Tutorial Ujian Penetrasi: Apa itu PenTest?

Isi kandungan:

Anonim

Ujian Penembusan

Uji Penetrasi atau Uji Pena adalah jenis Pengujian Keamanan yang digunakan untuk mengungkap kerentanan, ancaman dan risiko yang dapat dimanfaatkan oleh penyerang dalam aplikasi perangkat lunak, jaringan atau aplikasi web. Tujuan ujian penetrasi adalah untuk mengenal pasti dan menguji semua kemungkinan kelemahan keselamatan yang terdapat dalam aplikasi perisian. Ujian penembusan juga dipanggil Ujian Pen.

Kerentanan adalah risiko penyerang dapat mengganggu atau mendapatkan akses yang dibenarkan ke sistem atau data yang terkandung di dalamnya. Kerentanan biasanya diperkenalkan secara tidak sengaja semasa fasa pengembangan dan pelaksanaan perisian. Kerentanan biasa termasuk kesilapan reka bentuk, kesalahan konfigurasi, bug perisian dan lain-lain. Analisis Penetrasi bergantung kepada dua mekanisme iaitu Penilaian Kerentanan dan Ujian Penetrasi (VAPT).

Mengapa Ujian Penetrasi?

Penetrasi sangat penting dalam perusahaan kerana -

  • Sektor kewangan seperti Bank, Perbankan Pelaburan, Bursa Perdagangan Saham menginginkan data mereka diamankan, dan ujian penembusan sangat penting untuk memastikan keselamatan
  • Sekiranya sistem perisian sudah diretas dan organisasi ingin menentukan apakah ada ancaman yang masih ada dalam sistem untuk mengelakkan peretasan di masa depan.
  • Proactive Penetration Testing adalah perlindungan terbaik terhadap penggodam

Jenis Ujian Penetrasi:

Jenis ujian penembusan yang dipilih biasanya bergantung pada ruang lingkup dan sama ada organisasi ingin mensimulasikan serangan oleh pekerja, Pentadbir Rangkaian (Sumber Dalaman) atau oleh Sumber Luaran. Terdapat tiga jenis ujian Penetrasi dan mereka

  • Ujian Kotak Hitam
  • Ujian Penembusan Kotak Putih
  • Ujian Penembusan Kotak Kelabu

Dalam ujian penembusan kotak hitam, penguji tidak mempunyai pengetahuan mengenai sistem yang akan diuji. Dia bertanggungjawab mengumpulkan maklumat mengenai rangkaian atau sistem sasaran.

Dalam ujian penembusan kotak putih, penguji biasanya diberikan maklumat lengkap mengenai rangkaian atau sistem yang akan diuji termasuk skema alamat IP, kod sumber, perincian OS, dll. Ini boleh dianggap sebagai simulasi serangan oleh mana-mana Sumber dalaman (Pekerja Organisasi).

Dalam ujian penembusan kotak kelabu, penguji diberikan pengetahuan separa mengenai sistem. Ini dapat dianggap sebagai serangan oleh penggodam luar yang memperoleh akses tidak sah ke dokumen infrastruktur rangkaian organisasi.

Cara melakukan Ujian Penetrasi

Berikut adalah aktiviti yang perlu dilakukan untuk melaksanakan Ujian Penetrasi -

Langkah 1) Fasa perancangan

  1. Skop & Strategi tugasan ditentukan
  2. Dasar keselamatan yang ada, standard digunakan untuk menentukan skop

Langkah 2) Fasa penemuan

  1. Kumpulkan sebanyak mungkin maklumat mengenai sistem termasuk data dalam sistem, nama pengguna dan kata laluan. Ini juga dipanggil sebagai FINGERPRINTING
  2. Imbas dan Probe ke port
  3. Periksa kelemahan sistem

Langkah 3) Fasa Serangan

  1. Cari eksploitasi untuk pelbagai kelemahan Anda memerlukan Keistimewaan keselamatan yang diperlukan untuk mengeksploitasi sistem

Langkah 4) Fasa Pelaporan

  1. Laporan mesti mengandungi penemuan terperinci
  2. Risiko kelemahan dijumpai dan Kesannya terhadap perniagaan
  3. Cadangan dan penyelesaian, jika ada

Tugas utama dalam ujian penembusan adalah mengumpulkan maklumat sistem. Terdapat dua cara untuk mengumpulkan maklumat -

  • Model 'one to one' atau 'one to many' berkenaan dengan host: Seorang penguji melakukan teknik secara linear terhadap salah satu host sasaran atau pengelompokan logik host sasaran (contohnya subnet).
  • Model 'Banyak ke Satu' atau 'Banyak ke Banyak': Penguji menggunakan pelbagai hos untuk melaksanakan teknik pengumpulan maklumat secara rawak, terhad kadar, dan tidak linear.

Contoh Alat Uji Penetrasi

Terdapat pelbagai jenis alat yang digunakan dalam ujian penembusan dan alat penting adalah:

  1. NMap- Alat ini digunakan untuk melakukan pengimbasan port, pengenalpastian OS, Jejak laluan dan untuk pengimbasan Kerentanan.
  2. Nessus- Ini adalah alat kerentanan berasaskan rangkaian tradisional.
  3. Pass-The-Hash - Alat ini digunakan terutamanya untuk memecahkan kata laluan.

Peranan dan Tanggungjawab Penguji Penetrasi:

Tugas Penguji Penetrasi adalah untuk:

  • Penguji harus mengumpulkan maklumat yang diperlukan dari Organisasi untuk membolehkan ujian penembusan
  • Cari kekurangan yang membolehkan peretas menyerang mesin sasaran
  • Pen Test harus berfikir & bertindak seperti penggodam sebenar walaupun beretika.
  • Kerja yang dilakukan oleh penguji Penetrasi harus dapat dihasilkan semula supaya pemaju memperbaikinya dengan senang
  • Tarikh mula dan tarikh akhir pelaksanaan ujian harus ditentukan terlebih dahulu.
  • Penguji harus bertanggungjawab atas sebarang kehilangan sistem atau maklumat semasa Ujian Perisian
  • Penguji harus merahsiakan data dan maklumat

Ujian penembusan manual berbanding penembusan automatik:

Ujian Penembusan Manual Ujian Penembusan Automatik
Ujian Manual memerlukan profesional pakar untuk menjalankan ujian Alat ujian automatik memberikan laporan yang jelas dengan profesional yang kurang berpengalaman
Pengujian Manual memerlukan Excel dan alat lain untuk mengesannya Ujian Automasi mempunyai alat terpusat dan standard
Dalam Pengujian Manual, hasil sampel berbeza dari ujian ke ujian Dalam kes Ujian Automatik, hasilnya tidak berbeza dari ujian ke ujian
Pembersihan Memori harus diingat oleh pengguna Ujian Automatik akan mempunyai pembersihan menyeluruh.

Kelemahan Ujian Penetrasi

Ujian Penetrasi tidak dapat menemukan semua kelemahan dalam sistem. Terdapat batasan masa, anggaran, ruang lingkup, kemahiran Penguji Penetrasi

Berikut adalah kesan sampingan semasa kita melakukan ujian penembusan:

  • Kehilangan Data dan Rasuah
  • Masa Turun
  • Meningkatkan Kos

Kesimpulan:

Penguji harus bertindak seperti penggodam sebenar dan menguji aplikasi atau sistem dan perlu memeriksa sama ada kod ditulis dengan selamat. Ujian penembusan akan berkesan sekiranya terdapat dasar keselamatan yang dilaksanakan dengan baik. Dasar dan metodologi ujian penembusan harus menjadi tempat untuk menjadikan ujian penembusan lebih berkesan. Ini adalah panduan pemula yang lengkap untuk Ujian Penetrasi.

Lihat Projek Uji Penembusan Langsung kami