Hvað er skarpskyggni próf? Fljótleg leiðarvísir fyrir árið 2020

Tölvuöryggi hefur aldrei verið mikilvægara. Þegar tölvusnápur ógnar bankareikningnum þínum, lausnarvörum sem geta lokað tölvunni þinni ef þú borgar ekki spyrðið og allir njósna um alla aðra, þá er sanngjarnt að segja að öryggismyndin sé flóknari en nokkru sinni fyrr.


Sem betur fer eru ekki allir með öryggiskunnáttu sem vilja fá þig. Sumir tölvusnápur vinna til góðs og leita að varnarleysi með það að markmiði að laga þær frekar en að nýta þær til persónulegs ávinnings.

Í þessari grein ætlum við að skoða hlutverk þeirra og útskýra hvað skarpskyggni er.

Bur fyrst: Black Hat vs White Hat

skarpskyggni prófun

Góðir krakkar eru almennt þekktur sem prófanir á hvítum hattum. Slæmu strákarnir eru svartir hattar og gráu hattarnir eru einhvers staðar á milli. Ef þú myndir sjá einhvern þeirra vinna, þá væru þeir að mestu leyti að gera það sama: að athuga hvort varnarleysi væri á vefsíðum. Munurinn er hvað gerist þegar þeir finna fyrir máli.

Hvítar hatta tilkynna eigandanum um vefsíðuna eða forritið um málið. Svartir hattar eru að leita að því að hakka sig inn á heimasíðuna eða selja öðrum upplýsingar um hetjudáðið. Gráir hattar passa ekki alveg við þá flokka. Þeir gætu hakkað sér til skemmtunar eða forvitni og gætu hugsanlega brotið lög, en ekki leitast við að græða peninga eða gera illt.

Af hverju öryggismál vefforrita

Allir sem eru með netveru geta verið tölvusnápur. Twitter reikningur nágranna þíns og alþjóðlegir bankar eru bæði markmið. Verðlaunin fyrir að brjótast inn á vefsíðu geta verið takmarkalaus.

Ef vefsvæði er í hættu getur tölvusnápurinn tekið allt frá notendanöfnum og lykilorðum til kreditkortaupplýsinga eða sjúkraskráa. Flest okkar þekkja einhvern sem tölvupóstur hefur verið tölvusnápur og sendir oft skilaboð til allra á tengiliðalistanum, svo netbrot hefur áhrif á okkur öll.

Þegar tölvusnápur hefur stjórn á vefsíðu geta þeir notað það til að stela fleiri upplýsingum um viðskiptavini, sem hægt er að nota til að fá aðgang að bankareikningum eða stela bitcoin. Þeir geta einnig verið færir um trúnaðarupplýsingar um viðskipti eða tækni.

Auðvitað, fyrirtæki eru áhuga á að gera allt sem þeir geta til að koma í veg fyrir öryggisbrot. Að ráða skarpskyggnispróf, eða pentest, sérfræðingur er frábær leið til að hjálpa þeim að ná brún yfir tölvusnápur.

Veikleikamat öryggissérfræðings felur í sér að ráða einhvern til að reyna að brjótast inn á vefsíðuna. Þeir geta leitað að öryggisgötum á sama hátt og glæpamaður vill og tilkynnt eiganda vefsíðunnar um vandamál sem þeir finna fyrir, sem getur síðan fest þau.

Veikleikamat

Mat á varnarleysi

Stöðugt er að uppgötva nýja veikleika í hugbúnaði og vefsíðum. Nýjustu hugbúnaðarútgáfurnar innihalda venjulega lagfæringar á þekktum veikleikum, svo það er skynsamlegt að uppfæra til þeirra.

Það getur þó verið erfitt í þroskaðri vefforriti. Mismunandi útgáfur af hugbúnaði eru ekki alltaf samhæfðar hver við annan, svo það er ekki auðvelt að halda hlutunum uppfærðum og tryggja að allt virki.

Þar sem þessir hlutir eru alltaf að breytast er næsta ómögulegt að tryggja að umsókn sé örugg. Það getur verið að enginn sé meðvitaður um varnarleysi í nýjustu útgáfu netþjónsins, til dæmis. Það er þó ólíklegt að engir gallar finnist í framtíðinni.

Ef þú hefur áhyggjur af því að vefsvæðið þitt sé hakkað, þá ættir þú að lesa grein okkar um öryggi vefsíðunnar fyrir nokkrar ábendingar.

Black Box vs White Box

Það eru mismunandi leiðir til að framkvæma varnarmat á vefsíðu eða forriti. Ein aðferðin er að rannsaka veikleika á sama hátt og tölvusnápur myndi gera, án þekkingar eða hjálpar innanhúss. Það er kallað svart kassapróf.

Hvítkassaprófun þýðir aftur á móti öryggisprófun með aðgang að upplýsingum eins og frumkóða forritsins sem verið er að kanna eða upplýsingar um hvaða hugbúnað er notaður.

Aðferð svarta kassans er líkari því sem glæpamaður myndi gera. Að fá upplýsingar um kerfið sem verið er að prófa er lykilatriði fyrir þá sem nota þessa aðferð.

Hvítkassastefnan gerir það auðveldara að finna veikleika vegna þess að prófarinn getur flett í gegnum allt og séð hvernig það passar allt saman. Ef þeir vita hvaða hugbúnaður er í gangi geta þeir miðað árásirnar í samræmi við það. Sem sagt, það gæti ekki bent til hvaða veikleika raunverulegur tölvusnápur væri líklegur til að finna.

Verkfæri Pentest Trade

Linux er vinsælt stýrikerfi fyrir þá sem taka þátt í öryggisprófunum. Ef þú þarft að gera varnarmat á vefsíðu er Kali Linux sérstaklega góð dreifing þar sem hún er sett upp með alls konar viðeigandi hugbúnaði, þar á meðal Wireshark og Burp föruneyti, svo og mörgum öðrum gagnlegum tækjum.

Með því að nota tól eins og Burp föruneyti eða Charles til að fylgjast með netumferð getur þú gefið nákvæma mynd af því sem er að gerast þegar þú tengist vefsíðu. Þeir fylgjast með öllum tengingum sem tölvan þín gerir og veita þér upplýsingar sem þú þarft um þær. Þau eru einnig gagnleg við reglulega þróun og kembiforrit á vefnum.

Þú getur notað þær til að breyta beiðnum sem sendar eru, það er frábært ef þú vilt sjá hvernig netþjónn bregst við þeirri óstöðluðu umferð sem gæti komið frá tölvusnápur.

charles

Það eru einnig tæki til að gera sjálfvirkan lykilárás á skepna, sem reyna í raun eins margar samsetningar og mögulegt er. Það miðar á stutt og auðveld lykilorð. Notkun lykilorðsstjóra getur hjálpað þér að búa til lengri sem eru minna viðkvæmir fyrir líkamsárás sinni.

Lykilorð eyðublöð eru einnig hætta á SQL sprautun – laumast kóða inn í gögnin sem eru send á netþjóninn. Öryggisprófari getur komið auga á staði þar sem það gæti gerst og uppfært kóðann til að tryggja að komandi gögn séu meðhöndluð á öruggan hátt.

Að skoða hvernig forrit notar tölvuminni getur einnig leitt í ljós veikleika. Með því að kíkja í gegnum innri keyrsluforrits er hægt að gera með GNU kembiforritinu, eða GDB. Þessar prófanir á varnarleysi fela í sér að leita að hetjudáð sem getur veitt tölvusnápnum aðgang að skel og gert þeim kleift að ná stjórn á netþjóninum.

gdb

Flestir vafrar eru með dev console, sem er einnig gagnlegt til að skoða hvað er að gerast á vefsíðu. Tæki Chrome mun sýna hvaða þætti síðu hleðst inn og sýna villur. Auk þess að valda notendum vandamálum geta villur skilið vefsíðu viðkvæm fyrir árás.

Þú getur fundið dev console í Chrome með því að smella á þrjá punkta efst til hægri til að opna valmyndina og velja síðan „fleiri verkfæri“ > “Verktaki verkfæri.” Smelltu á flipann „hugga“ til að skoða villur á vefsíðunni sem þú ert að skoða. Þú gætir verið hissa á að læra hversu mikið fer úrskeiðis, jafnvel á vefsíðum sem eru í hávegum höfð.

króm-stjórnborð

Sum fyrirtæki geta notað sýndarnet einkanet til að vernda sig gegn skaða. Árásarmaður getur þó bent á það og minna örugg tenging getur verið viðkvæm fyrir misnotkun. Þess vegna er mikilvægt að vera varkár þegar þú velur þjónustu og velur einn af bestu VPN veitendum í kring.

Græða peninga í öryggisprófun

græða peninga með skarpskyggni prófun

Ef tölvuöryggi vekur áhuga þinn hefur aldrei verið auðveldara að taka þátt. Fleiri fyrirtæki en nokkru sinni bjóða upp á opinberar upphæðir fyrir þá sem finna og tilkynna um vandamál á vefsíðum sínum. Verðlaun geta hlaupið allt að hundruðum þúsunda dollara. Varað er við hugsanlegum fésveiðimönnum en flestir eru mun lægri og þú þarft að fjárfesta verulegan tíma ef þú vilt lenda í einum.

Sem sagt, farðu með nokkur lítil verðlaun og þú gætir lent í starfi sem öryggisráðgjafi, eða skarpskyggnisprófari og kennt fyrirtækjum hvernig hægt er að verja sig gegn þeim sem eru fáránlegri gallaveiðimenn þarna úti.

Lokahugsanir

Með síbreytilegu stafrænu landslagi er þörfin fyrir öryggi sú mesta sem hún hefur verið. Sem betur fer hefur vitund um vandamálin í kringum öryggi vefforrita og öryggi almennt aukist.

Athugun á skarpskyggni er stór hluti öryggisins. Það er krefjandi svið en heillandi að læra. Láttu okkur vita af athugasemdunum hér að neðan ef þér hefur fundist þessi grein vera gagnleg eða hefur reynslu af þunglyndi. Takk fyrir að lesa.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map