✅ Behatolástesztelés Teljes behatolás-tesztelési útmutató

Bevezetés a behatolási tesztekbe

Bevezetés a behatolási tesztekbe

A megközelítés, amelyet megtanulunk ebben a cikkben, Penetration Testing vagy Pentesting néven hívjuk. Bármely szervezet hálózata és webes felülete a két fő dolog, amelyek biztonsági megsértéshez vezethetnek a szervezetben. Ez az egyetlen olyan platform, amely lehetővé teszi a számítógépes támadás végrehajtását a szervezeten. Annak érdekében, hogy megbizonyosodjunk arról, hogy a szervezet vagy a vállalkozás biztonságban van, ezeket a két alapvető dolgot kell kiemelten kezelni.

Függetlenül attól, hogy mennyire biztonságosan fejlesztették ki a webalkalmazást, mindig lesz olyan hiba, amely kiszolgáltatottá teszi az internetes támadást. Annak érdekében, hogy a szervezet mentesüljön a biztonsági kérdésektől, a szervezet biztonsági szakemberének nagyon óvatosan kell kezelnie a vállalat hálózatát és a webalkalmazást.

Bármely szervezet hálózatának vagy webes alkalmazásának kezelésekor nagyon fontos, hogy minden őszinteséggel vegye figyelembe a biztonság minden aspektusát. A biztonság megőrzésének egyik módja az antivírus, tűzfal, IPS és IDS rendszerek telepítése és így tovább. A szoftver célja annak biztosítása, hogy semmilyen támadás ne okozzon kárt a rendszerben.

Ebben a megközelítésben a biztonsági szakemberek megpróbálják feltörni a saját rendszerünket, hogy megbizonyosodjunk arról, hogy egy tényleges hacker hogyan veszélyeztetheti a rendszerünket. Mivel a rendszer tulajdonosának minden hozzájárulásával megtörténik, erkölcsi hackelésnek is hívják.

Mi a behatolásteszt?

A behatolási tesztelés úgy határozható meg, mint a rendszer kiaknázásának megközelítése a rendszer tulajdonosának hozzájárulásával annak érdekében, hogy valódi kitettség érje a meglévő biztonsági réseket. Ebben a megközelítésben a biztonsági szakember megpróbálja feltörni a rendszert, minden olyan módszerrel, amelyet a hackerek felhasználhatnak a rendszer veszélyeztetésére.
Ez a rendszer tulajdonosának beleegyezésével történik, attól függ, hogy meg akarják-e osztani a rendszer belső részleteit az etikus hackerekkel, azon etikai hackelés alapján, amelyet végre akarnak hajtani a rendszerükben.
Mindhárom típusú hackelés: a fehér kalapot, a szürke kalapot és a fekete kalapot elvégezhetjük a penetrációs teszttel. A szakembert, aki tesztelést végez, penteszternek hívják.
A behatolási tesztet el lehet végezni mind a webes alkalmazásokban, mind a hálózatban. Az etikus hacker az információgyűjtéstől a rendszer tényleges kiaknázásáig követi az összes lépést, hogy megkapja az összes lehetséges hibát, amely a rendszer biztonságának gyengesége lehet.
Annak alapján, hogy a webes alkalmazást vagy a hálózatot meg kell-e támadni, különféle eszközök és technológiák állnak rendelkezésre, hogy kihasználhassák. Ezenkívül annak alapján, hogy a szervezet milyen biztonságot akar biztosítani, attól függ, hogy a büntetés-végrehajtó hogyan fogja választani a hackelés módszerét. Arra is felkérhetik a bírálót, hogy feltörje az élet vagy az építés alatt álló weboldalakat, hogy elképzelést kapjon arról, hogy miként fejlesztették, illetve hogyan fejlesztik.

Hogyan történik a behatolásteszt?

A penetrációs teszt a nyílt megközelítést foglalja magában, ami azt jelenti, hogy a pentesztelés módja személyenként eltérő. De általánosságban az összes büntetésvizsgáló ugyanazt a megközelítést alkalmazza, vagy ugyanazokat a lépéseket követi ötleteinek megvalósítása érdekében.

Az alábbiakban bemutatjuk azokat a lépéseket, amelyek általában részt vesznek a penetrációs tesztelésben: -

1) Felderítő: -

A felderítést úgy lehet meghatározni, mint a rendszer lábnyomának végrehajtásának módját, a cél összes vonatkozó részének megkeresésével.
Ez magában foglalja a cél fizikai elhelyezkedését, információk gyűjtését a környékéről, részletek megtalálását a közösségi médián keresztül, az emberekkel való kapcsolattartást, akik a cél legális felhasználói, és így tovább.
Ez a lépés létfontosságú szerepet játszik azáltal, hogy a hackert tudatában van a célnak.

2) szkennelés: -

A szkennelés, ahogy a neve is kimondja, ez a lépés a cél beolvasásáról szól annak érdekében, hogy minden műszaki adatot megkapjon róla.
Ez a legfontosabb lépés, mivel az ebben a szakaszban összegyűjtött technikai részleteket a hackerek valóban felhasználják a cél kihasználására.
A beolvasást nagyon óvatosan kell elvégezni a célponton, különben figyelmeztetheti a tulajdonosot vagy a rendszergazdákat, ha az intelligens szoftverek támogatják.

3) Hozzáférés: -

A szkennelés elvégzése és a rendszer összes lényeges részletének összegyűjtése után arról szól, hogyan lehetne felhasználni az adatokat a célba való behatolásra.
Ebben a szakaszban a hackerek minden szakértelmére szükség van a sikeres befejezéshez.
Fontos, hogy a hackerek tisztában legyenek a rendszer kiaknázásának minden lehetséges módszerével, tudásuk és tapasztalataik felhasználásával.

4) A hozzáférés fenntartása: -

A rendszer kompromittálása után most a sor a kezedben a célhoz való hozzáférés kezelésére a rendszergazda ismerete nélkül.
Ebbe a szakaszba tartozik a hátsó ajtó létrehozása a célhoz való rendszeres hozzáféréshez.
A hacker trójai segítségével hozhat létre a hátsó ajtót, hogy szükség szerint felhasználhassák a célt a céljukhoz. Miközben a célen belül tartózkodik, nagyon fontos, hogy a támadó rejtett maradjon, különben ki lehet dobni a célból.

5) Tisztítópálya: -

Amikor az összes fázis befejeződik, és sor kerül annak a bizonyítéknak a tisztázására, amelyet a támadó a rendszer megtámadásakor elhagyhatott, a támadónak technikákat kell választania mindazok törlésére, amelyeket tett.
Ez a végső szakasz, mivel a penetrációs tesztet ezen szakasz után befejezettnek tekintik.

Behatolási tesztelési technikák

A behatolási tesztet különféle módon lehet elvégezni. A jó penetrációs tesztelőnek feltételeznie kell, hogy megvannak a saját képességei, amelyeket felhasználhatnak bármilyen rendszer megtörésére. Áttekintésképpen, ha a penetrációs tesztelési technikákról van szó, akkor minden attól függ, hogy milyen rendszert kell veszélyeztetni. Ha a rendszer webes alkalmazás, vagy ha a hálózat, vagy milyen típusú rendszer, akkor az egész eldönti, hogy milyen megközelítést vagy technikát kell alkalmazni a rendszer veszélyeztetésére.

Nagyon fontos megérteni, hogy a különböző rendszerek eltérő előírásokkal rendelkeznek, és ahhoz, hogy megtörjék őket, szakértelemre van szükségük ezekben a specifikációkban. Az etikus hackerek általában inkább ellenőrzőlistát készítenek a rendszerben előforduló összes sebezhetőségről.

Ezenkívül annak alapján, hogy a penetrációs tesztet SAST vagy DAST módszerrel kell elvégezni - ez meghatározza azt is, hogy az etikus hackerek milyen technikát követnek. A SAST-ban a penetrációs tesztet a helyi rendszerben kell elvégezni, amelynek következtében a biztonsági ellenőrzések kevesebbek, mint a nyilvános hálózatban élő rendszerben működő rendszerekhez képest.

Bizonyos hálózatokban vagy a biztonsági alkalmazások által támogatott webalkalmazásokban nagyon nehéz megkerülni őket, így a DAST penetrációs tesztek elvégzése nagyon nehéz. A penetrációs tesztelés eredményét ezután ismertetik a rendszergazdákkal vagy a rendszer tulajdonosaival annak kijavítása érdekében.

Behatolási tesztelő eszközök

A penetrációs tesztek elvégzéséhez a penteszternek az eszközökhöz és a technikákhoz is szüksége van. A technológia fejlődésével számos olyan eszköz kerül kifejlesztésre, amely elegendő az etikus hackelés támogatásához, és a hackelés különböző szakaszaiban használható.

Az alábbiakban néhány fontos penetrációs tesztelő eszköz található: -

Burpsuite - A Burpsuite meghatározható az egyik szippantási eszközként, amely elkapja a webböngészőből a szerver felé továbbított csomagokat. A szippantott csomagok ezután megváltoztathatók vagy manipulálhatók a támadás elindításához. Különböző fontos adatokat hordoz, amelyeket a hackerek különféle módon felhasználhatnak a rendszer kihasználására.
OWASP ZAP - Az OWASP ZAP a Zed Attack Proxy projektet jelenti. Ez az OWASP egyik terméke, amelyet a webes alkalmazás sebezhetőségének vizsgálatára használnak. Lehetőség van a webalkalmazás pókhálójára, amely után az eszközök több oldalt átjárnak annak meghatározására, hogy a webes alkalmazásban milyen biztonsági rések vannak. Az etikai hackelés egyik legfontosabb eszközének tekintik.
Wireshark - A Wireshark úgy határozható meg, mint egy hálózati forgalom szippantó eszköz, amely el tudja fogni a hálózaton átfolyó hálózati csomagokat, és megismerheti az összes részletet, amelyet a rendszer hasznosítása érdekében elvitte. Ha a felhasználók valamelyike kritikus tranzakciót hajt végre, akkor a Wireshark alkalmazás elkaphatja a tranzakcióban részt vevő csomagolót, és felfedezheti az adatokat, amelyeket a szerverhez szállít.
Nexpose - A Nexpose a másik eszköz, amelyet bármely hálózat sebezhetőségének megkeresésére vagy beolvasására használnak. Futtatja a térképet a rendszer mögött, hogy megkapja a portok és a rajta futó szolgáltatások állapotát. Nagyon fontos eszköz a hálózat meglévő sebezhetőségeinek megismerésére. A hálózat gyengeségeinek felismerése mellett javasolja a követendő lépéseket is az összes gyengeség megszüntetése érdekében.
Metasploit - A Metasploit a Kali Linux beépített eszköze, amelyet a tényleges kihasználáshoz használnak. A Kali Linux terminálján használják, ahol lehetővé teszi a hackerek számára a célrendszerhez való hozzáférést. Ez egy nagyon nagy eszköz, amely lehetővé teszi, hogy feltörjünk több eszközt, amelyek a különféle operációs rendszereket futtatják rajta. Bármely rendszer gyengeségének kiaknázásakor nagyon komolyan kell venni.

Előnyök és hátrányok

Ha bármiről beszélünk, akkor biztos az, hogy mindazoknak az előnyöknek, amelyek előnyeikkel járnak, ennek hátrányai is vannak.

Az alábbiakban bemutatjuk a behatolásteszt néhány előnyeit: -

A behatolási tesztelés biztosítja a rendszer biztonságát azáltal, hogy megbizonyosodik arról, hogy a tényleges hackerek nem ronthatják meg a biztonságot azáltal, hogy a rendszerben hibákat találnak.
Arra ad okot, hogy milyen biztonsági rés létezik a rendszerben annak érdekében, hogy ezeket a rendszer tulajdonosa orvosolja.
A kiberbiztonság szempontjából kötelező ellenőrzésnek tekintik, amelyet a szervezetnek át kell hajtania annak érdekében, hogy megtudja, mi a baj a rendszerükkel.
Vannak olyan biztonsági szabálysértések, amelyeket csak akkor lehet feltárni, ha az etikus hackerek megpróbálják kihasználni a rendszert az összes megközelítés alkalmazásával, amelyet egy igazi hackerek megtehetnek.
A penetrációs tesztek eredménye nagyon fontos, míg ezeket meg kell oldani annak érdekében, hogy megbizonyosodjunk arról, hogy a rendszer mentes-e a gyenge pontoktól.

Az előnyök mellett a penetrációs tesztelésnek számos hátránya van, amelyeket alább említünk.

Ha a rendszer a termelési rendszer, és néhány fontos intézkedéssel nem foglalkoznak, akkor a rendszer leállása vezethet, ami határozottan a szervezet teljesítményéhez vezet.
Időnként a büntetés-végrehajtó akaratlanul eljuttatja a kritikus információkat, amelyeket állítólag titokban kell tartani, ami a rendszer tényleges feltöréséhez vezethet.
Bármelyik weboldal penetrációs tesztelésének elvégzéséhez többletköltségek merülnek fel, mivel a hacker manapság sok összeget számít fel a rendszer penetrációs tesztelésének elvégzéséhez.
Időnként nagyon sok időbe telik a penetrációs tesztelés elvégzése, amelynek eredményeként a szervezetnek időt kell fordítania, ha a rendszer leállásának kezelésére szükség van.

Következtetés

A behatolás tesztelése a kiberbiztonság nagyon fontos eleme, és minden olyan szervezetnek, amely hajlandó biztosítani a rendszerét, bármilyen módon ki kell használnia azt. A penetrációs tesztek eredménye nagyon haszonnal jár a hackerek számára, ezért meg kell védeni őket tőlük, és sürgősen orvosolni kell őket. Manapság a pentesek jól tudják, hogyan lehetne a rendszereket kihasználni, és a hackerek is. Valójában az etikus hackerek és a valódi hackerek vagy rosszindulatú felhasználók között zajlik a számítógépes háború. Tehát a szervezet biztonságának biztosítása érdekében el kell végezni a rendszerük penetrációs tesztelését.

Ajánlott cikkek

Ez egy útmutató a behatolásteszthez. Itt tárgyaljuk a bevezetést, a tesztelési technikákat, a tesztelési eszközöket, valamint az előnyöket és hátrányokat. A további javasolt cikkeken keresztül további információkat is megtudhat -

Rendszer tesztelése
Behatolásteszt tanúsítás
Áttörés-tesztelési interjúkérdések
Ingyenes bevezetés a Kali Linux behatolási tesztelő tanfolyamába

Kategória:

Szoftverfejlesztés

Behatolástesztelés Teljes behatolás-tesztelési útmutató

Bevezetés a behatolási tesztekbe

Mi a behatolásteszt?

Hogyan történik a behatolásteszt?

1) Felderítő: -

2) szkennelés: -

3) Hozzáférés: -

4) A hozzáférés fenntartása: -

5) Tisztítópálya: -

Behatolási tesztelési technikák

Behatolási tesztelő eszközök

Előnyök és hátrányok

Következtetés

Ajánlott cikkek

Photoshop fekete-fehér átalakítások - Lab színes mód bemutatója

Photoshop fekete-fehér átalakítások - Csatorna keverő

Egyenesítse és vágja be a képeket a Photoshop CS5 bemutatójában

Photoshop fekete-fehér átalakítás - Színes csatornák bemutatója

Mi a Jira Software? - Fogalmak Készségek és karrier növekedés - Hogyan működik

Mi a JNDI a Java-ban? - Útmutató a JNDI csomagok fogalmához - Példa

Mi a jQuery? - Hogyan működik - Hatály és készségek - Karrier és előnyei

Mi a Joomla? - Főbb jellemzők és felhasználások - Karrier és előnyei

Git terminológia - A Git terminológia jellemzői és előnyei

GLM az R-ben GLM funkció és hogyan lehet GLM-et létrehozni az R-ben?

Git életciklus - A Git életciklusának három szakasza a munkafolyamattal

10 fantasztikus globális marketingstratégia a vállalatok számára

Bevezetés a behatolási tesztekbe

Mi a behatolásteszt?

Hogyan történik a behatolásteszt?

1) Felderítő: -

2) szkennelés: -

3) Hozzáférés: -

4) A hozzáférés fenntartása: -

5) Tisztítópálya: -

Behatolási tesztelési technikák

Behatolási tesztelő eszközök

Előnyök és hátrányok

Következtetés

Ajánlott cikkek

Bővebben