पेनेट्रेशन टेस्टिंग क्या है? 2020 के लिए एक त्वरित गाइड

कंप्यूटर सुरक्षा कभी भी अधिक महत्वपूर्ण नहीं रही है। हैकरों द्वारा आपके बैंक खाते को धमकी देने के साथ, रैंसमवेयर जो आपके पीसी को बंद कर सकता है यदि आप उस मूल्य का भुगतान नहीं करते हैं और हर कोई हर किसी की जासूसी करता है, तो यह कहना उचित है कि सुरक्षा चित्र पहले से कहीं अधिक जटिल है.


सौभाग्य से, सुरक्षा कौशल वाले हर कोई आपको पाने के लिए बाहर नहीं है। कुछ हैकर्स व्यक्तिगत लाभ के लिए उनका शोषण करने के बजाय उन्हें ठीक करने के लक्ष्य के साथ कमजोरियों के लिए जांच करते हैं.

इस लेख में, हम उनकी भूमिका को देखने जा रहे हैं और बता रहे हैं कि पैठ परीक्षण क्या है.

बर पहले: ब्लैक हैट बनाम व्हाइट हैट

भेदन परीक्षण

अच्छे लोगों को आमतौर पर सफेद टोपी परीक्षक के रूप में जाना जाता है। बुरे लोग काले टोपी वाले होते हैं और भूरे रंग की टोपियाँ कहीं बीच में होती हैं। यदि आपने उनमें से किसी को भी काम करते देखा है, तो वे ज्यादातर यही काम करेंगे: कमजोरियों के लिए वेबसाइटों की जाँच करना। अंतर तब होता है जब वे एक मुद्दा पाते हैं.

व्हाइट हैट्स वेबसाइट या एप्लिकेशन के मालिक को समस्या की सूचना देते हैं। ब्लैक हैट्स वेबसाइट में हैक करने या दूसरों को शोषण के बारे में जानकारी बेचने के लिए देख रहे हैं। ग्रे हैट्स उन श्रेणियों में बिल्कुल फिट नहीं हैं। वे मज़ेदार या जिज्ञासा के लिए हैक कर सकते हैं, संभावित रूप से कानून तोड़ सकते हैं, लेकिन पैसा बनाने या नुकसान करने की तलाश में नहीं हैं.

क्यों वेब अनुप्रयोग सुरक्षा मामलों

ऑनलाइन उपस्थिति वाले किसी को भी हैक किया जा सकता है। आपके पड़ोसी का ट्विटर खाता और अंतर्राष्ट्रीय बैंक दोनों लक्ष्य हैं। एक वेबसाइट में तोड़ने के लिए पुरस्कार असीम हो सकता है.

यदि किसी वेबसाइट से छेड़छाड़ की जाती है, तो हैकर यूजरनेम और पासवर्ड से लेकर क्रेडिट कार्ड के विवरण या मेडिकल रिकॉर्ड तक कुछ भी ले सकता है। हम में से ज्यादातर लोग जानते हैं कि किसका ईमेल हैक हुआ है, अक्सर अपनी संपर्क सूची में सभी को संदेश भेजते हैं, इसलिए साइबर अपराध का हम सभी पर प्रभाव पड़ रहा है.

एक बार हैकर्स के पास एक वेबसाइट का नियंत्रण होता है, तो वे इसका उपयोग अधिक ग्राहक विवरणों को चुराने के लिए कर सकते हैं, जिसका उपयोग बैंक खातों तक पहुंचने या जीएसटी चोरी करने के लिए किया जा सकता है। वे गोपनीय व्यवसाय या तकनीकी जानकारी प्राप्त करने में भी सक्षम हो सकते हैं.

स्वाभाविक रूप से, कंपनियां सुरक्षा उल्लंघनों को रोकने के लिए कुछ भी करने के लिए उत्सुक हैं। एक पैठ परीक्षण, या पेन्स्टेस्ट को किराए पर लेना, हैकर्स पर बढ़त हासिल करने में मदद करने के लिए विशेषज्ञ एक शानदार तरीका है.

एक सुरक्षा पेशेवर द्वारा भेद्यता मूल्यांकन में वेबसाइट में तोड़ने के प्रयास के लिए किसी को काम पर रखना शामिल है। वे सुरक्षा छेद के लिए उसी तरह से जांच कर सकते हैं जैसे एक अपराधी और वेबसाइट के मालिक को मिलने वाली समस्याओं की रिपोर्ट करेगा, जो तब उन्हें ठीक कर सकता है.

जोखिम मूल्यांकन

भेद्यता का आकलन

सॉफ्टवेयर और वेबसाइटों में नई कमजोरियों की लगातार खोज की जा रही है। नवीनतम सॉफ़्टवेयर संस्करणों में आमतौर पर ज्ञात कमजोरियों के लिए फ़िक्सेस शामिल होते हैं, इसलिए उन्हें अपडेट करना समझदारी है.

हालांकि, एक परिपक्व वेब एप्लिकेशन पर यह मुश्किल हो सकता है। सॉफ़्टवेयर के विभिन्न संस्करण हमेशा एक दूसरे के साथ संगत नहीं होते हैं, इसलिए चीजों को अद्यतित रखना और यह सुनिश्चित करना कि सब कुछ काम करना आसान नहीं है.

के रूप में इन चीजों को हमेशा बदल रहे हैं, यह एक आवेदन सुरक्षित है की गारंटी करने के लिए असंभव के बगल में है। यह हो सकता है कि किसी को आपके सर्वर सॉफ़्टवेयर के नवीनतम संस्करण में कमजोरियों के बारे में पता न हो, उदाहरण के लिए। हालांकि, यह संभावना नहीं है कि भविष्य में कोई दोष नहीं मिलेगा.

यदि आप अपनी वेबसाइट के हैक होने से चिंतित हैं, तो आपको कुछ बिंदुओं के लिए वेबसाइट सुरक्षा पर हमारा लेख पढ़ना चाहिए.

ब्लैक बॉक्स बनाम व्हाइट बॉक्स

वेबसाइट या एप्लिकेशन पर भेद्यता मूल्यांकन करने के विभिन्न तरीके हैं। एक तरीका यह है कि कमजोरियों की जांच उसी तरह की जाए जैसे कोई हैकर करता है, जिसमें कोई अंदर का ज्ञान या मदद नहीं है। इसे ब्लैक बॉक्स टेस्टिंग कहा जाता है.

दूसरी ओर, व्हाइट बॉक्स परीक्षण का अर्थ है कि सूचना के उपयोग के साथ सुरक्षा परीक्षण, जैसे कि अनुप्रयोग के स्रोत कोड की जांच की जा रही है या सॉफ़्टवेयर के बारे में जानकारी का उपयोग किया जा रहा है।.

ब्लैक बॉक्स का दृष्टिकोण अधिक है जैसे एक अपराधी क्या करेगा। परीक्षण की जा रही प्रणाली के बारे में जानकारी प्राप्त करना इस पद्धति का उपयोग करने वालों के लिए एक महत्वपूर्ण चुनौती है.

सफेद बॉक्स की रणनीति कमजोरियों को ढूंढना आसान बनाती है क्योंकि परीक्षक सब कुछ ब्राउज़ कर सकता है और देख सकता है कि यह सब एक साथ कैसे फिट बैठता है। यदि वे जानते हैं कि कौन सा सॉफ़्टवेयर चल रहा है, तो वे अपने हमलों को उसी के अनुसार लक्षित कर सकते हैं। उस ने कहा, यह संकेत नहीं हो सकता है कि एक वास्तविक हैकर को कौन सी कमजोरियां मिल सकती हैं.

पेंटेस्ट ट्रेड के उपकरण

लिनक्स सुरक्षा परीक्षण में शामिल लोगों के लिए एक लोकप्रिय ऑपरेटिंग सिस्टम है। यदि आपको किसी वेबसाइट पर भेद्यता मूल्यांकन करने की आवश्यकता है, तो काली लिनक्स एक विशेष रूप से अच्छा वितरण है क्योंकि यह सभी प्रकार के प्रासंगिक सॉफ़्टवेयर के साथ स्थापित होता है, जिसमें विंडसर्क और बर्प सूट, साथ ही कई अन्य उपयोगी उपकरण शामिल हैं।.

वेब ट्रैफिक की निगरानी के लिए बर्प सूट या चार्ल्स जैसे टूल का उपयोग करना आपको एक वेबसाइट से कनेक्ट होने पर क्या हो रहा है, इसकी विस्तृत तस्वीर दे सकता है। वे उन सभी कनेक्शनों की निगरानी करते हैं जिन्हें आपका कंप्यूटर बनाता है और आपको उनके बारे में आवश्यक जानकारी देता है। वे नियमित वेब विकास और डीबगिंग के लिए भी उपयोगी हैं.

आप उन्हें भेजे गए अनुरोधों को संशोधित करने के लिए उपयोग कर सकते हैं, जो बहुत अच्छा है यदि आप यह देखना चाहते हैं कि एक सर्वर किस तरह के गैर-मानक ट्रैफ़िक का जवाब देता है जो हैकर से आ सकता है.

चार्ल्स

ब्रूट फोर्स पासवर्ड हमलों को स्वचालित करने के लिए उपकरण भी हैं, जो अनिवार्य रूप से यथासंभव कई संयोजनों का प्रयास करते हैं। यह छोटे, आसान पासवर्ड को लक्षित करता है। पासवर्ड मैनेजर का उपयोग करने से आप लंबे समय तक उत्पन्न करने में मदद कर सकते हैं जो इसके हमले के लिए कम असुरक्षित हैं.

एसक्यूएल इंजेक्शन के लिए पासवर्ड फॉर्म भी एक जोखिम है – सर्वर को दिए गए डेटा में कोड को चुपके कर देना। एक सुरक्षा परीक्षक उन स्थानों को स्पॉट कर सकता है जहां यह हो सकता है और आने वाले डेटा को सुरक्षित रूप से संभालने के लिए कोड को अपडेट कर सकता है.

कंप्यूटर मेमोरी का उपयोग करने वाले एप्लिकेशन की कमजोरियों को भी प्रकट कर सकते हैं। एक निष्पादन योग्य कार्यक्रम के सराय के माध्यम से गोनिंग को GNU डिबगर, या GDB के साथ किया जा सकता है। इस तरह की भेद्यता परीक्षण में उन कारनामों की तलाश शामिल है जो हैकर को शेल तक पहुंच प्रदान कर सकते हैं और उन्हें सर्वर का नियंत्रण लेने की अनुमति देते हैं.

gdb

अधिकांश ब्राउज़रों में एक देव कंसोल है, जो एक वेबसाइट पर क्या हो रहा है, यह जांचने के लिए भी उपयोगी है। Chrome के देव टूल दिखाएंगे कि पृष्ठ किन तत्वों को लोड करता है और त्रुटियों को प्रकट करता है। उपयोगकर्ताओं के लिए समस्याएँ पैदा करने के अलावा, त्रुटियाँ एक वेबसाइट पर हमला करने के लिए असुरक्षित छोड़ सकती हैं.

आप मेनू खोलने के लिए शीर्ष दाईं ओर तीन डॉट्स पर क्लिक करके क्रोम में देव कंसोल पा सकते हैं, फिर “अधिक टूल” का चयन कर सकते हैं > “डेवलपर उपकरण।” जिस वेबसाइट को आप देख रहे हैं, उसमें त्रुटियों को देखने के लिए “कंसोल” टैब पर क्लिक करें। आपको यह जानकर आश्चर्य हो सकता है कि हाई-प्रोफाइल वेबसाइटों पर भी यह कितना गलत है.

क्रोम कंसोल

कुछ कंपनियां अपने आप को नुकसान से बचाने में मदद करने के लिए एक आभासी निजी नेटवर्क का उपयोग कर सकती हैं। एक हमलावर इसकी पहचान कर सकता है, हालांकि, और एक कम सुरक्षित कनेक्शन शोषण की चपेट में आ सकता है। इसीलिए किसी सेवा को चुनते समय सावधानी बरतना महत्वपूर्ण है और आसपास के सर्वश्रेष्ठ वीपीएन प्रदाताओं में से एक का चयन करें.

सुरक्षा परीक्षण में पैसा बनाना

पैठ परीक्षण के साथ पैसा बनाना

यदि कंप्यूटर सुरक्षा आपके हित में है, तो इसे शामिल करना कभी आसान नहीं रहा। जो लोग अपनी वेबसाइट के साथ मुद्दों को ढूंढते हैं और रिपोर्ट करते हैं, उनके लिए पहले से कहीं अधिक कंपनियां सार्वजनिक इनाम देती हैं। पुरस्कार सैकड़ों-हजारों डॉलर के उच्च स्तर पर चल सकते हैं। संभावित बाउंटी हंटर्स को चेतावनी दी जाती है, हालांकि, अधिकांश बहुत कम हैं और यदि आप एक लैंड करना चाहते हैं तो आपको महत्वपूर्ण समय निवेश करने की आवश्यकता होगी.

उस ने कहा, कुछ छोटे पुरस्कारों को बैग दें और आप एक सुरक्षा सलाहकार, या प्रवेश परीक्षक के रूप में नौकरी करने में सक्षम हो सकते हैं, कंपनियों को सिखाते हैं कि कैसे कम खुराफाती बग शिकारी से खुद को बचाएं।.

अंतिम विचार

एक बदलते डिजिटल परिदृश्य के साथ सुरक्षा की जरूरत सबसे बड़ी है। सौभाग्य से, वेब अनुप्रयोग सुरक्षा और सामान्य रूप से सुरक्षा के आसपास के मुद्दों के बारे में जागरूकता बढ़ी है, भी.

पेनेट्रेशन परीक्षण सुरक्षा का एक बड़ा हिस्सा है। यह एक चुनौतीपूर्ण क्षेत्र है, लेकिन अध्ययन के लिए आकर्षक है। यदि आपको यह लेख उपयोगी लगा है, या आपके पास अनुभव करने का अनुभव है, तो हमें नीचे टिप्पणी में बताएं। पढ़ने के लिए धन्यवाद.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map