Arten von Penetrationstests

Die Art der Penetrationstests hängt normalerweise vom Umfang und den organisatorischen Wünschen und Anforderungen ab. In diesem Kapitel werden verschiedene Arten von Penetrationstests erläutert. Es ist auch bekannt alsPen Testing.

Arten von Pen-Tests

Im Folgenden sind die wichtigsten Arten von Stifttests aufgeführt:

  • Black-Box-Penetrationstests
  • White-Box-Penetrationstests
  • Gray Box Penetrationstests

Lassen Sie uns zum besseren Verständnis jeden einzelnen im Detail besprechen -

Black-Box-Penetrationstests

Beim Black-Box-Penetrationstest hat der Tester keine Ahnung, welche Systeme er testen wird. Er ist daran interessiert, Informationen über das Zielnetzwerk oder -system zu sammeln. Beispielsweise weiß ein Tester bei diesen Tests nur, was das erwartete Ergebnis sein soll, und er weiß nicht, wie die Ergebnisse ankommen. Er prüft keine Programmiercodes.

Vorteile von Black-Box-Penetrationstests

Es hat folgende Vorteile:

  • Der Tester muss nicht unbedingt ein Experte sein, da er keine spezifischen Sprachkenntnisse erfordert

  • Der Tester überprüft Widersprüche im tatsächlichen System und in den Spezifikationen

  • Der Test wird im Allgemeinen mit der Perspektive eines Benutzers durchgeführt, nicht des Designers

Nachteile von Black-Box-Penetrationstests

Seine Nachteile sind -

  • Insbesondere sind solche Testfälle schwer zu entwerfen.

  • Möglicherweise lohnt es sich nicht, falls der Designer bereits einen Testfall durchgeführt hat.

  • Es führt nicht alles.

White-Box-Penetrationstests

Dies ist ein umfassender Test, da dem Tester eine ganze Reihe von Informationen über die Systeme und / oder das Netzwerk wie Schema, Quellcode, Betriebssystemdetails, IP-Adresse usw. zur Verfügung gestellt wurden. Dies wird normalerweise als Simulation eines Angriffs durch einen angesehen interne Quelle. Es ist auch als Struktur-, Glasbox-, Clearbox- und Open-Box-Test bekannt.

White-Box-Penetrationstests untersuchen die Codeabdeckung und führen Datenflusstests, Pfadtests, Schleifentests usw. durch.

Vorteile von White-Box-Penetrationstests

Es bietet folgende Vorteile:

  • Es stellt sicher, dass alle unabhängigen Pfade eines Moduls ausgeübt wurden.

  • Es stellt sicher, dass alle logischen Entscheidungen zusammen mit ihrem wahren und falschen Wert überprüft wurden.

  • Es erkennt die Tippfehler und führt eine Syntaxprüfung durch.

  • Es werden die Entwurfsfehler gefunden, die möglicherweise aufgrund des Unterschieds zwischen dem logischen Ablauf des Programms und der tatsächlichen Ausführung aufgetreten sind.

Gray Box Penetrationstests

Bei dieser Art von Tests liefert ein Tester normalerweise teilweise oder begrenzte Informationen über die internen Details des Programms eines Systems. Dies kann als Angriff eines externen Hackers angesehen werden, der unrechtmäßigen Zugriff auf die Netzwerkinfrastrukturdokumente eines Unternehmens erhalten hat.

Vorteile von Gray-Box-Penetrationstests

Es hat folgende Vorteile:

  • Da der Tester keinen Zugriff auf den Quellcode benötigt, ist er nicht aufdringlich und unvoreingenommen

  • Da es einen deutlichen Unterschied zwischen einem Entwickler und einem Tester gibt, besteht das geringste Risiko für persönliche Konflikte

  • Sie müssen keine internen Informationen zu den Programmfunktionen und anderen Vorgängen bereitstellen

Bereiche von Penetrationstests

Penetrationstests werden normalerweise in den folgenden drei Bereichen durchgeführt:

  • Network Penetration Testing- Bei diesen Tests muss die physische Struktur eines Systems getestet werden, um die Sicherheitsanfälligkeit und das Risiko zu ermitteln, die die Sicherheit in einem Netzwerk gewährleisten. In der Netzwerkumgebung erkennt ein Tester Sicherheitslücken beim Entwurf, der Implementierung oder dem Betrieb des Netzwerks des jeweiligen Unternehmens / der jeweiligen Organisation. Die Geräte, die von einem Tester getestet werden, können Computer, Modems oder sogar RAS-Geräte usw. Sein

  • Application Penetration Testing- Bei diesem Test muss die logische Struktur des Systems getestet werden. Es handelt sich um eine Angriffssimulation, mit der die Effizienz der Sicherheitskontrollen einer Anwendung durch Identifizieren von Schwachstellen und Risiken sichtbar gemacht werden soll. Die Firewall und andere Überwachungssysteme werden zum Schutz des Sicherheitssystems verwendet. Manchmal sind jedoch gezielte Tests erforderlich, insbesondere wenn Datenverkehr durch die Firewall geleitet werden darf.

  • The response or workflow of the system- Dies ist der dritte Bereich, der getestet werden muss. Social Engineering sammelt Informationen zur menschlichen Interaktion, um Informationen über eine Organisation und ihre Computer zu erhalten. Es ist vorteilhaft, die Fähigkeit der jeweiligen Organisation zu testen, den unbefugten Zugriff auf ihre Informationssysteme zu verhindern. Ebenso ist dieser Test ausschließlich für den Workflow der Organisation / Firma konzipiert.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved