ประเภทของการทดสอบการเจาะ

ประเภทของการทดสอบการเจาะโดยปกติขึ้นอยู่กับขอบเขตและความต้องการขององค์กรและข้อกำหนด บทนี้จะกล่าวถึงการทดสอบการเจาะประเภทต่างๆ เป็นที่รู้จักกันในชื่อPen Testing.

ประเภทของการทดสอบปากกา

ต่อไปนี้เป็นประเภทที่สำคัญของการทดสอบปากกา -

  • การทดสอบการเจาะกล่องดำ
  • การทดสอบการเจาะกล่องสีขาว
  • การทดสอบการเจาะกล่องสีเทา

เพื่อความเข้าใจที่ดีขึ้นให้เราคุยรายละเอียดแต่ละเรื่อง -

การทดสอบการเจาะกล่องดำ

ในการทดสอบการเจาะกล่องดำผู้ทดสอบไม่รู้เกี่ยวกับระบบที่เขากำลังจะทดสอบ เขาสนใจที่จะรวบรวมข้อมูลเกี่ยวกับเครือข่ายเป้าหมายหรือระบบ ตัวอย่างเช่นในการทดสอบนี้ผู้ทดสอบจะรู้เพียงว่าผลลัพธ์ที่คาดหวังควรเป็นอย่างไรและเขาไม่รู้ว่าผลลัพธ์จะมาถึงอย่างไร เขาไม่ตรวจสอบรหัสการเขียนโปรแกรมใด ๆ

ข้อดีของการทดสอบการเจาะกล่องดำ

มีข้อดีดังต่อไปนี้ -

  • ผู้ทดสอบไม่จำเป็นต้องเป็นผู้เชี่ยวชาญเนื่องจากไม่ต้องการความรู้เฉพาะด้านภาษา

  • ผู้ทดสอบจะตรวจสอบความขัดแย้งในระบบจริงและข้อมูลจำเพาะ

  • โดยทั่วไปการทดสอบจะดำเนินการโดยใช้มุมมองของผู้ใช้ไม่ใช่ผู้ออกแบบ

ข้อเสียของการทดสอบการเจาะกล่องดำ

ข้อเสียคือ -

  • โดยเฉพาะกรณีทดสอบประเภทนี้ออกแบบได้ยาก

  • เป็นไปได้ว่ามันไม่คุ้มค่านักออกแบบในกรณีที่ได้ทำการทดสอบแล้ว

  • มันไม่ได้ดำเนินการทุกอย่าง

การทดสอบการเจาะกล่องสีขาว

นี่คือการทดสอบที่ครอบคลุมเนื่องจากผู้ทดสอบได้รับข้อมูลทั้งหมดเกี่ยวกับระบบและ / หรือเครือข่ายเช่นสคีมาซอร์สโค้ดรายละเอียดระบบปฏิบัติการที่อยู่ IP ฯลฯ โดยปกติถือว่าเป็นการจำลองการโจมตีโดย แหล่งภายใน เป็นที่รู้จักกันในชื่อโครงสร้างกล่องแก้วกล่องใสและการทดสอบกล่องเปิด

การทดสอบการเจาะกล่องสีขาวจะตรวจสอบความครอบคลุมของรหัสและทำการทดสอบการไหลของข้อมูลการทดสอบเส้นทางการทดสอบลูป ฯลฯ

ข้อดีของการทดสอบการเจาะกล่องขาว

มีข้อดีดังต่อไปนี้ -

  • เพื่อให้แน่ใจว่ามีการใช้เส้นทางอิสระทั้งหมดของโมดูล

  • ช่วยให้มั่นใจได้ว่าการตัดสินใจเชิงตรรกะทั้งหมดได้รับการตรวจสอบพร้อมกับค่าจริงและเท็จ

  • พบข้อผิดพลาดในการพิมพ์และตรวจสอบไวยากรณ์

  • พบข้อผิดพลาดในการออกแบบที่อาจเกิดขึ้นเนื่องจากความแตกต่างระหว่างขั้นตอนทางตรรกะของโปรแกรมและการดำเนินการจริง

การทดสอบการเจาะกล่องสีเทา

ในการทดสอบประเภทนี้ผู้ทดสอบมักจะให้ข้อมูลบางส่วนหรือ จำกัด เกี่ยวกับรายละเอียดภายในของโปรแกรมของระบบ ถือได้ว่าเป็นการโจมตีโดยแฮ็กเกอร์ภายนอกที่ได้รับสิทธิ์ในการเข้าถึงเอกสารโครงสร้างพื้นฐานเครือข่ายขององค์กร

ข้อดีของการทดสอบการเจาะกล่องสีเทา

มีข้อดีดังต่อไปนี้ -

  • เนื่องจากผู้ทดสอบไม่ต้องการการเข้าถึงซอร์สโค้ดจึงไม่ล่วงล้ำและไม่เป็นกลาง

  • เนื่องจากผู้พัฒนาและผู้ทดสอบมีความแตกต่างกันอย่างชัดเจนจึงมีความเสี่ยงน้อยที่สุดที่จะเกิดความขัดแย้งส่วนตัว

  • คุณไม่จำเป็นต้องให้ข้อมูลภายในเกี่ยวกับฟังก์ชันของโปรแกรมและการดำเนินการอื่น ๆ

พื้นที่ของการทดสอบการเจาะ

โดยปกติการทดสอบการเจาะจะทำในสามด้านต่อไปนี้ -

  • Network Penetration Testing- ในการทดสอบนี้จำเป็นต้องทดสอบโครงสร้างทางกายภาพของระบบเพื่อระบุช่องโหว่และความเสี่ยงซึ่งช่วยให้มั่นใจได้ถึงความปลอดภัยในเครือข่าย ในสภาพแวดล้อมเครือข่ายผู้ทดสอบระบุข้อบกพร่องด้านความปลอดภัยในการออกแบบการใช้งานหรือการดำเนินการของเครือข่ายของ บริษัท / องค์กรนั้น ๆ อุปกรณ์ที่ทดสอบโดยผู้ทดสอบอาจเป็นคอมพิวเตอร์โมเด็มหรือแม้แต่อุปกรณ์การเข้าถึงระยะไกลเป็นต้น

  • Application Penetration Testing- ในการทดสอบนี้จำเป็นต้องทดสอบโครงสร้างเชิงตรรกะของระบบ เป็นการจำลองการโจมตีที่ออกแบบมาเพื่อเปิดเผยประสิทธิภาพของการควบคุมความปลอดภัยของแอปพลิเคชันโดยการระบุช่องโหว่และความเสี่ยง ไฟร์วอลล์และระบบตรวจสอบอื่น ๆ ใช้เพื่อป้องกันระบบรักษาความปลอดภัย แต่บางครั้งก็ต้องการการทดสอบที่เน้นโดยเฉพาะเมื่อทราฟฟิกได้รับอนุญาตให้ผ่านไฟร์วอลล์

  • The response or workflow of the system- นี่คือพื้นที่ที่สามที่ต้องทดสอบ วิศวกรรมสังคมรวบรวมข้อมูลเกี่ยวกับปฏิสัมพันธ์ของมนุษย์เพื่อให้ได้ข้อมูลเกี่ยวกับองค์กรและคอมพิวเตอร์ เป็นประโยชน์ในการทดสอบความสามารถขององค์กรที่เกี่ยวข้องในการป้องกันการเข้าถึงระบบข้อมูลโดยไม่ได้รับอนุญาต ในทำนองเดียวกันการทดสอบนี้ได้รับการออกแบบมาโดยเฉพาะสำหรับขั้นตอนการทำงานขององค์กร / บริษัท