რა არის შეღწევა? 2020 წლის სწრაფი სახელმძღვანელო

კომპიუტერული უსაფრთხოება არასოდეს ყოფილა უფრო მნიშვნელოვანი. ჰაკერების მიერ თქვენს საბანკო ანგარიშზე მუქარის შემცველი, გამოსაყენებელი პროგრამა, რომელსაც შეუძლია თქვენი კომპიუტერის გათიშვა, თუ არ გადაიხდის მოთხოვნის ფასს და ყველას ჯაშუშებს ყველასთვის, სამართლიანად არის ნათქვამი, რომ უსაფრთხოების სურათი უფრო რთულია, ვიდრე ოდესმე.


საბედნიეროდ, უსაფრთხოების უნარები ყველას არ აქვს გასაჭირებლად. ზოგი ჰაკერი სიკეთისთვის მუშაობს, დაუცველი პრობლემების მოგვარების მიზნით, მათი გამოსწორების მიზნით, ვიდრე მათი პირადი სარგებლისთვის სარგებლობისთვის.

ამ სტატიაში ჩვენ ვაპირებთ განვიხილოთ მათი როლი და განვმარტოთ რა არის შეღწევადობის ტესტირება.

პირველი: შავი ქუდი vs თეთრი ქუდი

შეღწევადობის ტესტირება

კარგი ბიჭები, როგორც წესი, ცნობილია, როგორც თეთრი ქუდის ტესტერები. ცუდი ბიჭები შავი ქუდებია და ნაცრისფერი ქუდები სადღაც შუაშია. თუ რომელიმე მათგანი ხედავდა მუშაობას, ისინი ძირითადად იმავეს გააკეთებდნენ: დაუცველების ვებსაიტების შემოწმება. განსხვავება არის ის, რაც ხდება, როდესაც ისინი პრობლემას პოულობენ.

თეთრი ქუდები ამ საკითხს ვებსაიტის ან პროგრამის მფლობელს აცნობებს. შავი ქუდები ეძებენ ვებგვერდზე ჩაკეტვას ან სხვას ყიდიან ინფორმაციას ექსპლუატაციის შესახებ. რუხი ქუდები ამ კატეგორიებს არ შეესაბამება. შესაძლოა მათ გართობა ან ცნობისმოყვარეობა შეძლონ, პოტენციურად არღვევენ კანონს, მაგრამ არ ეძებენ ფულის გამომუშავებას ან ზიანის მოყენებას.

რატომ არის ვებ – პროგრამის უსაფრთხოების საკითხები

ყველას, ვისაც ონლაინ ონლაინ ყოფნა შეუძლია, გატეხოს. თქვენი მეზობლის Twitter ანგარიში და საერთაშორისო ბანკები ორივე სამიზნეა. ვებსაიტზე შესვლისთვის ჯილდო შეიძლება იყოს უსაზღვრო.

თუ ვებსაიტზე კომპრომეტირდება, ჰაკერს შეუძლია ნებისმიერი სახელი და პაროლიდან წაიღოს საკრედიტო ბარათის დეტალებზე ან სამედიცინო ჩანაწერებში. ჩვენმა უმრავლესობამ იცის ვინმეს, რომლის ელ.ფოსტა გატეხილია, ხშირად უგზავნის შეტყობინებებს ყველას თავისი საკონტაქტო სიაში, ასე რომ კიბერდანაშაული გავლენას ახდენს ჩვენზე.

მას შემდეგ, რაც ჰაკერებს ექნებათ ვებგვერდის კონტროლი, მათ შეუძლიათ ის გამოიყენონ უფრო მეტი მომხმარებლის დეტალების მოპარვისთვის, რომლის გამოყენებაც შესაძლებელია საბანკო ანგარიშებზე წვდომის ან ბიტკოინის მოპარვისთვის. მათ ასევე შეიძლება შეეძლოთ კონფიდენციალური ბიზნესის ან ტექნიკური ინფორმაციის მიღება.

ბუნებრივია, კომპანიები სურთ გააკეთონ ყველაფერი რაც შეიძლება, უსაფრთხოების დარღვევის თავიდან ასაცილებლად. შეღწევადობის ტესტის, ან პენტესტის სპეციალისტი, დაქირავება შესანიშნავი საშუალებაა, რომ მათ ჰაკერების უპირატესობა მიიღონ.

უსაფრთხოების პროფესიონალის მიერ დაუცველობის შეფასება გულისხმობს ვინმეს დაქირავებას, ვებსაიტზე შესვლის მცდელობას. მათ შეუძლიათ შეამოწმონ უსაფრთხოების ხვრელები იმავე გზით, როგორც კრიმინალი და აცნობებენ პრობლემებს მათ ვებსაიტის მფლობელს, რომელსაც შემდეგ შეუძლია მათი დაფიქსირება..

დაუცველობის შეფასება

დაუცველობის შეფასება

მუდმივად ვლინდება პროგრამული და ვებსაიტების ახალი სისუსტეები. უახლესი პროგრამული უზრუნველყოფის ვერსიები ჩვეულებრივ მოიცავს ცნობილ დაუცველთა გამოსწორებას, ამიტომ მათი განახლება მიზანშეწონილია.

ეს შეიძლება რთული იყოს სექსუალურ ვებ – პროგრამაზე. პროგრამული უზრუნველყოფის სხვადასხვა ვერსია ყოველთვის არ არის თავსებადი ერთმანეთთან, ამიტომ ინფორმაციის განახლება და დარწმუნება, რომ ყველაფერი მუშაობს ადვილი არ არის.

რადგან ეს ყველაფერი ყოველთვის იცვლება, შეუძლებელია შემდეგი გარანტიის გაკეთება, რომ განაცხადი დაცულია. შეიძლება იყოს ის, რომ არავინ იცის ვინმეს თქვენი სერვერული პროგრამის უახლეს ვერსიაში არსებული სისუსტეების შესახებ. ნაკლებად სავარაუდოა, რომ მომავალში ხარვეზები არ მოიძებნოს.

თუ გაწუხებთ თქვენი ვებ – გვერდის დაბლოკვის შესახებ, თქვენ უნდა წაიკითხოთ ჩვენი სტატია ვებსაიტზე უსაფრთხოების შესახებ რამდენიმე მანიშნებლისთვის.

შავი ყუთი vs თეთრი ყუთი

ვებსაიტზე ან პროგრამაში დაუცველების შეფასების სხვადასხვა მეთოდია. ერთი მიდგომაა გამოძიების ჩატარება დაუცველების მიმართ, ისევე როგორც ჰაკერი, რომელსაც შინაგანი ცოდნა ან დახმარება არ აქვს. ამას შავი ყუთის ტესტირება ეწოდება.

მეორეს მხრივ, თეთრი ყუთის ტესტირება გულისხმობს უსაფრთხოების ტესტირებას იმ ინფორმაციის ხელმისაწვდომობასთან, როგორიცაა გამოძიების პროგრამის კოდი ან დეტალები იმის შესახებ, თუ რა პროგრამას იყენებს..

შავი ყუთის მიდგომა უფრო ჰგავს იმას, რასაც კრიმინალი გააკეთებდა. შემოწმებული სისტემის შესახებ ინფორმაციის მიღება მთავარი პრობლემაა მათთვის, ვინც იყენებს ამ მეთოდს.

თეთრი ყუთის სტრატეგია უფრო უადვილდება დაუცველების პოვნას, რადგან ტესტერს შეუძლია ყველაფრის დათვალიერება და დაინახოს, თუ როგორ ჯდება ეს ყველაფერი. თუ მათ იციან რა პროგრამა მუშაობს, მათ შეუძლიათ მიზნობრივი შეტევა განახორციელონ. ამის თქმით, ეს არ შეიძლება მიუთითებდეს, თუ რა დაუცველებს აღმოაჩენს რეალური ჰაკერი.

პენტეს ვაჭრობის ინსტრუმენტები

Linux პოპულარული ოპერაციული სისტემაა, ვინც ჩართულია უსაფრთხოების ტესტირებაში. თუ საჭიროა დაუცველების შეფასების გაკეთება ვებსაიტზე, Kali Linux არის განსაკუთრებით კარგი განაწილება, რადგან იგი დაინსტალირებულია ყველა სახის შესაბამისი პროგრამით, მათ შორის Wireshark და Burp კომპლექტი, ისევე როგორც მრავალი სხვა სასარგებლო ინსტრუმენტი..

ვებ – ტრაფიკის მონიტორინგისთვის ისეთი ინსტრუმენტის გამოყენებით, როგორიცაა Burp Suite ან Charles, შეგიძლიათ მიაწოდოთ დეტალური ინფორმაცია იმის შესახებ, თუ რა ხდება ვებ – გვერდზე შესვლისას. ისინი აკვირდებიან თქვენს კომპიუტერთან დაკავშირებულ ყველა კავშირს და მოგაწვდით დეტალებს, რაც გჭირდებათ მათ შესახებ. ისინი ასევე სასარგებლოა რეგულარული ვებ შემუშავებისა და დებინგისთვის.

თქვენ შეგიძლიათ გამოიყენოთ ისინი გაგზავნილი მოთხოვნების გასაუმჯობესებლად, რაც შესანიშნავია, თუ გინდათ ნახოთ, თუ როგორ პასუხობს სერვერი იმ ტიპის არასტანდარტულ ტრაფიკს, რომელიც შეიძლება იყოს ჰაკერებისგან..

charles

ასევე არსებობს ინსტრუმენტები უხეში ძალის პაროლების ავტომატიზაციისთვის, რომლებიც არსებითად ცდილობენ რაც შეიძლება მეტ კომბინაციას. ის მიზნად ისახავს მოკლე, მარტივ პაროლებს. პაროლის მენეჯერის გამოყენება დაგეხმარებათ შექმნათ უფრო გრძელი, რომლებიც ნაკლებად დაუცველია მისი თავდასხმისგან.

პაროლის ფორმები ასევე წარმოადგენს რისკს SQL ინექციისთვის – სერვერზე გადაცემულ მონაცემებში შემოგეპაროთ კოდი. უსაფრთხოების დამცველს შეუძლია დააფიქსიროს ის ადგილები, სადაც ეს შეიძლება მოხდეს და განაახლონ კოდი, რათა უზრუნველყონ შემომავალი მონაცემების უსაფრთხო დაცვა.

იმის გათვალისწინებით, თუ როგორ იყენებს პროგრამა კომპიუტერულ მეხსიერებას პროგრამაში, შეიძლება გამოავლინოს სისუსტეები. შესრულებადი პროგრამის შიგნით ჩასართავად შეიძლება გაკეთდეს GNU დებიუჯერით ან GDB– ით. ამ ტიპის დაუცველობის ტესტირება გულისხმობს ექსპლუატაციების მოძიებას, რამაც შეიძლება ჰაკერებს მისცეს ჭურვი და მისცეს მათ საშუალებას აიღონ სერვერი.

gdb

ბრაუზერების უმეტესობას აქვს dev კონსოლი, რაც ასევე სასარგებლოა ვებსაიტზე მოსინჯული ინფორმაციის შესამოწმებლად. Chrome- ის dev ინსტრუმენტები აჩვენებს, თუ რა ელემენტები აქვს დატვირთვას გვერდზე და გამოავლენს შეცდომებს. მომხმარებლებისთვის პრობლემების შექმნის გარდა, შეცდომებმა შესაძლოა ვებსაიტს დაუტოვონ შეტევა.

შეგიძლიათ იპოვოთ devole კონსოლი Chrome- ში, მენიუს გასახსნელად ზედა წერტილში დაჭერილი სამი წერტილის დაჭერით, შემდეგ კი შეარჩიეთ “მეტი ინსტრუმენტები” > ”დეველოპერული ხელსაწყოები”. დააჭირეთ ღილაკს “კონსოლი”, რომ ნახოთ ვებსაიტებზე შეცდომების ნახვა. შეიძლება გაგიკვირდეთ, რომ გაიგებთ, რამდენი არასწორდება, თუნდაც მაღალი პროფილის ვებსაიტებზე.

chrome-console

ზოგიერთ კომპანიას შეუძლია ვირტუალური კერძო ქსელი გამოიყენოს, რათა დაიცვას თავი ზიანისგან. თავდამსხმელს შეუძლია დაადგინოს, რომ, თუმცა, ნაკლებად უსაფრთხო კავშირი შეიძლება დაუცველი იყოს ექსპლუატაციისთვის. ამიტომ მნიშვნელოვანია, რომ ფრთხილად იყოთ მომსახურების არჩევისას და ირჩევთ გარშემო ერთ – ერთ საუკეთესო VPN პროვაიდერს.

ფულის გამომუშავება უსაფრთხოების ტესტირებისას

ფულის გამომუშავება შეღწევის ტესტირებით

თუ კომპიუტერული უსაფრთხოება გაინტერესებს, არასდროს ყოფილა ადვილი ჩარევა. უფრო მეტი კომპანია, ვიდრე ოდესმე, სთავაზობს საზოგადოებრივ საჩუქრებს მათთვის, ვინც პრობლემებს პოულობს და აფიქსირებს თავიანთ ვებსაიტებთან. პრიზები შეიძლება იმოქმედოს ასობით ათასი დოლარის ოდენობით. გაფრთხილებული უნდა იყოს პოტენციური მონადირეები, თუმცა უმეტესობა გაცილებით დაბალია და გჭირდება მნიშვნელოვანი დროის ინვესტიცია, თუ გინდა მიწა.

ამის თქმით, ჩაალაგე რამდენიმე პრიზი და იქნებ შეძლო სამუშაოს დადება, როგორც უსაფრთხოების კონსულტანტი, ან შეღავათების ტესტერი, ასწავლოს კომპანიებს, როგორ დაიცვან თავი ნაკლებად სკრუპულოზური შეცდომებისგან..

დასკვნითი აზრები

მუდმივად ცვალებადი ციფრული ლანდშაფტით, უსაფრთხოების დიდი მოთხოვნილება ყველაზე დიდია. საბედნიეროდ, ასევე გაიზარდა ცნობიერება ვებ – პროგრამების უსაფრთხოების და ზოგადად უსაფრთხოების შესახებ.

შეღწევადობის ტესტირება უსაფრთხოების დიდი ნაწილია. ეს არის რთული სფერო, მაგრამ შესანიშნავად შესწავლა. თუ ეს სტატია თქვენთვის სასარგებლო აღმოჩნდა, ან პენტესტის დამცავი გამოცდილება გაქვთ, გაცნობეთ ქვემოთ მოცემულ კომენტარებში. Მადლობა წაკითხვისთვის.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map