Nüfuz testi nədir? 2020 üçün sürətli bir bələdçi

Kompüter təhlükəsizliyi heç vaxt daha vacib olmayıb. Bank hesabınızı təhdid edən hakerlər, tələb olunan qiyməti ödəmədiyiniz təqdirdə kompüterinizi bağlaya biləcək ransomware və hər kəsə casusluq etməklə təhlükəsizlik mənzərəsinin əvvəlkindən daha mürəkkəb olduğunu söyləmək ədalətlidir..


Xoşbəxtlikdən, təhlükəsizlik bacarığı olan hər kəs sizi tapmaq üçün əlindən gəlmir. Bəzi hakerlər yaxşılıq üçün çalışırlar, həssaslıqları şəxsi mənfəət üçün istifadə etmək əvəzinə düzəltmək məqsədi ilə araşdırırlar.

Bu yazıda onların roluna nəzər salacağıq və giriş testinin nə olduğunu izah edəcəyik.

Bur ilk: Qara Şapka – Ağ Şapka

nüfuz testi

Yaxşı uşaqlar adətən ağ papaq sınayıcıları kimi tanınırlar. Pis adamlar qara şlyapalar, boz şapkalar isə aradadır. Onların hər hansı birinin işlədiyini görsən, əsasən eyni şeyi edərdilər: veb saytların zəifliklərini yoxlamaq. Fərq, bir problem tapdıqda nə olur.

Ağ şlyapalar problemi veb saytın və ya tətbiqin sahibinə bildirirlər. Qara şlyapalar veb saytlara girmək və ya istismar haqqında məlumatları başqalarına satmaq üçün axtarır. Boz şlyapalar bu kateqoriyalara tam uyğun gəlmir. Potensial qanunu pozan, lakin pul qazanmaq və ya zərər vermək istəməyənlər əyləncə və ya maraq üçün hack edə bilərlər.

Niyə Veb Tətbiqi Təhlükəsizlik Məsələləri

Onlayn varlığı olan hər kəs hack edilə bilər. Qonşunuzun Twitter hesabı və beynəlxalq banklar hər iki hədəfdir. Bir veb saytına girməyin mükafatları sonsuz ola bilər.

Bir veb saytı pozulursa, hacker istifadəçi adı və şifrələrdən kredit kartı məlumatlarına və ya tibbi qeydlərə qədər hər hansı bir şeyi götürə bilər. Çoxumuz e-poçtu hack edilmiş birisini tanıyırıq, tez-tez əlaqə siyahısındakı hər kəsə mesaj göndərir, buna görə kiber cinayətkarlıq hamımıza təsir edir..

Hakerlər bir veb saytı idarə etdikdən sonra daha çox müştəri məlumatlarını oğurlamaq üçün istifadə edə bilərlər ki, bu da bank hesablarına daxil olmaq və ya bitkoin oğurlamaq üçün istifadə edilə bilər. Gizli iş və ya texniki məlumatlar da əldə edə bilərlər.

Təbii ki, şirkətlər təhlükəsizlik pozuntularının qarşısını almaq üçün əllərindən gələni etməyə can atırlar. Bir nüfuz testini və ya pentest mütəxəssisini işə götürmək, hakerlərin üstündən keçmək üçün əla bir yoldur.

Bir təhlükəsizlik mütəxəssisi tərəfindən açığı qiymətləndirmək, veb saytına girməyə cəhd etmək üçün birinin işə götürülməsini ehtiva edir. Təhlükəsizlik dəliklərini eyni şəkildə bir cinayətkarın araşdırması və veb sayt sahibinə tapdıqları problemlər barədə məlumat verə bilər..

Zəifliyin qiymətləndirilməsi

Zəifliyin qiymətləndirilməsi

Proqram təminatı və veb saytlarda yeni çatışmazlıqlar daim aşkar olunur. Ən son proqram versiyaları ümumiyyətlə məlum zəifliklər üçün düzəlişləri ehtiva edir, buna görə onlara yenilənmə həssasdır.

Yetkin bir veb tətbiqində bu çətin ola bilər. Proqramın fərqli versiyaları həmişə bir-biri ilə uyğun gəlmir, buna görə də hər şeyi aktuallaşdırmaq və hər şeyin işlədiyinə əmin olmaq asan deyil.

Bu şeylər hər zaman dəyişdiyindən bir tətbiqin etibarlı olmasına zəmanət vermək mümkün deyil. Ola bilər ki, heç kim, məsələn server proqramınızın son versiyasındakı zəifliklərdən xəbərdar deyil. Gələcəkdə heç bir qüsur tapmayacağı ehtimalı azdır.

Veb saytınızın pozulmasından narahat olsanız, veb sayt təhlükəsizliyinə dair bir neçə məqam üçün məqaləmizi oxumalısınız.

Qara Qutu vs Ağ Qutu

Bir veb saytında və ya tətbiqdə bir zəifliyin qiymətləndirilməsini aparmaq üçün müxtəlif üsullar mövcuddur. Bir yanaşma, hackerin istədiyi kimi, daxili biliyi və köməyi olmadan zəifliklərin araşdırılmasıdır. Buna qara qutu sınağı deyilir.

Digər tərəfdən, ağ qutu testi, tətbiq olunan proqramın mənbə kodu və ya hansı proqramın istifadə olunduğuna dair məlumatlar kimi məlumatlara girmə ilə təhlükəsizlik testi deməkdir..

Qara qutu yanaşması daha çox cinayətkarın etdiyi şeyə bənzəyir. Sınan sistem haqqında məlumat əldə etmək bu metodu istifadə edənlər üçün əsas problemdir.

Ağ qutu strategiyası, zəiflikləri tapmağı asanlaşdırır, çünki sınayıcı hər şeyi nəzərdən keçirə və hamısının necə uyğun gəldiyini görə bilər. Nə proqramın işlədiyini bilsələr, hücumlarını müvafiq olaraq hədəfə ala bilərlər. Bu, həqiqi hackerin hansı zəiflikləri tapacağını göstərə bilməz.

Pentest ticarətinin vasitələri

Linux təhlükəsizlik testində iştirak edənlər üçün məşhur bir əməliyyat sistemidir. Bir veb saytında bir zəiflik qiymətləndirməsi etməlisinizsə, Kali Linux, Wireshark və Burp dəsti və digər bir çox faydalı vasitələr də daxil olmaqla hər cür müvafiq proqram təminatı ilə quraşdırıldığı üçün xüsusilə yaxşı bir paylamadır..

Veb trafikini izləmək üçün Burp suite və ya Charles kimi bir vasitədən istifadə bir veb saytına qoşulduqda nələr baş verdiyinizi ətraflı təsvir edə bilər. Kompüterinizin etdiyi bütün əlaqələri izləyir və sizə lazım olan məlumatları verirlər. Bunlar müntəzəm veb inkişafı və diskussiya üçün də faydalıdır.

Göndərilən sorğuları dəyişdirmək üçün onlardan istifadə edə bilərsiniz. Bir serverin hakerdən gələ biləcək qeyri-standart trafik növünə necə cavab verdiyini görmək istəsəniz əladır..

çarlz

Mümkün qədər çox kombinasiyanı sınayan gücləndirici parol hücumlarını avtomatlaşdırmaq üçün vasitələr də mövcuddur. Qısa, asan parolları hədəf alır. Bir parol menecerindən istifadə, hücumuna az həssas olan daha uzun olanları yaratmağa kömək edə bilər.

Şifrə formaları da SQL injection üçün bir riskdir – serverə ötürülən məlumatlara gizli kod. Təhlükəsizlik test cihazı baş verə biləcək yerləri təyin edə bilər və daxil olan məlumatların etibarlı şəkildə işlənməsini təmin etmək üçün kodu yeniləyə bilər.

Tətbiqin kompüter yaddaşından necə istifadə etdiyinə nəzər salmaq da zəiflikləri aşkar edə bilər. Bir icra edilə bilən proqramın innards-dan istifadə GNU debugger və ya GDB ilə edilə bilər. Bu cür həssaslıq testi, hackerin qabığa girməsini təmin edən və bir serverə nəzarət etməsinə imkan yaradan istismar axtarışlarını əhatə edir..

gdb

Əksər brauzerlərdə bir veb konsolu var, bu da bir veb saytında baş verənləri araşdırmaq üçün faydalıdır. Chrome’un dev alətləri səhifənin hansı elementləri yüklədiyini və səhvləri aşkar edəcəkdir. İstifadəçilər üçün problem yaradan əlavə, səhvlər bir veb saytı hücuma həssas buraxa bilər.

Menyunu açmaq üçün yuxarıdakı sağdakı üç nöqtəni tıklayarak sonra “daha çox vasitə” seçərək Chrome-da dev konsolunu tapa bilərsiniz. > “Geliştirici alətlər.” Baxdığınız veb saytdakı səhvlərə baxmaq üçün “konsol” sekmesini vurun. Hətta yüksək profilli veb saytlarda da nə qədər səhv getdiyini öyrənmək üçün təəccüblənə bilərsiniz.

xrom-konsol

Bəzi şirkətlər özlərini zərərlərdən qorumağa kömək etmək üçün virtual xüsusi şəbəkədən istifadə edə bilərlər. Təcavüzkar bunu müəyyənləşdirə bilər və daha az etibarlı bir əlaqə istismara həssas ola bilər. Buna görə bir xidmət seçərkən diqqətli olmaq və ətrafınızdakı ən yaxşı VPN təminatçılarından birini seçmək vacibdir.

Təhlükəsizlik testində pul qazanmaq

nüfuz testi ilə pul qazanmaq

Kompüter təhlükəsizliyi sizi maraqlandırırsa, işə qarışmaq asan olmayıb. Həmişəkindən daha çox şirkət, veb saytlarında problem tapan və hesabat verənlər üçün ictimai lütf təklif edir. Mükafatlar yüz minlərlə dollar qədər qaça bilər. Potensial lütf ovçularına xəbərdarlıq edilir, baxmayaraq ki, əksəriyyəti daha aşağıdır və bir torpaq almaq istəyirsinizsə, xeyli vaxt sərf etməlisiniz..

Dedi ki, bir neçə kiçik hədiyyə çantası və bir təhlükəsizlik məsləhətçisi və ya girmə sınayıcısı olaraq işə çıxa bilərsən, şirkətlərə orada daha az həssas səhv ovçulardan necə qorunmağı öyrədirsən..

Final Düşüncələr

Daim dəyişən rəqəmsal mənzərə ilə təhlükəsizlik ehtiyacı ən böyükdür. Sevindirici haldır ki, veb tətbiqi təhlükəsizliyi və ümumilikdə təhlükəsizlik mövzusunda məlumatlılıq da artdı.

Nüfuz testi təhlükəsizliyin böyük bir hissəsidir. Çətin bir sahədir, lakin öyrənmək üçün maraqlıdır. Bu məqaləni faydalı hesab etmisinizsə və ya pestesting təcrübəniz varsa, aşağıdakı şərhlərdə bizə bildirin. Oxuduğunuz üçün təşəkkür edirəm.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map