Python 침투 테스트-소개

펜 테스트 또는 침투 테스트는 취약성을 악용하기 위해 컴퓨터 시스템에 대한 사이버 공격을 시뮬레이션하여 IT 인프라의 보안을 평가하려는 시도로 정의 될 수 있습니다.

취약성 스캔과 침투 테스트의 차이점은 무엇입니까? 취약성 스캔은 단순히 알려진 취약성을 식별하고 앞서 말했듯이 침투 테스트는 취약성을 악용하려는 시도입니다. 침투 테스트는 시스템에서 무단 액세스 또는 기타 악의적 인 활동이 가능한지 확인하는 데 도움이됩니다.

수동 또는 자동화 기술을 사용하여 서버, 웹 애플리케이션, 무선 네트워크, 모바일 장치 및 기타 잠재적 인 노출 지점에 대한 침투 테스트를 수행 할 수 있습니다. 침투 테스트로 인해 어떤 종류의 취약점을 악용하는 경우 전략적 결론에 도달하려면 동일한 취약점을 IT 및 네트워크 시스템 관리자에게 전달해야합니다.

침투 (펜) 테스트의 중요성

이 섹션에서는 침투 테스트의 중요성에 대해 알아 봅니다. 중요성에 대해 알기 위해 다음 사항을 고려하십시오.

조직의 보안

침투 테스트의 중요성은 조직의 보안에 대한 자세한 평가를 통해 조직에 확신을 제공한다는 점에서 이해할 수 있습니다.

조직의 기밀성 보호

침투 테스트를 통해 피해를 입기 전에 잠재적 인 위협을 발견하고 해당 조직의 기밀을 보호 할 수 있습니다.

보안 정책 구현

침투 테스트는 조직의 보안 정책 구현과 관련하여 우리를 보장 할 수 있습니다.

네트워크 효율성 관리

침투 테스트의 도움으로 네트워크의 효율성을 관리 할 수 ​​있습니다. 방화벽, 라우터 등과 같은 장치의 보안을 면밀히 조사 할 수 있습니다.

조직의 안전 보장

네트워크 설계의 변경 사항을 구현하거나 소프트웨어, 하드웨어 등을 업데이트하려는 경우 침투 테스트가 모든 종류의 취약성에 대해 조직의 안전을 보장한다고 가정합니다.

좋은 펜 테스터는 누구입니까?

침투 테스터는 취약성을 식별하여 조직이 사이버 공격에 대한 방어를 강화하도록 돕는 소프트웨어 전문가입니다. 침투 테스터는 테스트를 위해 수동 기술이나 자동화 된 도구를 사용할 수 있습니다.

이제 좋은 침투 시험기의 다음과 같은 중요한 특성을 고려해 보겠습니다.

네트워킹 및 애플리케이션 개발에 대한 지식

좋은 펜 테스터는 구성 설정과 코딩을 다룰 것으로 예상되기 때문에 애플리케이션 개발, 데이터베이스 관리 및 네트워킹에 대한 지식이 있어야합니다.

뛰어난 사상가

Pentester는 뛰어난 사상가 여야하며 최상의 결과를 얻기 위해 특정 과제에 다양한 도구와 방법론을 적용하는 것을 주저하지 않을 것입니다.

절차에 대한 지식

좋은 펜 테스터는 목적, 한계 및 절차의 정당성과 같은 각 침투 테스트의 범위를 설정하기위한 지식이 있어야합니다.

최신 기술

펜 테스터는 언제든 기술에 변화가있을 수 있기 때문에 자신의 기술 능력이 최신이어야합니다.

보고서 작성에 능숙

침투 테스트를 성공적으로 구현 한 후, 펜 테스터는 최종 보고서에서 모든 발견 사항과 잠재적 위험을 언급해야합니다. 따라서 보고서 작성에 능숙해야합니다.

사이버 보안에 대한 열정

열정적 인 사람은 인생에서 성공할 수 있습니다. 마찬가지로 사이버 증권에 대한 열정이있는 사람은 좋은 펜 테스터가 될 수 있습니다.

침투 테스트 범위

이제 침투 테스트의 범위에 대해 알아 보겠습니다. 다음 두 종류의 테스트는 침투 테스트의 범위를 정의 할 수 있습니다.

비파괴 검사 (NDT)

비파괴 테스트는 시스템을 어떤 종류의 위험에 빠뜨리지 않습니다. NDT는 시스템, 물체 등에 해를 끼치 지 않고 위험 해지기 전에 결함을 찾는 데 사용됩니다. 침투 테스트를 수행하는 동안 NDT는 다음 작업을 수행합니다.

원격 시스템 스캔

이 테스트는 원격 시스템에서 가능한 취약점을 검색하고 식별합니다.

확인

취약점을 발견 한 후 발견 된 모든 사항을 확인합니다.

원격 시스템의 적절한 활용

NDT에서 펜 테스터는 원격 시스템을 적절하게 활용합니다. 이는 중단을 피하는 데 도움이됩니다.

Note − 반면, 침투 테스트를 수행하는 동안 NDT는 Denial-of-Service (DoS) attack.

파괴적인 테스트

파괴적인 테스트는 시스템을 위험에 빠뜨릴 수 있습니다. 비파괴 검사보다 더 비싸고 더 많은 기술이 필요합니다. 침투 테스트를 수행하는 동안 파괴 테스트는 다음 작업을 수행합니다.

  • Denial-of-Service (DoS) attack − 파괴 테스트는 DoS 공격을 수행합니다.

  • Buffer overflow attack − 또한 시스템 충돌로 이어질 수있는 buffer overflow 공격을 수행합니다.

모의 침투 테스트를 위해 무엇을 설치해야합니까?

침투 테스트 기술 및 도구는 귀하가 소유하거나 이러한 도구를 실행할 수있는 권한이있는 환경에서만 실행되어야합니다. 허가없이 침투 테스트하는 것은 불법이므로 그렇게 할 권한이없는 환경에서는 이러한 기술을 실행해서는 안됩니다.

  • 가상화 제품군을 설치하여 침투 테스트를 연습 할 수 있습니다. VMware Player( www.vmware.com/products/player ) 또는Oracle VirtualBox

    www.oracle.com/technetwork/server-storage/virtualbox/downloads/index.html

  • 현재 버전에서 가상 머신 (VM)을 만들 수도 있습니다.

    • Kali Linux ( www.kali.org/downloads/ )

    • Samurai Web Testing Framework (http://samurai.inguardians.com/)

    • Metasploitable ( www.offensivesecurity.com/metasploit-unleashed/Requirements )