Kas yra įsiskverbimo testavimas? Trumpas vadovas 2020 metams

Kompiuterio saugumas niekada nebuvo svarbesnis. Jei įsilaužėliai kelia grėsmę jūsų banko sąskaitai, išpirkos programinė įranga, kuri gali išjungti jūsų kompiuterį, jei nemokėsite prašomos kainos, ir visi šnipinėja visus kitus, teisinga sakyti, kad saugos vaizdas yra sudėtingesnis nei bet kada anksčiau..


Laimei, ne visi, turintys saugumo įgūdžių, nori tavęs pasiekti. Kai kurie įsilaužėliai dirba gerai, tikrindami pažeidžiamumą, siekdami juos ištaisyti, o ne išnaudoti asmeninei naudai.

Šiame straipsnyje apžvelgsime jų vaidmenį ir paaiškinsime, koks yra skverbties bandymas.

Bur pirmiausia: juoda skrybėlė prieš baltą skrybėlę

skvarbos testavimas

Geri vaikinai paprastai žinomi kaip baltųjų skrybėlių bandytojai. Blogi vaikinai yra juodos skrybėlės, o pilkos skrybėlės yra kažkur tarp jų. Jei pamatytumėte, kad kuris nors iš jų dirba, jie dažniausiai darytų tą patį: tikrintų svetainių pažeidžiamumą. Skirtumas yra tas, kas nutinka, kai jie randa problemą.

Baltos skrybėlės praneša apie problemą svetainės ar programos savininkui. Juodos skrybėlės nori įsilaužti į svetainę ar parduoti kitiems informaciją apie išnaudojimą. Pilkos spalvos skrybėlės netinka toms kategorijoms. Jie gali įsilaužti dėl savo linksmybių ar smalsumo, galbūt pažeisdami įstatymus, bet nesiekdami užsidirbti pinigų ar padaryti žalos.

Kodėl interneto programų saugumas yra svarbus

Visi, kurie lankosi internete, gali būti nulaužti. Tikslai yra jūsų kaimyno „Twitter“ sąskaita ir tarptautiniai bankai. Atlygis už įsiveržimą į svetainę gali būti beribis.

Jei svetainei kyla pavojus, įsilaužėlis gali imtis bet ko, pradedant vartotojo vardais ir slaptažodžiais, baigiant kreditinės kortelės informacija ar medicinos įrašais. Daugelis iš mūsų pažįsta žmogų, kurio el. Paštas buvo nulaužtas, dažnai siunčia pranešimus visiems savo kontaktų sąraše, todėl elektroniniai nusikaltimai daro įtaką mums visiems.

Kai įsilaužėliai kontroliuoja svetainę, jie gali ją panaudoti pavogdami daugiau klientų duomenų, kurie gali būti naudojami norint pasiekti banko sąskaitas ar pavogti bitcoin. Jie taip pat gali gauti konfidencialią verslo ar techninę informaciją.

Natūralu, kad įmonės nori padaryti viską, kas įmanoma, kad būtų išvengta saugumo pažeidimų. Pasamdykite įsiskverbimo testą arba pentestą specialistą – tai puikus būdas padėti jiems gauti pranašumą prieš įsilaužėlius.

Saugumo specialisto atliekamas pažeidžiamumo įvertinimas apima samdymą kažkam, kuris bandytų įsibrauti į svetainę. Jie gali ištirti saugumo spragas tokiu pat būdu, kaip padarytų nusikaltėlis, ir pranešti apie aptiktas problemas svetainės savininkui, kuris gali jas ištaisyti.

Pažeidžiamumo įvertinimas

Pažeidžiamumo įvertinimas

Nuolat atrandama naujų programinės įrangos ir svetainių trūkumų. Naujausiose programinės įrangos versijose paprastai yra žinomų pažeidžiamumų pataisų, todėl jas atnaujinti yra protinga.

Vis dėlto tai gali būti sudėtinga naudojant pažengusias žiniatinklio programas. Skirtingos programinės įrangos versijos ne visada suderinamos viena su kita, todėl nuolat atnaujinti reikalus ir įsitikinti, kad viskas veikia, nėra lengva.

Kadangi šie dalykai visada keičiasi, beveik neįmanoma garantuoti, kad programa bus saugi. Gali būti, kad niekas nežino, pavyzdžiui, apie jūsų serverio programinės įrangos naujausios versijos spragas. Vis dėlto mažai tikėtina, kad ateityje bus rasta trūkumų.

Jei nerimaujate dėl įsilaužimo į jūsų svetainę, turėtumėte perskaityti mūsų straipsnį apie svetainės apsaugą, pateikdami keletą patarimų.

Juodoji dėžutė vs Baltoji dėžutė

Yra keli būdai, kaip įvertinti pažeidžiamumą svetainėje ar programoje. Vienas iš būdų yra tikrinti pažeidžiamumą taip, kaip tai padarytų įsilaužėlis, neturėdamas vidinių žinių ar pagalbos. Tai vadinama juodosios dėžės testavimu.

„Baltosios dėžės“ testavimas, kita vertus, reiškia saugumo bandymą, turint prieigą prie tokios informacijos kaip bandomosios programos šaltinis arba informacija apie tai, kokia programinė įranga naudojama.

Juodosios dėžės požiūris labiau primena tai, ką padarytų nusikaltėlis. Gauti informaciją apie bandomą sistemą yra pagrindinis iššūkis tiems, kurie naudojasi šiuo metodu.

Baltojo langelio strategija leidžia lengviau rasti pažeidžiamumą, nes testeris gali viską naršyti ir pamatyti, kaip visa tai dera. Jei jie žino, kokia programinė įranga veikia, jie gali atitinkamai nukreipti savo atakas. Nepaisant to, jis gali nenurodyti, kurias spragas tikriausiai ras hakeris.

„Pentest“ prekybos įrankiai

„Linux“ yra populiari operacinė sistema tiems, kas užsiima saugumo tikrinimu. Jei jums reikia įvertinti svetainės pažeidžiamumą, „Kali Linux“ yra ypač geras paskirstymas, nes jis yra įdiegtas su visų rūšių atitinkama programine įranga, įskaitant „Wireshark“ ir „Burp suite“, taip pat su daugeliu kitų naudingų įrankių..

Naudodamiesi tokiu įrankiu, kaip „Burp suite“ ar „Charles“, stebėdami interneto srautą galite gauti išsamų vaizdą apie tai, kas vyksta prisijungiant prie svetainės. Jie stebi visas jūsų kompiuterio jungtis ir suteikia jums reikiamos informacijos apie juos. Jie taip pat naudingi reguliariai kuriant internetą ir derantis.

Galite jas naudoti norėdami modifikuoti išsiųstas užklausas. Puiku, jei norite pamatyti, kaip serveris reaguoja į nestandartinį srautą, kurį gali sukelti įsilaužėlis.

charles

Taip pat yra įrankių, skirtų automatizuoti brutalios jėgos slaptažodžio išpuolius, kurie iš esmės išbando kuo daugiau kombinacijų. Jis nukreiptas į trumpus, lengvus slaptažodžius. Naudodamiesi slaptažodžių tvarkytuve, galite padėti sugeneruoti ilgesnius, mažiau pažeidžiamus jo užpuolimus.

Slaptažodžio formos taip pat kelia pavojų SQL įvedimui – įterpti kodą į serveriui perduodamus duomenis. Saugumo tikrintojas gali pastebėti vietas, kur tai gali įvykti, ir atnaujina kodą, kad užtikrintų saugų gaunamų duomenų tvarkymą.

Tyrinėdami, kaip programa naudoja kompiuterio atmintį, taip pat galite atskleisti silpnąsias vietas. Nukreipti per vykdomosios programos vidinius taškus galima su GNU derintuvu arba GDB. Atliekant tokį pažeidžiamumo testą reikia ieškoti išnaudojimų, kurie įsilaužėliams galėtų suteikti prieigą prie apvalkalo ir leisti jiems valdyti serverį..

gdb

Daugelyje naršyklių yra „dev“ konsolė, kuri taip pat naudinga norint ištirti, kas vyksta svetainėje. „Chrome“ „dev“ įrankiai parodys, kokius elementus įkeliamas puslapis, ir atskleis klaidas. Dėl to, kad klaidos nekelia problemų vartotojams, svetainė gali tapti pažeidžiama.

„Dev“ konsolę galite rasti „Chrome“ spustelėję tris taškus viršuje dešinėje, kad atidarytumėte meniu, tada pasirinkę „daugiau įrankių“ > “kurejo irankiai.” Spustelėkite skirtuką „konsolė“, jei norite pamatyti klaidas jūsų apžvelgiamoje svetainėje. Galite nustebti, sužinoję, kiek daug blogo nutinka, net aukšto lygio svetainėse.

chromo konsolė

Kai kurios įmonės, norėdamos apsisaugoti nuo žalos, gali naudoti virtualų privatų tinklą. Užpuolikas gali nustatyti, kad ir mažiau saugus ryšys gali būti pažeidžiamas. Štai kodėl svarbu būti atsargiems renkantis paslaugą ir pasirinkti vieną iš geriausių VPT teikėjų.

Uždirbti pinigų atliekant saugumo testus

užsidirbti pinigų su skverbties testavimu

Jei kompiuterio saugumas jus domina, dar niekada nebuvo taip lengva įsitraukti. Daugiau įmonių nei bet kada anksčiau siūlo valstybinius įnašus tiems, kurie savo svetainėse randa ir praneša apie problemas. Prizai gali siekti net šimtus tūkstančių dolerių. Potencialūs palaimos medžiotojai turi būti įspėti, tačiau dauguma jų yra daug žemesni ir jums reikės skirti daug laiko, jei norite nusileisti.

Tai pasakius, įmeskite keletą mažų prizų ir galbūt galėsite nusistatyti darbą kaip saugos konsultantas arba skverbties tikrintojas, mokydamas įmones, kaip apsisaugoti nuo mažiau skrupulingų klaidų medžiotojų..

Baigiamosios mintys

Atsižvelgiant į nuolat besikeičiančią skaitmeninę aplinką, saugumo poreikis yra didžiausias. Laimei, taip pat išaugo supratimas apie problemas, susijusias su interneto programų saugumu ir apskritai saugumu.

Įsiskverbimo bandymai yra didelė saugumo dalis. Tai sudėtingas laukas, tačiau įdomu studijuoti. Jei manote, kad šis straipsnis yra naudingas ar turite pentestavimo patirties, praneškite mums toliau pateiktuose komentaruose. Ačiū už skaitymą.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map