侵入テスト
ネットワークペネトレーションテストやセキュリティテストは、企業のシステム強化、Webサイトや業務システムのセキュリティ評価・テスト、セキュリティ上の脆弱性の有無の確認などを行うテストエンジニアに必要なスキルの一つです。 Web サイトまたは APP ソフトウェアへの侵入テスト セッション。今日はエディターと一緒にペネトレーションテストを学びましょう!
ペネトレーションテストは、悪意のあるハッカーの攻撃方法をシミュレートすることにより、許可された条件下でターゲットシステムのセキュリティをテストおよび評価するプロセスです。無謀な攻撃やテスト防御ではなく、テストとプロセスに焦点を当てており、一連の科学的プロセスであり、特定のツールやテクニックの使用に限定されません。
侵入テストのプロセス
01 初期のインタラクション
ペネトレーション テスト チームは、顧客組織と事前に対話型のディスカッションを行います。その中で最も重要なのは、ペネトレーション テストの範囲、目標、制約、およびサービス契約の詳細を決定することです。範囲の定義は侵入テストの最も重要な要素の 1 つであり、エンゲージメントの範囲を正確に見積もるためにクライアントが質問に答える必要がある場合には、アンケートの方が適した形式です。
通常、このフェーズには、顧客要件の収集、テスト計画の準備、テスト範囲と境界の定義、ビジネス目標の定義、プロジェクト管理と計画などの活動が含まれます。双方の目標についてクライアントと合意に達した後、正式な委任状が取得されます。
02 情報収集
現在、多くの企業は、パブリックドメインで入手可能な自社と従業員に関する膨大な量の情報を考慮に入れておらず、この情報が悪用される可能性のある脆弱性になる可能性があります。
ペネトレーション テスト チームは、さまざまな情報収集ツールを可能な限り使用して、対象組織のネットワーク トポロジ、システム構成、セキュリティ防御対策に関する詳細情報の取得を試みます。テスターが使用できるインテリジェンス収集方法には、Web サイト WeChat Weibo、電子メール、Google ハッキング、whois クエリ、スキャン検出、ネットワーク監視、ソーシャル ネットワークなどが含まれます。
テスターにとって情報収集能力は非常に重要なスキルであり、十分な情報分析に基づいてのみペネトレーションテストを成功させることができます。情報が多ければ多いほど、脆弱性を発見する可能性は高くなります。もちろん、netdiscover、nmap、appscan、nikto などのスキャンおよび検出ツールの学習に引き続き重点を置く必要があります。
03 脅威モデリング
十分なインテリジェンス情報を収集した後、ペネトレーション テスト チームのメンバーは脅威のモデリングと攻撃計画を実行します。脅威モデリングのプロセスでは、クライアント企業の組織資産を次のように分類してリストする必要があります。
会社の社内方針、事業計画、ロードマップ
会社の製品情報とソースコード
会社の財務情報 (銀行口座、信用口座、株式口座など)
インフラストラクチャ情報、システム構成情報、ユーザー アカウント認証情報、従業員データ、顧客データなどの企業の技術情報これらのビジネス資産が特定され、さまざまな資産の価値が分析されると、正確な脅威モデルが確立され、慎重に開発されます。チームのブレインストーミングを通じて、大量の情報とインテリジェンスからインテリジェンス分析と侵入アイデアを整理し、最も実現可能な侵入チャネルを決定できます。
04 脆弱性分析
この段階では、高レベルのペネトレーション テスト チームが、攻撃チャネル上の一部の主要なシステムおよびサービスのセキュリティ脆弱性の検出とマイニングも実施し、悪用される可能性のある未知のセキュリティ脆弱性を発見し、攻撃チャネルを開くためのペネトレーション コードを開発することを期待しています。クリティカル パスでは、一般的な脆弱性検索 Web サイトとして、exploit-db.com および github.com が含まれます。
05 貫通攻撃
侵入攻撃は、侵入テスト プロセスの中で最も魅力的で正確な部分です。このリンクでは、侵入テスト チームは、特定されたセキュリティの脆弱性を使用して、実際にシステムに侵入し、アクセス制御を取得する必要があります。侵入攻撃では、公開されている侵入コードを利用する可能性があります。
06 侵入後攻撃
ペネトレーション後の攻撃は、ペネトレーション テスト チームの職業倫理と技術的能力を最もよく反映するリンクです。
このステップでは、顧客の許可を得て、ペネトレーション テスト チームが権限昇格を実行し、将来の使用に備えてマシンの制御を維持します。同時に、顧客の日常業務とデータがリスクにさらされないように、ルールを顧客と合意する必要があります。
07 フォームレポート
ペネトレーションテストのプロセスは最終的にクライアントに提出され、認識されて契約金の支払いに成功したものがペネトレーションテストレポートとなります。
このレポートには、これまでのすべての段階でペネトレーション テスト チームが取得した重要なインテリジェンス情報、検出および発見されたシステム セキュリティの脆弱性、ペネトレーション攻撃の成功プロセス、ペネトレーション プロセスで使用されたコード、ビジネスに影響を与えた攻撃の内容が凝縮されています。アプローチと同時に、防御側の観点から、セキュリティ防御システムの脆弱性、既存の問題、および修復とアップグレードのための技術的解決策の分析を支援します。
最後に:以下の完全なソフトウェア テスト ビデオ チュートリアルが編集され、アップロードされています。必要な友人は自分で入手できます[100% 無料保証]
ソフトウェアテスト面接文書
私たちは高給の仕事を見つけるために勉強しなければなりません。以下の面接の質問は、アリババ、テンセント、バイトなどの一流インターネット企業の最新の面接資料からのものであり、バイトの上司の中には権威ある回答をしている人もいます。 set 面接情報に基づいて、誰もが満足のいく仕事を見つけることができると思います。
