- Pen testingni amalga oshirish jarayoni umumiy 5 ta bosqichga bo’linadi.
Planning and reconnaissance(razvedka qilish) - Sinovning ko'lami va maqsadlarini, shu jumladan ko'rib chiqilishi kerak bo'lgan tizimlar va qo'llaniladigan test usullarini aniqlash.
- Pen testing o’tkazilishi kerak bo’lgan tizim qanday ishlashini va uning potentsial zaifliklarini yaxshiroq tushunish uchun razvedka ma'lumotlarini yig'ish (masalan, tarmoq va domen nomlari, pochta serveri).
Scanning - Keyingi qadam, maqsadli dastur turli xil bosqinchilik urinishlariga qanday javob berishini tushunishdir. Bu odatda quyidagilar yordamida amalga oshiriladi:
- Statik tahlil - dasturning ishlayotganda qanday harakat qilishini baholash uchun uning kodini tekshirish. Ushbu vositalar bir martalik kodni to'liq skanerlashi mumkin.
- Dinamik tahlil - ishlayotgan holatda dastur kodini tekshirish. Bu skanerlashning yanada amaliy usuli, chunki u real vaqt rejimida dasturning ishlashini ko'rish imkonini beradi.
Gaining Access (Tizimga kirish) - Ushbu bosqich tekshirilayotgan tizimni zaif tomonlarini ochish uchun cross-site scripting, SQL injection and backdoors kabi veb-ilova hujumlaridan foydalanadi. Keyin pen testerlar ushbu zaifliklardan foydalanishga harakat qiladilar, odatda tizimga kirish imkoniyatlarini oshirish, ma'lumotlarni o'g'irlash, trafikni ushlab turish va hokazolar, ular olib kelishi mumkin bo'lgan zararni tushunish uchundir.
Maintaining access(Doimiy tizimga kirishni saqlash) - Ushbu bosqichning maqsadi zaiflikdan ekspluatatsiya qilinayotgan tizimda doimiy mavjudligiga erishish uchun foydalanish mumkinligini ko'rishdir.
- Ushbu boshqichda tashkilotning eng nozik ma'lumotlarini o'g'irlash uchun ko'pincha oylar davomida tizimda qoladigan ilg'or doimiy tahdidlarga taqlid qilishdir.
Do'stlaringiz bilan baham: |
