Jenis Pengujian Penetrasi
Jenis pengujian penetrasi biasanya tergantung pada ruang lingkup dan keinginan serta persyaratan organisasi. Bab ini membahas tentang berbagai jenis pengujian Penetrasi. Itu juga dikenal sebagaiPen Testing.
Jenis Pengujian Pena
Berikut adalah jenis penting dari pengujian pena -
- Pengujian Penetrasi Kotak Hitam
- Pengujian Penetrasi Kotak Putih
- Pengujian Penetrasi Kotak Abu-abu
Untuk pemahaman yang lebih baik, mari kita bahas masing-masing secara rinci -
Pengujian Penetrasi Kotak Hitam
Dalam pengujian penetrasi kotak hitam, penguji tidak tahu tentang sistem yang akan dia uji. Dia tertarik untuk mengumpulkan informasi tentang jaringan atau sistem target. Misalnya, dalam pengujian ini, seorang penguji hanya tahu apa yang seharusnya menjadi hasil yang diharapkan dan dia tidak tahu bagaimana hasil itu tiba. Dia tidak memeriksa kode pemrograman apa pun.
Keuntungan Pengujian Penetrasi Kotak Hitam
Ini memiliki keuntungan sebagai berikut -
Penguji tidak perlu menjadi ahli, karena tidak menuntut pengetahuan bahasa tertentu
Penguji memverifikasi kontradiksi dalam sistem aktual dan spesifikasi
Tes umumnya dilakukan dengan perspektif pengguna, bukan desainer
Kekurangan Pengujian Penetrasi Kotak Hitam
Kerugiannya adalah -
Khususnya, kasus uji semacam ini sulit untuk dirancang.
Mungkin tidak layak, jika desainer sudah melakukan test case.
Itu tidak melakukan segalanya.
Pengujian Penetrasi Kotak Putih
Ini adalah pengujian yang komprehensif, karena penguji telah disediakan dengan berbagai informasi tentang sistem dan / atau jaringan seperti Skema, kode Sumber, detail OS, alamat IP, dll. Biasanya dianggap sebagai simulasi serangan oleh sebuah sumber internal. Ini juga dikenal sebagai pengujian struktural, kotak kaca, kotak bening, dan kotak terbuka.
Pengujian penetrasi kotak putih memeriksa cakupan kode dan melakukan pengujian aliran data, pengujian jalur, pengujian loop, dll.
Keuntungan Pengujian Penetrasi Kotak Putih
Ini membawa keuntungan berikut -
Ini memastikan bahwa semua jalur independen dari sebuah modul telah dijalankan.
Ini memastikan bahwa semua keputusan logis telah diverifikasi bersama dengan nilai benar dan salahnya.
Ia menemukan kesalahan ketik dan melakukan pemeriksaan sintaks.
Ia menemukan kesalahan desain yang mungkin terjadi karena perbedaan antara alur logis program dan eksekusi sebenarnya.
Pengujian Penetrasi Kotak Abu-abu
Dalam jenis pengujian ini, penguji biasanya memberikan informasi sebagian atau terbatas tentang detail internal dari program suatu sistem. Ini dapat dianggap sebagai serangan oleh peretas eksternal yang telah memperoleh akses tidak sah ke dokumen infrastruktur jaringan organisasi.
Keuntungan Pengujian Penetrasi Kotak Abu-abu
Ini memiliki keuntungan sebagai berikut -
Karena penguji tidak memerlukan akses kode sumber, itu tidak mengganggu dan tidak bias
Karena ada perbedaan yang jelas antara pengembang dan penguji, maka ada risiko konflik pribadi paling kecil
Anda tidak perlu memberikan informasi internal tentang fungsi program dan operasi lainnya
Bidang Pengujian Penetrasi
Pengujian penetrasi biasanya dilakukan di tiga area berikut -
Network Penetration Testing- Dalam pengujian ini, struktur fisik suatu sistem perlu diuji untuk mengidentifikasi kerentanan dan risiko yang menjamin keamanan dalam suatu jaringan. Dalam lingkungan jaringan, penguji mengidentifikasi kelemahan keamanan dalam desain, implementasi, atau operasi jaringan perusahaan / organisasi masing-masing. Perangkat yang diuji oleh penguji dapat berupa komputer, modem, atau bahkan perangkat akses jarak jauh, dll
Application Penetration Testing- Dalam pengujian ini, struktur logis dari sistem perlu diuji. Ini adalah simulasi serangan yang dirancang untuk mengekspos efisiensi kontrol keamanan aplikasi dengan mengidentifikasi kerentanan dan risiko. Firewall dan sistem pemantauan lainnya digunakan untuk melindungi sistem keamanan, tetapi terkadang, perlu pengujian yang terfokus terutama ketika lalu lintas diizinkan untuk melewati firewall.
The response or workflow of the system- Ini adalah area ketiga yang perlu diuji. Rekayasa sosial mengumpulkan informasi tentang interaksi manusia untuk mendapatkan informasi tentang organisasi dan komputernya. Ini bermanfaat untuk menguji kemampuan masing-masing organisasi untuk mencegah akses tidak sah ke sistem informasinya. Demikian juga, tes ini dirancang khusus untuk alur kerja organisasi / perusahaan.