Pengujian Penetrasi Python - Pendahuluan

Uji pena atau pengujian penetrasi, dapat didefinisikan sebagai upaya untuk mengevaluasi keamanan infrastruktur TI dengan mensimulasikan serangan dunia maya terhadap sistem komputer untuk mengeksploitasi kerentanan.

Apa perbedaan antara pemindaian kerentanan dan pengujian penetrasi? Pemindaian kerentanan hanya mengidentifikasi kerentanan yang tercatat dan pengujian penetrasi, seperti yang dikatakan sebelumnya, merupakan upaya untuk mengeksploitasi kerentanan. Pengujian penetrasi membantu untuk menentukan apakah akses tidak sah atau aktivitas berbahaya lainnya dimungkinkan dalam sistem.

Kami dapat melakukan pengujian penetrasi untuk server, aplikasi web, jaringan nirkabel, perangkat seluler, dan titik pemaparan potensial lainnya menggunakan teknologi manual atau otomatis. Karena pengujian penetrasi, jika kita mengeksploitasi segala jenis kerentanan, hal yang sama harus diteruskan ke TI dan manajer sistem jaringan untuk mencapai kesimpulan strategis.

Signifikansi Pengujian Penetrasi (pen)

Pada bagian ini, kita akan belajar tentang pentingnya pengujian penetrasi. Pertimbangkan poin-poin berikut untuk mengetahui tentang signifikansi -

Keamanan organisasi

Signifikansi pengujian penetrasi dapat dipahami dari titik yang memberikan jaminan kepada organisasi dengan penilaian rinci keamanan organisasi itu.

Melindungi kerahasiaan organisasi

Dengan bantuan pengujian penetrasi, kami dapat melihat potensi ancaman sebelum menghadapi kerusakan dan melindungi kerahasiaan organisasi tersebut.

Penerapan kebijakan keamanan

Pengujian penetrasi dapat memastikan kita mengenai implementasi kebijakan keamanan dalam suatu organisasi.

Mengelola efisiensi jaringan

Dengan bantuan pengujian penetrasi, efisiensi jaringan dapat dikelola. Itu dapat memeriksa keamanan perangkat seperti firewall, router, dll.

Pastikan keamanan organisasi

Misalkan jika kita ingin menerapkan perubahan dalam desain jaringan atau memperbarui perangkat lunak, perangkat keras, dll., Pengujian penetrasi memastikan keamanan organisasi dari segala jenis kerentanan.

Siapa penguji pena yang baik?

Penguji penetrasi adalah profesional perangkat lunak yang membantu organisasi memperkuat pertahanan mereka terhadap serangan dunia maya dengan mengidentifikasi kerentanan. Penguji penetrasi dapat menggunakan teknik manual atau alat otomatis untuk pengujian.

Sekarang mari kita pertimbangkan karakteristik penting berikut dari penguji penetrasi yang baik -

Pengetahuan tentang jaringan dan pengembangan aplikasi

Seorang pentester yang baik harus memiliki pengetahuan tentang pengembangan aplikasi, administrasi database, dan jaringan karena ia diharapkan dapat menangani pengaturan konfigurasi serta pengkodean.

Pemikir yang luar biasa

Pentester harus menjadi pemikir yang luar biasa dan tidak akan ragu untuk menerapkan alat dan metodologi yang berbeda pada tugas tertentu untuk mendapatkan hasil terbaik.

Pengetahuan tentang prosedur

Pentester yang baik harus memiliki pengetahuan untuk menetapkan ruang lingkup untuk setiap uji penetrasi seperti tujuannya, batasan dan pembenaran prosedur.

Teknologi terkini

Seorang pentester harus up-to-date dalam keterampilan teknologinya karena bisa ada perubahan teknologi kapan saja.

Terampil dalam pembuatan laporan

Setelah berhasil menerapkan pengujian penetrasi, penguji pena harus menyebutkan semua temuan dan potensi risiko dalam laporan akhir. Oleh karena itu, ia harus memiliki keterampilan yang baik dalam membuat laporan.

Bergairah tentang keamanan cyber

Orang yang bersemangat bisa mencapai kesuksesan dalam hidup. Demikian pula, jika seseorang sangat tertarik dengan sekuritas dunia maya maka dia bisa menjadi penguji pena yang baik.

Ruang Lingkup Pengujian Penetrasi

Sekarang kita akan belajar tentang ruang lingkup pengujian penetrasi. Dua jenis pengujian berikut dapat menentukan ruang lingkup pengujian penetrasi -

Pengujian tak rusak (NDT)

Pengujian non-destruktif tidak menempatkan sistem pada risiko apa pun. NDT digunakan untuk menemukan cacat, sebelum menjadi berbahaya, tanpa merusak sistem, objek, dll. Saat melakukan pengujian penetrasi, NDT melakukan tindakan berikut -

Pemindaian sistem jarak jauh

Tes ini memindai dan mengidentifikasi sistem jarak jauh untuk kemungkinan kerentanan.

Verifikasi

Setelah menemukan kerentanan, ia juga melakukan verifikasi semua yang ditemukan.

Pemanfaatan yang tepat dari sistem jarak jauh

Di NDT, penguji pena akan memanfaatkan sistem jarak jauh dengan benar. Ini membantu dalam menghindari interupsi.

Note - Di sisi lain, saat melakukan pengujian penetrasi, NDT tidak berfungsi Denial-of-Service (DoS) attack.

Pengujian yang merusak

Pengujian yang merusak dapat membahayakan sistem. Ini lebih mahal dan membutuhkan lebih banyak keterampilan daripada pengujian nondestruktif. Saat melakukan pengujian penetrasi, pengujian destruktif melakukan tindakan berikut -

  • Denial-of-Service (DoS) attack - Pengujian yang merusak melakukan serangan DoS.

  • Buffer overflow attack - Ini juga melakukan serangan buffer overflow yang dapat menyebabkan crash sistem.

Apa yang harus dipasang untuk pengujian penetrasi latihan?

Alat & teknik pengujian penetrasi hanya boleh dijalankan di lingkungan yang Anda miliki atau memiliki izin untuk menjalankan alat ini. Kita tidak boleh mempraktikkan teknik ini di lingkungan di mana, kita tidak diizinkan melakukannya karena pengujian penetrasi tanpa izin adalah ilegal.

  • Kami dapat mempraktikkan pengujian penetrasi dengan menginstal suite virtualisasi - baik VMware Player( www.vmware.com/products/player ) atauOracle VirtualBox -

    www.oracle.com/technetwork/server-storage/virtualbox/downloads/index.html

  • Kami juga dapat membuat Mesin Virtual (VM) dari versi saat ini -

    • Kali Linux ( www.kali.org/downloads/ )

    • Kerangka Pengujian Web Samurai (http://samurai.inguardians.com/)

    • Metasploitable ( www.offensivesecurity.com/metasploit-unleashed/Requirements )