentetelési tapasztalata, tudassa velünk az alábbi megjegyzésekben. Köszönöm, hogy elolvasta.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map