Penetration testing turlari

Pentestingda avval yig’ilgan ma'lumotlar miqdori uning natijalariga katta ta'sir ko'rsatishi mumkin. Pen testing uslubi odatda oq quti, qora quti yoki kulrang qutiga kirish testi sifatida aniqlanadi.

Tizim xaqida pentesterga berilgan ma’lumot bo’yicha farqlanadi:

ma’lumot yo’q oz miqdorda to’liq ma’lumot

Qora quti sinovi(Black-box testing)

Pen testingning ushbu turida penetratsion tester maqsadli tizim haqida ichki ma'lumotga ega bo'lmagan holda o'rtacha xaker roliga joylashtiriladi. Sinovchilarga hech qanday arxitektura diagrammasi yoki ommaga ochiq bo'lmagan manba kodi taqdim etilmaydi. Qora qutiga kirish testi tarmoqdan tashqarida foydalanish mumkin bo'lgan tizimdagi zaifliklarni aniqlaydi.

Bu shuni anglatadiki, qora qutiga kirish testi maqsadli tarmoq ichidagi hozirda ishlayotgan dasturlar va tizimlarning dinamik tahliliga tayanadi. Qora qutining penetratsiyasini tekshiruvchisi avtomatlashtirilgan skanerlash vositalari va qo'lda kirish testi uchun metodologiyalar bilan tanish bo'lishi kerak. Qora qutining penetratsiyasini tekshiruvchilar, shuningdek, kuzatuvlari asosida maqsadli tarmoqning o'z xaritalarini yaratishga qodir bo'lishi kerak, chunki ularga bunday diagramma berilmagan.

Pen testerga berilgan cheklangan bilim qora qutiga kirish testlarini eng tez bajarishga imkon beradi, chunki topshiriqning davomiyligi ko'p jihatdan testerning maqsadning tashqi ko'rinishdagi xizmatlaridagi zaifliklarni aniqlash va ulardan foydalanish qobiliyatiga bog'liq. Ushbu yondashuvning asosiy salbiy tomoni shundaki, agar testerlar tizimni buzolmasa, ichki xizmatlarning zaif tomonlari aniqlanmagan va tuzatilmagan bo'lib qoladi.