पायथन पेनेट्रेशन टेस्टिंग - परिचय

पेन परीक्षण या पैठ परीक्षण, कमजोरियों का दोहन करने के लिए कंप्यूटर प्रणाली के खिलाफ साइबर हमले का अनुकरण करके आईटी बुनियादी ढांचे की सुरक्षा का मूल्यांकन करने के प्रयास के रूप में परिभाषित किया जा सकता है।

भेद्यता स्कैनिंग और पैठ परीक्षण के बीच अंतर क्या है? भेद्यता स्कैनिंग केवल उल्लेख की कमजोरियों और पैठ परीक्षण की पहचान करती है, जैसा कि पहले बताया गया है, कमजोरियों का फायदा उठाने का प्रयास है। पेनेट्रेशन परीक्षण यह निर्धारित करने में मदद करता है कि सिस्टम में अनधिकृत पहुंच या कोई अन्य दुर्भावनापूर्ण गतिविधि संभव है या नहीं।

हम सर्वर, वेब एप्लिकेशन, वायरलेस नेटवर्क, मोबाइल डिवाइस और मैन्युअल या स्वचालित तकनीकों का उपयोग करके किसी भी अन्य संभावित बिंदु के लिए पैठ परीक्षण कर सकते हैं। पैठ परीक्षण के कारण, यदि हम किसी भी प्रकार की कमजोरियों का फायदा उठाते हैं, तो रणनीतिक निष्कर्ष तक पहुंचने के लिए आईटी और नेटवर्क सिस्टम प्रबंधक को भेजा जाना चाहिए।

पेनिट्रेशन (पेन) परीक्षण का महत्व

इस खंड में, हम पैठ परीक्षण के महत्व के बारे में जानेंगे। महत्व के बारे में जानने के लिए निम्नलिखित बिंदुओं पर विचार करें -

संगठन की सुरक्षा

पैठ परीक्षण के महत्व को इस बात से समझा जा सकता है कि यह संगठन को उस संगठन की सुरक्षा का विस्तृत मूल्यांकन करने का आश्वासन देता है।

संगठन की गोपनीयता की रक्षा करना

पैठ परीक्षण की मदद से, हम किसी भी क्षति का सामना करने से पहले संभावित खतरों को पहचान सकते हैं और उस संगठन की गोपनीयता की रक्षा कर सकते हैं।

सुरक्षा नीतियों का कार्यान्वयन

एक संगठन में सुरक्षा नीति के कार्यान्वयन के संबंध में प्रवेश परीक्षण हमें सुनिश्चित कर सकता है।

नेटवर्क दक्षता का प्रबंधन

पैठ परीक्षण की सहायता से, नेटवर्क की दक्षता को प्रबंधित किया जा सकता है। यह फायरवॉल, राउटर आदि जैसे उपकरणों की सुरक्षा की जांच कर सकता है।

संगठन की सुरक्षा सुनिश्चित करें

मान लीजिए अगर हम नेटवर्क डिज़ाइन में किसी बदलाव को लागू करना चाहते हैं या सॉफ़्टवेयर, हार्डवेयर आदि को अपडेट करना चाहते हैं, तो पैठ परीक्षण किसी भी तरह की भेद्यता के खिलाफ संगठन की सुरक्षा सुनिश्चित करता है।

एक अच्छा कलम परीक्षक कौन है?

पेनेट्रेशन परीक्षक सॉफ्टवेयर पेशेवर हैं जो संगठनों को कमजोरियों की पहचान करके साइबर हमलों के खिलाफ अपने बचाव को मजबूत करने में मदद करते हैं। एक पैठ परीक्षक परीक्षण के लिए मैनुअल तकनीकों या स्वचालित उपकरणों का उपयोग कर सकता है।

आइए अब एक अच्छे प्रवेश परीक्षक की निम्नलिखित महत्वपूर्ण विशेषताओं पर विचार करें -

नेटवर्किंग और अनुप्रयोग विकास का ज्ञान

एक अच्छे पेंटर को एप्लिकेशन डेवलपमेंट, डेटाबेस एडमिनिस्ट्रेशन और नेटवर्किंग का ज्ञान होना चाहिए क्योंकि उसे कॉन्फ़िगरेशन सेटिंग्स के साथ-साथ कोडिंग से निपटने की उम्मीद होगी।

उत्कृष्ट विचारक

पेंटेस्टर एक उत्कृष्ट विचारक होना चाहिए और सबसे अच्छा आउटपुट प्राप्त करने के लिए किसी विशेष असाइनमेंट पर विभिन्न टूल और कार्यप्रणाली को लागू करने में संकोच नहीं करेगा।

प्रक्रिया का ज्ञान

एक अच्छे पेंटर के पास प्रत्येक प्रवेश परीक्षा जैसे कि उसके उद्देश्यों, सीमाओं और प्रक्रियाओं के औचित्य के लिए गुंजाइश स्थापित करने के लिए ज्ञान होना चाहिए।

प्रौद्योगिकी में अप-टू-डेट

एक पंचक को अपने तकनीकी कौशल में अप-टू-डेट होना चाहिए क्योंकि कभी भी प्रौद्योगिकी में कोई परिवर्तन हो सकता है।

रिपोर्ट बनाने में निपुण

पैठ परीक्षण को सफलतापूर्वक लागू करने के बाद, एक कलम परीक्षक को अंतिम रिपोर्ट में सभी निष्कर्षों और संभावित जोखिमों का उल्लेख करना चाहिए। इसलिए, उसके पास रिपोर्ट बनाने का अच्छा कौशल होना चाहिए।

साइबर सुरक्षा के बारे में भावुक

भावुक व्यक्ति ही जीवन में सफलता प्राप्त कर सकता है। इसी तरह, यदि कोई व्यक्ति साइबर सिक्योरिटीज का शौक रखता है तो वह एक अच्छा पेन टेस्टर बन सकता है।

पेनेट्रेशन टेस्टिंग स्कोप

अब हम पैठ परीक्षण के दायरे के बारे में जानेंगे। निम्नलिखित दो प्रकार के परीक्षण पैठ परीक्षण के दायरे को परिभाषित कर सकते हैं -

Nondestructive परीक्षण (NDT)

नोंडेस्ट्रक्टिव परीक्षण किसी भी तरह के जोखिम में सिस्टम को नहीं डालता है। एनडीटी का उपयोग दोषों को खोजने के लिए किया जाता है, इससे पहले कि वे खतरनाक हो जाएं, सिस्टम, ऑब्जेक्ट आदि को नुकसान पहुंचाए बिना, प्रवेश परीक्षण करते समय, एनडीटी निम्नलिखित क्रियाएं करता है -

रिमोट सिस्टम की स्कैनिंग

यह परीक्षण स्कैन करता है और संभावित कमजोरियों के लिए दूरस्थ प्रणाली की पहचान करता है।

सत्यापन

कमजोरियों को खोजने के बाद, यह उन सभी का सत्यापन भी करता है जो पाए जाते हैं।

रिमोट सिस्टम का उचित उपयोग

NDT में, एक पेन परीक्षक रिमोट सिस्टम को ठीक से उपयोग करेगा। यह रुकावटों से बचने में मदद करता है।

Note - दूसरी तरफ, पैठ परीक्षण करते समय, NDT प्रदर्शन नहीं करता है Denial-of-Service (DoS) attack

विनाशकारी परीक्षण

विनाशकारी परीक्षण प्रणाली को जोखिम में डाल सकता है। यह अधिक महंगा है और nondestructive परीक्षण की तुलना में अधिक कौशल की आवश्यकता है। प्रवेश परीक्षण करते समय, विनाशकारी परीक्षण निम्नलिखित क्रियाएं करता है -

  • Denial-of-Service (DoS) attack - विनाशकारी परीक्षण DoS हमले करता है।

  • Buffer overflow attack - यह बफर ओवरफ्लो अटैक भी करता है जिससे सिस्टम क्रैश हो सकता है।

अभ्यास प्रवेश परीक्षण के लिए क्या स्थापित करें?

पैठ परीक्षण तकनीकों और उपकरणों को केवल उन वातावरणों में निष्पादित किया जाना चाहिए जिनके आप स्वामी हैं या इन उपकरणों को चलाने की अनुमति है। हमें इन तकनीकों का उन वातावरणों में कभी अभ्यास नहीं करना चाहिए जिनमें, हम ऐसा करने के लिए अधिकृत नहीं हैं क्योंकि बिना अनुमति के प्रवेश परीक्षण अवैध है।

  • हम वर्चुअलाइजेशन सूट स्थापित करके पैठ परीक्षण का अभ्यास कर सकते हैं - या तो VMware Player( www.vmware.com/products/player ) याOracle VirtualBox -

    www.oracle.com/technetwork/server-storage/virtualbox/downloads/index.html

  • हम वर्चुअल मशीन (VM) को वर्तमान संस्करण से बाहर भी बना सकते हैं -

    • काली लिनक्स ( www.kali.org/downloads/ )

    • समुराई वेब परीक्षण रूपरेखा (http://samurai.inguardians.com/)

    • Metasploitable ( www.offensivesecurity.com/metasploit-unleashed/Requirements )