Поиск бэкдоров и троянов

Проникновение метод тестирования

различные этапы или


Тестирование проникновения представляет собой сочетание методов, которые рассматриваются различные вопросы систем и испытаний, анализов, и дает решения. безопасность сайта Она основана на структурированной процедуры, которая выполняет тестирование на проникновение шаг за шагом.
В этой главе описываются различные этапы или фазы тестирования методом проникновения.
Ниже приведены семь этапов тестирования на проникновение -
Планирование и подготовка начинается с определения целей и задач тестирования на проникновение.
Клиент и тестером совместно определить цели таким образом, чтобы обе стороны имеют одни и те же цели и понимание. Общие цели тестирования проникновения являются -

    • Для выявления уязвимости и повышения безопасности технических систем.

    • У ИТ-безопасности, подтвержденный внешней третьей стороной.

    • Повышение безопасности организационной / кадровой инфраструктуры.



    Разведывательная включает анализ предварительной информации. Много раз, тестер не имеет много информации, кроме предварительной информации, т.е. IP- адрес или блок адресов IP. безопасность и человеческий фактор Тестер начинается с анализа имеющейся информации и, в случае необходимости, запрашивает дополнительную информацию, такую ​​как описание системы, сетевые планы и т.д. от клиента. Этот шаг является тест пассивного проникновения, своего рода. безопасность www серверов Единственная цель состоит в том, чтобы получить полную и подробную информацию о сисх.
    На этом этапе, тестер проникновения, скорее всего, использовать автоматизированные средства для сканирования целевых активов для обнаружения уязвимостей. Эти инструменты обычно имеют свои собственные базы данных, предоставляя подробную информацию о последних уязвимостей. Тем не менее, тестер обнаружить
    Обнаружение сети - Такие , как открытие дополнительных систем, серверов и других устройств.
    Хост Discovery - Она определяет открытые порты на этих устройствах.
    Услуги Допрос - это опрашивает порты , чтобы обнаружить реальные услуги , которые бегут на них.
    На этом этапе тестер анализирует и оценивает информацию, собранную до тест шагов для динамического проникновения в систему. Из-за большего количества систем и размеров инфраструктуры, это очень много времени. проверить безопасность сервера При анализе, тестер рассматривает следующие элементы -
    Определенные цели испытания на проникновение.
    Потенциальные риски для системы.
    Расчетное время, необходимое для оценки потенциальных недостатков безопасности для последующего тестирования активного проникновения.
    Тем не менее, из списка выявленных систем, тестер может выбрать для проверки только те, которые содержат потенциально уязвимые места.
    Это самый важный шаг, который должен быть выполнен с должной тщательностью. Этот шаг влечет за собой, в какой мере потенциальные уязвимости, которые были идентифицированы на этапе обнаружения, которые обладают фактические риски. Этот шаг должен выполняться, когда проверка потенциальных уязвимостей необходим. Для тех систем, имеющих требования очень высокую степень целостности, потенциальная уязвимость и риск должен быть тщательно продуманы до проведения критических чистых процедур.
    Этот шаг в первую очередь рассматривает все этапы, проводимые (описанные выше) до тех пор и оценку уязвимостей, присутствующих в форме потенциальных рисков. Кроме того, прибор рекомендует устранить уязвимость и риски. безопасность linux сервера Прежде всего, тестер должен обеспечить прозрачность проведения испытаний и уязвимостей, которые он раскрытыми.
    Подготовка отчета должна начинаться с общими процедурами тестирования, с последующим анализом уязвимостей и рисков. Высокие риски и критические уязвимости должны иметь приоритеты и затем следуют более низкого порядка.
    Тем не менее, в то время как документирование окончательный отчет, следующие моменты необходимо учитывать -

      • В целом резюме тестирования на проникновение.

      • Подробная информация о каждом шаге и информации, собранной в ходе тестирования пера.

      • Подробная информация о всех уязвимостей и рисков обнаружены.

      • Детали очистки и фиксации системы.

      • Предложения по будущей безопасности.


      Похожие статьи Pentest