ประเภทของการทดสอบการเจาะ
ประเภทของการทดสอบการเจาะโดยปกติขึ้นอยู่กับขอบเขตและความต้องการขององค์กรและข้อกำหนด บทนี้จะกล่าวถึงการทดสอบการเจาะประเภทต่างๆ เป็นที่รู้จักกันในชื่อPen Testing.
ประเภทของการทดสอบปากกา
ต่อไปนี้เป็นประเภทที่สำคัญของการทดสอบปากกา -
- การทดสอบการเจาะกล่องดำ
- การทดสอบการเจาะกล่องสีขาว
- การทดสอบการเจาะกล่องสีเทา
เพื่อความเข้าใจที่ดีขึ้นให้เราคุยรายละเอียดแต่ละเรื่อง -
การทดสอบการเจาะกล่องดำ
ในการทดสอบการเจาะกล่องดำผู้ทดสอบไม่รู้เกี่ยวกับระบบที่เขากำลังจะทดสอบ เขาสนใจที่จะรวบรวมข้อมูลเกี่ยวกับเครือข่ายเป้าหมายหรือระบบ ตัวอย่างเช่นในการทดสอบนี้ผู้ทดสอบจะรู้เพียงว่าผลลัพธ์ที่คาดหวังควรเป็นอย่างไรและเขาไม่รู้ว่าผลลัพธ์จะมาถึงอย่างไร เขาไม่ตรวจสอบรหัสการเขียนโปรแกรมใด ๆ
ข้อดีของการทดสอบการเจาะกล่องดำ
มีข้อดีดังต่อไปนี้ -
ผู้ทดสอบไม่จำเป็นต้องเป็นผู้เชี่ยวชาญเนื่องจากไม่ต้องการความรู้เฉพาะด้านภาษา
ผู้ทดสอบจะตรวจสอบความขัดแย้งในระบบจริงและข้อมูลจำเพาะ
โดยทั่วไปการทดสอบจะดำเนินการโดยใช้มุมมองของผู้ใช้ไม่ใช่ผู้ออกแบบ
ข้อเสียของการทดสอบการเจาะกล่องดำ
ข้อเสียคือ -
โดยเฉพาะกรณีทดสอบประเภทนี้ออกแบบได้ยาก
เป็นไปได้ว่ามันไม่คุ้มค่านักออกแบบในกรณีที่ได้ทำการทดสอบแล้ว
มันไม่ได้ดำเนินการทุกอย่าง
การทดสอบการเจาะกล่องสีขาว
นี่คือการทดสอบที่ครอบคลุมเนื่องจากผู้ทดสอบได้รับข้อมูลทั้งหมดเกี่ยวกับระบบและ / หรือเครือข่ายเช่นสคีมาซอร์สโค้ดรายละเอียดระบบปฏิบัติการที่อยู่ IP ฯลฯ โดยปกติถือว่าเป็นการจำลองการโจมตีโดย แหล่งภายใน เป็นที่รู้จักกันในชื่อโครงสร้างกล่องแก้วกล่องใสและการทดสอบกล่องเปิด
การทดสอบการเจาะกล่องสีขาวจะตรวจสอบความครอบคลุมของรหัสและทำการทดสอบการไหลของข้อมูลการทดสอบเส้นทางการทดสอบลูป ฯลฯ
ข้อดีของการทดสอบการเจาะกล่องขาว
มีข้อดีดังต่อไปนี้ -
เพื่อให้แน่ใจว่ามีการใช้เส้นทางอิสระทั้งหมดของโมดูล
ช่วยให้มั่นใจได้ว่าการตัดสินใจเชิงตรรกะทั้งหมดได้รับการตรวจสอบพร้อมกับค่าจริงและเท็จ
พบข้อผิดพลาดในการพิมพ์และตรวจสอบไวยากรณ์
พบข้อผิดพลาดในการออกแบบที่อาจเกิดขึ้นเนื่องจากความแตกต่างระหว่างขั้นตอนทางตรรกะของโปรแกรมและการดำเนินการจริง
การทดสอบการเจาะกล่องสีเทา
ในการทดสอบประเภทนี้ผู้ทดสอบมักจะให้ข้อมูลบางส่วนหรือ จำกัด เกี่ยวกับรายละเอียดภายในของโปรแกรมของระบบ ถือได้ว่าเป็นการโจมตีโดยแฮ็กเกอร์ภายนอกที่ได้รับสิทธิ์ในการเข้าถึงเอกสารโครงสร้างพื้นฐานเครือข่ายขององค์กร
ข้อดีของการทดสอบการเจาะกล่องสีเทา
มีข้อดีดังต่อไปนี้ -
เนื่องจากผู้ทดสอบไม่ต้องการการเข้าถึงซอร์สโค้ดจึงไม่ล่วงล้ำและไม่เป็นกลาง
เนื่องจากผู้พัฒนาและผู้ทดสอบมีความแตกต่างกันอย่างชัดเจนจึงมีความเสี่ยงน้อยที่สุดที่จะเกิดความขัดแย้งส่วนตัว
คุณไม่จำเป็นต้องให้ข้อมูลภายในเกี่ยวกับฟังก์ชันของโปรแกรมและการดำเนินการอื่น ๆ
พื้นที่ของการทดสอบการเจาะ
โดยปกติการทดสอบการเจาะจะทำในสามด้านต่อไปนี้ -
Network Penetration Testing- ในการทดสอบนี้จำเป็นต้องทดสอบโครงสร้างทางกายภาพของระบบเพื่อระบุช่องโหว่และความเสี่ยงซึ่งช่วยให้มั่นใจได้ถึงความปลอดภัยในเครือข่าย ในสภาพแวดล้อมเครือข่ายผู้ทดสอบระบุข้อบกพร่องด้านความปลอดภัยในการออกแบบการใช้งานหรือการดำเนินการของเครือข่ายของ บริษัท / องค์กรนั้น ๆ อุปกรณ์ที่ทดสอบโดยผู้ทดสอบอาจเป็นคอมพิวเตอร์โมเด็มหรือแม้แต่อุปกรณ์การเข้าถึงระยะไกลเป็นต้น
Application Penetration Testing- ในการทดสอบนี้จำเป็นต้องทดสอบโครงสร้างเชิงตรรกะของระบบ เป็นการจำลองการโจมตีที่ออกแบบมาเพื่อเปิดเผยประสิทธิภาพของการควบคุมความปลอดภัยของแอปพลิเคชันโดยการระบุช่องโหว่และความเสี่ยง ไฟร์วอลล์และระบบตรวจสอบอื่น ๆ ใช้เพื่อป้องกันระบบรักษาความปลอดภัย แต่บางครั้งก็ต้องการการทดสอบที่เน้นโดยเฉพาะเมื่อทราฟฟิกได้รับอนุญาตให้ผ่านไฟร์วอลล์
The response or workflow of the system- นี่คือพื้นที่ที่สามที่ต้องทดสอบ วิศวกรรมสังคมรวบรวมข้อมูลเกี่ยวกับปฏิสัมพันธ์ของมนุษย์เพื่อให้ได้ข้อมูลเกี่ยวกับองค์กรและคอมพิวเตอร์ เป็นประโยชน์ในการทดสอบความสามารถขององค์กรที่เกี่ยวข้องในการป้องกันการเข้าถึงระบบข้อมูลโดยไม่ได้รับอนุญาต ในทำนองเดียวกันการทดสอบนี้ได้รับการออกแบบมาโดยเฉพาะสำหรับขั้นตอนการทำงานขององค์กร / บริษัท