ペネトレーションテストの種類

ペネトレーションテストの種類は、通常、範囲と組織の要望や要件によって異なります。この章では、さまざまな種類の侵入テストについて説明します。としても知られていますPen Testing

ペネトレーションテストの種類

以下は、ペンテストの重要なタイプです-

  • ブラックボックス侵入テスト
  • ホワイトボックス侵入テスト
  • グレーボックス侵入テスト

理解を深めるために、それぞれについて詳しく説明しましょう。

ブラックボックス侵入テスト

ブラックボックス侵入テストでは、テスターは自分がテストしようとしているシステムについて何も知りません。彼は、ターゲットネットワークまたはシステムに関する情報を収集することに関心があります。たとえば、このテストでは、テスターは期待される結果がどうあるべきかを知っているだけで、結果がどのように到着するかを知りません。彼はプログラミングコードを調べません。

ブラックボックス侵入テストの利点

以下の利点があります-

  • テスターは特定の言語知識を必要としないため、必ずしも専門家である必要はありません。

  • テスターは、実際のシステムと仕様の矛盾を検証します

  • テストは通常​​、設計者ではなくユーザーの視点で実施されます

ブラックボックス侵入テストのデメリット

その欠点は次のとおりです。

  • 特に、これらの種類のテストケースは設計が困難です。

  • おそらく、設計者がすでにテストケースを実施している場合、それは価値がありません。

  • すべてを行うわけではありません。

ホワイトボックス侵入テスト

テスターに​​は、スキーマ、ソースコード、OSの詳細、IPアドレスなど、システムやネットワークに関するあらゆる情報が提供されているため、これは包括的なテストです。通常、テスターに​​よる攻撃のシミュレーションと見なされます。内部ソース。これは、構造、ガラスボックス、クリアボックス、およびオープンボックステストとも呼ばれます。

ホワイトボックス侵入テストは、コードカバレッジを調べ、データフローテスト、パステスト、ループテストなどを実行します。

ホワイトボックス侵入テストの利点

以下の利点があります-

  • これにより、モジュールのすべての独立したパスが実行されたことが保証されます。

  • これにより、すべての論理的決定が真と偽の値とともに検証されていることが保証されます。

  • 誤植を発見し、構文チェックを行います。

  • プログラムの論理フローと実際の実行の違いが原因で発生した可能性のある設計エラーを検出します。

グレーボックス侵入テスト

このタイプのテストでは、テスターは通常、システムのプログラムの内部詳細に関する部分的または限定的な情報を提供します。これは、組織のネットワークインフラストラクチャドキュメントへの不正アクセスを取得した外部ハッカーによる攻撃と見なすことができます。

グレーボックス侵入テストの利点

以下の利点があります-

  • テスターはソースコードへのアクセスを必要としないため、邪魔にならず、偏りがありません。

  • 開発者とテスターの間に明確な違いがあるため、個人的な競合のリスクが最も少なくなります

  • プログラムの機能やその他の操作に関する内部情報を提供する必要はありません。

ペネトレーションテストの分野

ペネトレーションテストは通常​​、次の3つの領域で行われます。

  • Network Penetration Testing−このテストでは、システムの物理構造をテストして、ネットワークのセキュリティを確保する脆弱性とリスクを特定する必要があります。ネットワーク環境では、テスターは、それぞれの会社/組織のネットワークの設計、実装、または運用におけるセキュリティ上の欠陥を特定します。テスターに​​よってテストされるデバイスは、コンピューター、モデム、さらにはリモートアクセスデバイスなどです。

  • Application Penetration Testing−このテストでは、システムの論理構造をテストする必要があります。これは、脆弱性とリスクを特定することにより、アプリケーションのセキュリティ制御の効率を明らかにするように設計された攻撃シミュレーションです。ファイアウォールやその他の監視システムはセキュリティシステムを保護するために使用されますが、特にトラフィックがファイアウォールを通過できる場合は、集中的なテストが必要になることがあります。

  • The response or workflow of the system−これはテストが必要な3番目の領域です。ソーシャルエンジニアリングは、人間の相互作用に関する情報を収集して、組織とそのコンピューターに関する情報を取得します。情報システムへの不正アクセスを防ぐために、それぞれの組織の能力をテストすることは有益です。同様に、このテストは、組織/会社のワークフロー専用に設計されています。