Сканирование сайта

Хакинг и тестирование на проникновение

общем-то


Вопросами своей информационной безопасности в наше время озабочена любая нормальная компания, и, в принципе, даже среди государственных и общественных организаций есть такие, которым беспокойство по данному вопросу, скажем так, совсем не чуждо. Однако купить специализированный софт, нанять специалиста, который настроит систему, и периодически его обновлять - это ещё не всё, что нужно для того, чтобы она успешно работала и выполняла возложенные на неё функции. поиск уязвимостей на сайте Для того, чтобы определить, что ещё для этого нужно, и существуют пентесты. облачные технологии и защита информации О том, что это такое и с чем, образно говоря, их едят, мы и поговорим сегодня в нашей рубрике F.A.Q..
Пентест - это калька с английского pentest, что расшифровывается как penetration test, или, говоря русским языком, тест на проникновение. Во время подобного теста специалист-тестировщик устраивает псевдоатаку на корпоративную сеть, инсценируя действия реальных злоумышленников или атаку, проводимую каким-то вредоносным программным обеспечением без непосредственного участия самого взломщика. Целью данных тестов является, конечно же, в первую очередь, выявление слабых мест в защите корпоративной сети от подобных атак и, соответственно, устранения найденных в ходе пентестов брешей.
Существует два типа пентестирования: тестирование чёрного ящика и тестирование белого ящика. этичный хакинг В первом случае, как несложно догадаться, специалисты, проводящие тестирование, не имеют в своём распоряжении информации о внутреннем устройстве защиты и даже об инфраструктуре сети. Во втором случае, напротив, им доступна практически вся подобная информация. проверка на sql уязвимость Есть ещё промежуточные варианты, когда про сеть и про защиту всё-таки что-то известно, но далеко не так много, как хотелось бы. влияние человеческого фактора на безопасность Их, не без юмора, называют тестированием серого ящика. Преимущества каждого из видов тестирования активно обсуждаются специалистами, однако большинство из них сходятся в том, что оптимальным вариантом является применение тестов и для чёрного, и для белого ящиков.
Зачастую подобное тестирование поддаётся автоматизации, и, в общем-то, во многом усилия пентестеров направлены именно на максимальную автоматизацию своей работы. Запросы, похожие на «защита от sql-инъекций» В этом заинтересованы и заказчики, потому что автоматическое тестирование, конечно, выходит дешевле, чем ручное.
В последнее время схему применения пентестов для обнаружения слабых мест в системе защиты компании достаточно часто критикуют как те, кто использует пентесты, так и те, кто не хочет их использовать. Наиболее частые аргументы противников пентестов - это недостаточная комплексность (т.е. никто не может вам гарантировать, что пентест выявил все дыры в вашей системе безопасности), отсутствие возможности проконтролировать деятельность пентестеров, а также отсутствие гарантии в том, что найденные дыры не использованы самими пентестерами для того, чтобы украсть информацию у заказчика. Впрочем, пока что тем, кто использует пентесты для усиления собственной защиты, придётся мириться со всеми недостатками, присущими данному методу, потому что на сегодняшний день хороших альтернатив ему, в общем-то, не предвидится.
В настоящее время существует множество стандартизированных методологий проведения пентестов, например, таких, как GWAPT, IEM, OWASP. безопасность linux сервера Если вы хотите заказать кому-то пентест, будет лучше, если в своей работе этот кто-то будет руководствоваться указаниями, изложенными в каком-то из подобных стандартов.

Похожие статьи Pentest