vulnerability assessment
Ispitivanje penetracije protiv skeniranja ranjivosti:
Ponekad sam vidio da testeri i vlasnici tvrtki pogriješe shvaćajući osnovnu ideju testa prodora i skeniranja ranjivosti.
Oboje su često zbunjeni kao iste usluge. Kada poduzeće ne može odlučiti hoće li ići na test penetracije ili test ranjivosti. Je li ispitivanje penetracije isto što i testiranje ranjivosti ili se razlikuju? Ako su različiti, jesu li povezani? Koju odabrati - Test penetracije ili test ranjivosti ?
Pokušat ćemo pronaći odgovore na sva gore navedena pitanja u ovom vodiču.
Što ćete naučiti:
- Uvod
- Uvod u ispitivanje penetracije
- Uvod u skeniranje ranjivosti
- Ispitivanje penetracije protiv skeniranja ranjivosti
- Jesu li skeniranje i ispitivanje ranjivosti međusobno povezani?
- Koji odabrati - test olovke ili skeniranje ranjivosti?
- Najpopularniji alati
- Zaključak
- Preporučena literatura
Uvod
Za početak bih volio da pročitate pet rečenica:
- Banane rastu na drvetu.
- Normalno ljudsko biće koristi samo 10% svog mozga.
- Pucanje zglobova zglobova uzrokuje artritis u starijoj dobi.
- Šišmiši su slijepi.
- Testiranje prodiranja je isto kao i ispitivanje ranjivosti.
Možete li pogoditi jednu zajedničku stvar među svim gore navedenim izjavama? Svi su oni Mitovi. Da, tako je. Svi su oni doista mitovi.
Međutim, u ovom našem tutorijalu ne smetaju nam ni banane ni šišmiši. Važno nam je samo da se testiranje penetracije usporedi sa skeniranjem ranjivosti. Da bismo saznali više o usporedbi ili dokazali da je izjava mit, prvo ćemo odvojeno analizirati testiranje penetracije i skeniranje ranjivosti.
Uvod u ispitivanje penetracije
Test prodiranja ukratko je poznat i kao 'Test olovke'. Ova vrsta ispitivanja provodi se na sustavu kako bi se pronašao put u sustav. To može važne podatke koje sustav pohranjuje izložiti vanjskom svijetu.
Općenito, cilj ispitivanja penetracije može biti Tip bijele kutije ili tip crne kutije .
Ispitivanje prodora crne kutije:
Uobičajeno, ispitivaču nisu dostavljeni nikakvi detalji o sustavu, osim imena. Ovo je vrlo slično hakiranju iz stvarnog života gdje haker nije svjestan ničega drugog osim imena aplikacije.
Testiranje crne kutije replicira stvarne uvjete i nije dugotrajno. Međutim, zbog nepoznatih područja povezanih s izvornim kodom i infrastrukturom, uvijek postoji mogućnost propusta dijelova sustava.
Ispitivanje prodora bijele kutije:
U ovom se postupku ispitivaču dostavljaju svi potrebni podaci koji se odnose na sustav koji mora proći ispitivanje penetracije.
Podaci mogu biti mrežna arhitektura, konfiguracije sustava, izvorni kodovi itd. To je duži postupak od postupka testiranja olovke tipa Black Box. Ovo je temeljit postupak i ima dublju pokrivenost u usporedbi s tipom Black box.
Testiranje olovkom uvijek se izvodi uz dopuštenje / zahtjev klijenta. Izvođenje testiranja olovkom na web mjestu bez pristanka vlasnika nezakonito je i može se nazvati hakiranjem.
Do sada znamo što je ispitivanje penetracije i vrijeme je da znamo razlog zašto se organizacije odlučuju za njega. Kaže se, bolje biti siguran nego žaliti. Testiranje olovkom čini arhitekturu jačom i otpornijom na napade.
Uvod u skeniranje ranjivosti
Skeniranje ranjivosti koristi se za otkrivanje ranjivosti / slabosti u sustavu. Ovaj se zadatak izvodi pokretanjem aplikacije (koja se naziva skener ranjivosti) na ciljnom računalu. Te se aplikacije ili skeneri mogu izvršiti izravno na ciljnom računalu ili s mrežnog mjesta.
Mrežni položaj dolazi u obzir za veće organizacije, dok skener nije moguće izvršiti cijelo vrijeme na lokalnim računalima.
Sada, Kako znati koji skener može raditi za vašu aplikaciju? Odgovor je prilično jednostavan. Odnosno, skeneri za ranjivost gotovo ne koriste detalje / parametre sustava tijekom skeniranja.
Sve što im treba je IP sustava. Samo s IP-om, skener ranjivosti može otkriti potencijalna mjesta na kojima se može izvršiti napad na sustav.
Postoje situacije u kojima tvrtka ima Intranet i nisu sva računala izložena svijetu interneta. U tom slučaju, skener ranjivosti mora se pokrenuti unutar intraneta pomoću kojeg se može uhvatiti skeniranje kako za unutarnje, tako i za vanjske ranjivosti.
Nakon završetka testa / skeniranja, skener pomaže u dobivanju izvještaja koji prikazuje sve moguće ranjivosti. Generirano izvješće sadrži razne podatke koji se odnose na ranjivosti.
Podaci se kreću od, statistike poslužitelja (na temelju indeksa ranjivosti), statusa različitih usluga na različitim poslužiteljima, statusa ranjivosti pronađenih na temelju njihove ozbiljnosti.
Nakon što se generira izvješće, mora se analizirati kako bi se utvrdilo stvarno stanje. Ne uvijek su otkrivene ranjivosti toliko ozbiljne. Možda postoje slučajevi kada će skener povući naziv samo zato što se očekivani podaci ne podudaraju s izlazom. Ali, to možda ipak nije prava ranjivost.
To je razlog zašto se na izvješću o skeniranju ranjivosti mora izvršiti daljnja analiza kako bi se utvrdilo je li pronađena ranjivost ispravna ili nije.
Ispitivanje penetracije protiv skeniranja ranjivosti
Sada znamo što je postupak testiranja na penetraciju i što je skeniranje ranjivosti.
Sada bi nastavak međusobnog okršaja između ova dva diva bio zabavan.

Primjer:
Ući ćemo u primjer iz stvarnog života kako bismo razumjeli razliku između njih dvoje.
Uzmimo za primjer gospodina X. Gospodin X je specijalist za pljačke. Promatrat ćemo njegov plan za sljedeću pljačku. Planira opljačkati banku prisutnu usred grada.
Zgrada banke okružena je policijskom postajom, vatrogasnom postajom, javnim parkom (koji noću ostaje zatvoren) i ribnjakom. Zgrada banke je zgrada s 20 katova s heliodromom na vrhu. Prije nego što stvarno opljačka banku, mora pronaći moguće točke ulaska u zgradu Banke.
Bokove zgrade koja ima policijsku i vatrogasnu stanicu nemoguće je probiti. Oni rade 24X7 i tko bi se usudio opljačkati banku koristeći Copovu jazbinu kao ulaznu točku! To ostavlja gospodinu X 3 druge mogućnosti. Da, dobro ste shvatili. Također ima krov kao ulaznu točku (Sjećate se Heatha Ledgera iz Batman trilogije?).
Čini se da je Rooftop ovdje čudan izbor jer je zgrada na samo 20 katova, a šanse da vas uhvate ljudi oko vas vrlo su velike. I, Banka je jedina visoka zgrada u tom području. Dakle, to čini ulazak na krov velikim NE! S dvije preostale mogućnosti, gospodin X počinje analizirati Jezero kao ulaznu točku.
Jezero može biti dobar način ulaska, ali vidljivost bi zabrinjavala. Kako bi netko reagirao ako vidi da netko pliva u ponoć, i to prema zgradi Banke? Posljednja opcija je Javni park.
Analizirajmo detaljno park. Za javnost je zatvoren nakon šest sati navečer. Park ima puno drveća što daje potrebnu sjenu i potpore za skriveni način rada. Park ima granični zid koji se dijeli s prostorijama Banke.
Sada se sve gore navedene analize mogu reći kao skeniranje ranjivosti. Sve ove stvari radi skener. Da biste otkrili ranjiv položaj u koji treba ući.
Vratimo se našoj priči, pretpostavimo da gospodin X uspijeva ući u banku kroz ulaznu točku u javni park. Što on dalje radi? Bilo da je provalio u Trezor da bi uzeo gotovinu ili ormariće depozita po dragocjenosti.
Ovaj dio je ispitivanje penetracije. Dobivate pristup i pokušavate iskoristiti sustav. Upoznajete dubinu koju možete proći ovim napadom.
Bilješka: Tijekom pisanja ovog vodiča nijedna banka nije opljačkana. Također, nije uputno ići stopama gospodina X.
Ostavljam vam donju usporednu tablicu kako biste mogli razjasniti razliku između njih dvoje.

Jesu li skeniranje i ispitivanje ranjivosti međusobno povezani?
Da, skeniranje ranjivosti i testiranje penetracije povezani su međusobno. Testiranje penetracije ovisi o skeniranju ranjivosti.
Da bi se pokrenulo testiranje penetracije, provodi se cjelovito skeniranje ranjivosti kako bi ispitivač upoznao sve ranjivosti koje su prisutne u sustavu, a zatim ih iskoristio.
c programiranje pitanja i odgovori na intervjuu pdf
Dakle, skeniranjem ranjivosti upoznajemo moguće ranjivosti, ali ove ranjivosti su do sada neiskorištene. Ispitivanje penetracijom potvrđuje u kojoj je mjeri ranjivost moguće iskoristiti.
Također se međusobno sijeku na određenim točkama kao što je prikazano na donjoj slici:

Koji odabrati - test olovke ili skeniranje ranjivosti?
Shvativši razliku između oboje, sada se postavlja pitanje - koju odabrati?
Pa, cilj skeniranja ranjivosti je otkriti slabosti vašeg sustava i popraviti ih. Dok je cilj ispitivanja penetracije utvrditi može li netko slomiti vaš sustav, a ako da, koja će biti dubina napada i koliko značajnih podataka može dobiti.
Skeniranje ranjivosti i test olovke mogu vam zajedno reći što je u opasnosti i kako se to može popraviti. Cilj je poboljšati ukupnu sigurnost vašeg sustava. Morate birati između njih dvoje, ovisno o kritičnosti vašeg poslovanja. Ako idete na test olovke, to također obuhvaća i skeniranje ranjivosti.
Međutim, test olovke vrlo je skup (oko 4.000 do 20.000 USD) i dugotrajan u usporedbi sa skeniranjem ranjivosti. Razlog tome je što donosi vrlo točne i temeljite rezultate i uklanja lažno pozitivne ranjivosti.
U međuvremenu je skeniranje ranjivosti vrlo brzo i daleko jeftinije (gotovo 100 USD po IP-u godišnje, ovisno o dobavljaču) od testa olovke. Kao organizacija možete mjesečno, tromjesečno ili čak tjedno pregledavati ranjivosti. I odlučite se za test olovke godišnje.
Najpopularniji alati
Neki od najčešće korištenih alata za skeniranje ranjivosti uključuju:
- Nessus
- Nitko
- SVETAC
- OpenVAS itd.
Uobičajeni alati za test olovke uključuju:
- Kvalis
- Utjecaj jezgre
- Metasploit itd.
Olovke za ispitivanje također pišu vlastiti exploit kôd prema zahtjevu.
Zaključak
Iz ovog vodiča shvaćamo da su i test olovke i skeniranje ranjivosti u potpunosti dvije različite aktivnosti koje se izvode kako bi aplikacija bila sigurnija od napada. Po potrebi se mogu koristiti i zajedno.
Test ranjivosti identificira moguće rupe, a Pen test koristi te rupe kako bi otkrio opseg štete / krađe koja se može dogoditi poslovno kritičnim informacijama. Napravljeni su kako bi popravili rupe i izbjegli bilo kakve potencijalne napade i narušavanja sigurnosti informacijskog sustava.
Daljnje čitanje
- Početak rada s ispitivanjem prodiranja u web aplikacije
- 37 najsnažnijih alata za ispitivanje penetracije (alati za ispitivanje sigurnosti)
- Ispitivanje penetracijom - Potpuni vodič s uzorcima ispitnih slučajeva
- 10 najkorisnijih alata za skeniranje procjene ranjivosti
- Kako testirati sigurnost web aplikacija pomoću Acunetix web skenera ranjivosti (WVS) - Praktični pregled
Preporučena literatura
- Najbolji alati za testiranje softvera 2021. (Alati za automatizaciju ispitivanja kvalitete)
- Razlika između testiranja radne površine, klijentskog poslužitelja i web testiranja
- Testiranje mrežne sigurnosti i najbolji alati mrežne sigurnosti
- 19 Snažni alati za ispitivanje prodora koje su profesionalci koristili 2021. godine
- Preuzimanje e-knjige za testiranje primera
- Statičko ispitivanje i dinamičko ispitivanje - razlika između ove dvije važne tehnike ispitivanja
- Ispitivanje performansi vs ispitivanje opterećenja vs testiranje naprezanja (razlika)
- 101 razlike između osnova testiranja softvera