Ujian penembusan adalah satu kaedah yang banyak syarikat mengikuti untuk meminimakan pelanggaran keselamatan mereka. Ini adalah satu cara terkawal pengambilan profesional yang akan cuba untuk menggodam sistem anda dan menunjukkan kepada anda di celah yang anda perlu membetulkan.

Sebelum melakukan ujian penembusan, ia adalah wajib untuk mempunyai satu perjanjian yang jelas akan menyebut ? parameter yang berikut

apa yang akan menjadi masa ujian penembusan,
di mana akan menjadi punca serangan itu, Harta Intelek dan
apa yang akan menjadi medan penembusan sistem.
Ujian penembusan yang dijalankan oleh penggodam beretika profesional yang kebanyakannya menggunakan alat-alat sumber terbuka, komersil, mengautomatikkan alat dan pemeriksaan secara manual. Ada sekatan; Matlamat paling penting di sini adalah untuk mendedahkan kelemahan keselamatan seberapa banyak yang mungkin.

Jenis-jenis ujian penembusan

Kami ada lima jenis ujian ? penembusan

Kotak hitam ? di sini, penggodam beretika tidak mempunyai apa-apa maklumat mengenai infrastruktur atau jaringan organisasi yang dia cuba untuk menembusi pasaran. Dalam kotak hitam ujian penembusan, penggodam cuba untuk mendapatkan maklumat dengan cara sendiri.
? Kotak kelabu yang ia adalah sejenis ujian penembusan di mana penggodam beretika mempunyai pengetahuan yang separa infrastruktur, seperti pelayan nama domain dengan.
? Kotak putih dalam kotak putih-ujian penembusan, penggodam beretika diberi semua maklumat yang diperlukan mengenai infrastruktur dan rangkaian organisasi yang beliau perlu menembusi.
? Ujian penembusan luaran terutamanya ujian penembusan jenis ini yang menumpukan pada infrastruktur rangkaian atau pelayan dan perisian mereka beroperasi dalam infrastruktur. Dalam kes ini, penggodam beretika cuba serangan menggunakan rangkaian awam melalui Internet. Penggodam cuba meng-hack infrastruktur Syarikat dengan menyerang mereka Laman web, webservers, pelayan DNS awam, dan sebagainya.
Penembusan dalaman ujian ? dalam ujian penembusan jenis ini, penggodam beretika di dalam rangkaian Syarikat dan menjalankan ujian Nya dari situ.
Ujian penembusan juga boleh menyebabkan masalah seperti sistem rosak, sistem terhempas atau kehilangan data. Oleh yang demikian, syarikat perlu mengambil risiko dikira sebelum pergi ke hadapan dengan ujian penembusan. Risiko adalah dikira seperti yang berikut dan ianya risiko pengurusan.

RISIKO = × ancaman kelemahan

Contoh

Anda mempunyai laman web e-dagang dalam talian yang ada di dalam pengeluaran. Hendak menjalankan ujian sebelum ia membuat penembusan yang hidup. Di sini, anda perlu menimbang Pro dan kontra terlebih dahulu. Jika anda Teruskan dengan ujian penembusan, ia mungkin menyebabkan gangguan perkhidmatan. Sebaliknya, jika anda tidak mahu menjalankan ujian penembusan, kemudian anda boleh menjalankan risiko kelemahan untuk unpatched yang akan kekal sebagai satu ancaman sepanjang masa.

Sebelum melakukan ujian penembusan, adalah disyorkan bahawa anda meletakkan skop projek tersebut secara bertulis. Anda harus jelas tentang apa yang akan diuji. Contohnya ?

Syarikat anda mempunyai satu VPN atau mana-mana lain-lain teknik capaian jauh dan anda ingin menguji titik tertentu.
Permohonan anda telah webservers dengan pangkalan data, jadi anda mungkin mahu untuk mendapatkan ia diuji untuk SQL serangan suntikan yang merupakan salah satu ujian paling penting di dalam webserver. Di samping itu, anda boleh menyemak jika webserver anda adalah imun terhadap serangan DoS.
Petua pantas

Sebelum pergi ke hadapan dengan ujian penembusan, anda perlu ingat perkara-perkara berikut dalam fikiran ?

Mula-mula memahami keperluan anda dan menilai semua risiko.
Mengupah seseorang yang bertauliah untuk menjalankan ujian penembusan kerana mereka dilatih untuk menggunakan semua cara dan teknik untuk membongkar mungkin celah dalam sebuah aplikasi rangkaian atau web.
Sentiasa menandatangani satu perjanjian sebelum melakukan ujian penembusan.