Wat is penetrasietoetsing? ‘N Vinnige gids vir 2023
Rekenaarsekuriteit was nog nooit belangriker nie. Met hackers wat u bankrekening dreig, ransomware wat u rekenaar kan sluit as u nie die vraprys betaal nie en almal op almal spioeneer, is dit billik om te sê dat die veiligheidsfoto meer ingewikkeld is as ooit tevore..
Gelukkig kan nie almal met veiligheidsvaardighede u kry nie. Sommige hackers werk ten goede en soek na kwesbaarhede met die doel om dit reg te maak eerder as om dit vir persoonlike gewin te benut.
In hierdie artikel gaan ons na hul rol kyk en verduidelik wat penetrasietoetsing is.
Contents
Begin eerste: Black Hat vs White Hat
Die goeie ouens staan algemeen bekend as withoedtoetsers. Die slegte ouens is swart hoede en die grys hoede is êrens tussenin. As u sien dat een van hulle werk, dan doen hulle meestal dieselfde ding: kyk na webwerwe vir kwesbaarhede. Die verskil is wat gebeur as hulle ‘n probleem kry.
Wit hoede rapporteer die probleem aan die eienaar van die webwerf of toepassing. Swart hoede is op soek na die webwerf of om inligting oor die uitbuiting aan ander te verkoop. Grys hoede pas nie heeltemal by daardie kategorieë nie. Hulle kan dalk haak vir plesier of nuuskierigheid en moontlik die wet oortree, maar wil nie geld verdien of kwaad doen nie.
Waarom webtoepassingsveiligheidsaangeleenthede
Enigiemand met ‘n aanlyn-teenwoordigheid kan gekap word. Die Twitter-rekening en internasionale banke van jou buurman is albei teikens. Die voordele vir die inbraak op ‘n webwerf kan onbeperk wees.
As ‘n webwerf in die gedrang kom, kan die hacker enigiets neem van gebruikersname en wagwoorde tot kredietkaartbesonderhede of mediese rekords. Die meeste van ons ken iemand wie se e-pos is gekap, en stuur gereeld boodskappe aan almal in hul kontaklys, so kubermisdaad het ‘n invloed op ons almal.
Sodra hackers beheer oor ‘n webwerf het, kan hulle dit gebruik om meer klante-inligting te steel, wat gebruik kan word om toegang tot bankrekeninge te kry of om bitcoin te steel. Hulle kan moontlik ook vertroulike sake- of tegniese inligting kry.
Uiteraard is ondernemings gretig om alles in hul vermoë te doen om veiligheidsoortredings te voorkom. Deur ‘n penetrasietoets, of ‘n pentest, te huur, is dit ‘n goeie manier om hulle te help om hackers te kry.
‘N Veiligheidstudie deur ‘n sekuriteitsprofessor behels die huur van iemand om te probeer om op die webwerf in te breek. Hulle kan op dieselfde manier as ‘n misdadiger na sekuriteitsgate soek en probleme wat hulle vind aan die eienaar van die webwerf aanmeld, wat hulle dan kan regstel.
Kwesbaarheidsassessering
Nuwe swakhede in sagteware en webwerwe word voortdurend ontdek. Die nuutste sagtewareversies bevat gewoonlik regstellings vir bekende kwesbaarhede, dus dit is sinvol om dit na te werk.
Dit kan egter moeilik wees op ‘n volwasse webtoepassing. Verskillende weergawes van sagteware is nie altyd versoenbaar met mekaar nie, so dit is nie maklik om dinge op datum te hou en seker te maak dat alles werk nie.
Aangesien hierdie dinge altyd verander, is dit onmoontlik om te waarborg dat ‘n aansoek veilig is. Dit kan wees dat niemand byvoorbeeld bewus is van kwesbaarhede in die nuutste weergawe van u bedienerprogrammatuur nie. Dit is egter onwaarskynlik dat daar in die toekoms geen gebreke sal voorkom nie.
As u bekommerd is oor die haak van u webwerf, moet u ons artikel oor webwerfveiligheid vir ‘n paar wenke lees.
Black Box vs White Box
Daar is verskillende maniere om ‘n kwesbaarheidsbeoordeling op ‘n webwerf of program uit te voer. Een benadering is om na kwesbaarhede te soek op dieselfde manier as ‘n hacker, sonder kennis of hulp. Dit word swartkassietoetsing genoem.
Witkas-toetsing, daarenteen, beteken sekuriteitstoetsing met toegang tot inligting, soos die bronkode van die aansoek wat ondersoek word, of besonderhede oor watter sagteware gebruik word.
Die swart boksbenadering lyk meer soos ‘n misdadiger sou doen. Diegene wat hierdie metode gebruik, is ‘n belangrike uitdaging om inligting oor die stelsel wat getoets word te kry.
Die witboks-strategie maak dit makliker om kwesbaarhede te vind, omdat die toetser deur alles kan blaai en sien hoe dit alles bymekaar pas. As hulle weet watter sagteware gebruik word, kan hulle hul aanvalle dienooreenkomstig rig. Dit gesê, dit dui miskien nie aan watter kwesbaarhede ‘n regte hacker waarskynlik sal vind nie.
Gereedskap van die Pentest Trade
Linux is ‘n gewilde bedryfstelsel vir diegene wat betrokke is by sekuriteitstoetsing. As u ‘n kwesbaarheidsbeoordeling op ‘n webwerf moet doen, is Kali Linux ‘n baie goeie verspreiding, aangesien dit geïnstalleer word met allerhande relevante sagteware, insluitend Wireshark en Burp suite, sowel as baie ander nuttige instrumente..
Deur ‘n instrument soos Burp-suite of Charles te gebruik om webverkeer te monitor, kan u ‘n gedetailleerde prentjie gee van wat aangaan as u aan ‘n webwerf koppel. Hulle monitor al die verbindings wat u rekenaar maak en gee u die inligting wat u daaroor nodig het. Dit is ook nuttig vir gereelde webontwikkeling en ontfouting.
U kan dit gebruik om die versoeke wat gestuur word, te verander, wat goed is as u wil sien hoe ‘n bediener reageer op die soort nie-standaardverkeer wat van ‘n hacker af kom.
Daar is ook instrumente om brute kragwagwoordaanvalle te outomatiseer, wat in wese soveel moontlik kombinasies probeer. Dit is gerig op kort, maklike wagwoorde. Die gebruik van ‘n wagwoordbestuurder kan u help om langer te genereer wat minder kwesbaar is vir die aanranding.
Wagwoordvorms hou ook ‘n risiko in vir SQL-inspuiting – om kode in die data wat aan die bediener deurgegee word, te sluip. ‘N Sekuriteitstoetser kan plekke waar dit voorkom kan opspoor en die kode opdateer om te verseker dat inkomende data veilig hanteer word.
As daar gekyk word na hoe ‘n program rekenaargeheue gebruik, kan dit ook kwesbaarhede openbaar. Deur die binnekant van ‘n uitvoerbare program te soek, kan dit met die GNU-ontfouter of GDB gedoen word. Hierdie soort kwesbaarheidstoetsing behels die soek na ontginning wat die hacker toegang tot ‘n dop kan gee en hulle kan beheer oor ‘n bediener neem..
Die meeste blaaiers het ‘n dev-konsole, wat ook nuttig is om te ondersoek wat op ‘n webwerf gebeur. Die Chrome-hulpmiddels vir Chrome sal wys watter elemente ‘n bladsy laai en foute openbaar. Benewens probleme vir gebruikers, kan foute ‘n webwerf kwesbaar maak vir aanvalle.
U kan die dev-konsole in Chrome vind deur op die drie kolletjies regs bo te klik om die menu te open, en dan ‘meer gereedskap’ te kies > ‘Ontwikkelaarinstrumente.’ Klik op die oortjie “konsole” om foute op die webwerf waarna u kyk, te sien. U sal miskien verbaas wees om te weet hoeveel verkeerd gaan, selfs op hoëprofielwebwerwe.
Sommige maatskappye gebruik moontlik ‘n virtuele privaat netwerk om hulself teen skade te beskerm. ‘N Aanvaller kan dit egter identifiseer en ‘n minder veilige verbinding kan kwesbaar wees vir uitbuiting. Daarom is dit belangrik om versigtig te wees wanneer u ‘n diens kies en een van die beste VPN-verskaffers kies.
Verdien geld in sekuriteitstoetsing
As rekenaarveiligheid u interesseer, was dit nog nooit so maklik om betrokke te raak nie. Meer ondernemings bied ooit openbare kostes aan vir diegene wat probleme op hul webwerwe vind en rapporteer. Pryse kan tot soveel as honderdduisende dollars styg. Waarskuwing vir potensiële skenkingsjagters, die meeste is baie laer, en u sal aansienlike tyd moet belê as u een wil land.
Dit gesê, pak ‘n paar klein pryse in, en u kan dalk ‘n baan as sekuriteitskonsultant, of penetrasietoetser, aanleer, om maatskappye te leer hoe om hulself te beskerm teen die minder noukeurige bug jagters daar buite.
Finale gedagtes
Met ‘n steeds veranderende digitale landskap is die behoefte aan veiligheid die grootste. Gelukkig het die bewustheid van die kwessies rondom webtoepassingsekuriteit en veiligheid in die algemeen ook toegeneem.
Penetrasietoetsing is ‘n groot deel van sekuriteit. Dit is ‘n uitdagende veld, maar fassinerend om te studeer. Laat weet ons in die onderstaande opmerkings as u hierdie artikel nuttig gevind het of ervaring ondervind het. Dankie vir die lees.
