Тест на проникнення (англ. penetration test, pentesting) — метод оцінювання захищеності комп'ютерної системи чи мережі шляхом часткового моделювання дій зовнішніх зловмисників з проникнення у неї (які не мають авторизованих засобів доступу до системи) і внутрішніх зловмисників (які мають певний рівень санкціонованого ). Цей процес включає активний аналіз системи з виявлення будь-якої потенційної вразливості, що може виникати внаслідок неправильної конфігурації системи, відомих і невідомих дефектів апаратних засобів та програмного забезпечення, чи оперативне відставання в процедурних чи технічних контрзаходах. Цей аналіз проводиться з позиції потенційного нападника і може включати активне використання вразливостей.
Проблеми безпеки, що були виявлені в ході тесту на проникнення, представляються власнику системи. Ефективний тест на проникнення поєднає цю інформацію з точною оцінкою потенційного впливу на організацію і окреслить межі технічних і процедурних контрзаходів для зменшення ризиків.
Типи тестів на проникнення
- Соціальна інженерія — Тестування з підключенням «людського контингенту», здатність чітко виявляти і отримувати конфіденційні дані та іншу інформацію через Інтернет чи телефон (до цієї групи можуть відноситися співробітники організації чи будь-які інші уповноважені особи, які присутні в мережі організації);
- Вебдодаток (Web Pentesting) — Використовується для виявлення вразливості в безпеці та інших проблем в декількох варіантах вебдодатків і сервісів, які розміщені на боці клієнта чи сервера;
- Мережева служба. (Network Pentesting) — Тестування проникнення в мережу для виявлення можливості доступу хакерів чи інших неавторизованих об'єктів;
- Клієнтська частина — Тест використовується для тестування додатків, встановлених на клієнтському сайті / додатку;
- Віддалене підключення — Тестування vpn чи аналогічного об'єкта, який може забезпечити доступ до підключеної системи;
- Бездротові мережі — Тест призначений для бездротових додатків і сервісів, включаючи їх різні компоненти та функції (маршрутизатори, фільтраційні пакети, шифрування, дешифрування і т. д.);
- Тестування Системи автоматичного контролю та збору інформації (SCADA Pentesting).
Основні відомості
Тест на проникнення є корисним з кількох причин:
- визначення можливості певного набору атак;
- виявлення вразливостей вищого ризику, які є результатом комбінації вразливостей меншого ризику, що використовуються в певній послідовності;
- виявлення вразливостей, які може бути важко або неможливо знайти за допомогою автоматизованої мережі або застосування програмного забезпечення із сканування вразливостей;
- оцінювання величини потенційного впливу успішних атак на бізнес;
- тестування здатності захисників мережі успішно виявляти і реагувати на атаки;
- надання доказів на підтримку збільшення інвестицій у персонал і технології безпеки.
Тести на проникнення є складовою частиною повного аудиту безпеки.
Тестування на проникнення (penetration testing, pentest — тести на подолання захисту) — це детальний аналіз мережі і систем з точки зору потенційного зловмисника. Суть тесту полягає в санкціонованій спробі обійти існуючий комплекс засобів захисту інформаційної системи. В ході тестування роль зловмисника відіграє пентестер (англ. pentester), тобто спеціаліст, який повинен визначити рівень захищеності та вразливості, ідентифікувати найбільш вірогідні шляхи злому і визначити наскільки добре працюють засоби виявлення і захисту інформаційної системи від кібератак на підприємстві. Тест на проникнення дозволяє отримати об'єктивну оцінку того, наскільки легко отримати доступ до ресурсів корпоративної мережі і сайту компанії, яким способом і через які вразливості. Тест на проникнення є моделюванням дій зловмисника щодо проникнення в інформаційну систему і дозволяє виявити найбільше вразливостей в захисті мережі. Тест на проникнення проводять для здобуття незалежної оцінки захищеності своєї корпоративної мережі.
Метою тесту на проникнення є виявлення слабких місць в захисті ІС і, якщо це можливо, і відповідає бажанню замовника, здійснити показовий злом.
Основна задача тесту на проникнення: повністю імітуючи дії зловмисника, здійснити атаку на вебсервер, сервер застосувань або баз даних, персонал, корпоративну мережу. Тестування на проникнення може проводитися як у складі аудиту на відповідність стандартам, так і у вигляді самостійної роботи.
Тестування йде про варіації знаходження речей у програмному забезпеченні та його оточенні, які можуть бути змінені, варіюючи їх, і, бачачи, як програмне забезпечення відповідає. Мета полягає в тому, щоб гарантувати, що програмне забезпечення працює надійно і безпечно при розумних і навіть необґрунтованих сценаріїв виробництва. Таким чином, найбільш фундаментальним плануванням є тест, що може зробити, зрозуміти, що може бути змінено та яким чином, що зміни повинні бути організовані для тестування. З точки зору безпеки, навколишнього середовища, що вводяться користувачем дані, і внутрішні дані і логіку є основними місцями, де такі зміни можуть виявити проблеми безпеки, які складаються з файлів, додатків, системних ресурсів та інших локальних або мережевих ресурсів. Будь-який з них може стати відправною точкою кібератаки. Користувач введення даних, яка відбувається з зовнішньої (звичайно ненадійні) особи, аналізується і використовується програмним забезпеченням. Внутрішні дані і логіка внутрішньо-зберігаються, а також змінні та логічні шляхи, які є числом потенційних перерахувань.
Завдання тесту
Основне завдання тесту на проникнення — ідентифікація максимально можливого числа вразливостей інформаційної системи (ІС) за обмежений час при певних умовах і стані ІС.
При проведенні тесту на проникнення вирішуються завдання:
- оцінка поточного стану системи захисту інформації ІС;
- виявлення вразливостей інформаційної системи;
- використання виявлених вразливостей для отримання несанкціонованого доступу чи здійснення несанкціонованого впливу на інформацію для демонстрації наявності вразливостей і існування високоймовірної загрози інформаційної системи;
- вироблення рекомендацій щодо підвищення ефективності захисту інформації в ІС.
Об'єкти і режим тестування
Як об'єкт дослідження може бути вибраний як зовнішній периметр мережі, так і окремо запущений сервіс або хост.
Вибирається режим тестування на основі рівня початкових знань виконавця про тестованої системі (Black Box або White Box) і рівня інформованості замовника про випробування (режим Black Hat або White Hat).
При виборі рівня Black Box виконавцю відомий лише діапазон зовнішніх IP-адрес. Даний підхід максимально наближений до дій хакера, дані про тестованому об'єкті будуть збиратися за допомогою відкритих джерел, соціальної інженерії і т. д.
У режимі White Box доступна виконавцю інформація значно ширше. У цій ситуації фахівцям може бути надано документація, вихідні коди, структура мережі, а також повний доступ до об'єкту, який тестується.
У режимі Black Hat про проведення робіт знають тільки керівники служби ІБ. У такому випадку вдається перевірити рівень оперативної готовності до атак мережевих адміністраторів та адміністраторів ІБ.
У режимі White Hat виконавці працюють в постійному контакті зі службою ІБ замовника, ІТ-фахівці замовника не перешкоджають виконанню необхідних тестів. і основне завдання зводиться до виявлення можливих вразливостей і оцінки ризику проникнення в систему.
Відносні переваги цих підходів обговорюються. Тестування методом чорної коробки імітує атаку того, хто не знайомий з системою. Тестування методом білої коробки моделює, що може статися під час «внутрішньої роботи», або після «витоку» конфіденційної інформації, коли зловмисник має доступ до вихідного коду, мережних схем, і, можливо, навіть деякі паролі.
Послуги, пропоновані фірмами тестування на проникнення охоплюють подібний діапазон, починаючи від простого сканування IP-адресного простору організації на відкриті порти, закінчуючи повною перевіркою вихідного коду програми.
Логічне міркування
Тест на проникнення повинен проводитися на будь-якій комп'ютерній системі, яка буде розгорнута у ворожому середовищі, зокрема, на будь-якому інтернет-сайті, перш ніж він буде діяти. Це забезпечує рівень практичної гарантії того, що зловмисник не зможе проникнути в систему.
Звіт, що надається Замовнику за результатами проведення тесту на проникнення, містить детальний опис проведених робіт, всі виявлені вразливості системи і способи їх реалізації. Також звіт містить конкретні рекомендації щодо усунення даних вразливостей.
Рекомендується щорічно проводити тест на проникнення з метою виявлення нових вразливостей і для підтвердження реалізації рекомендацій, виданих в попередніх тестах. Тест на вторгнення може бути початковим етапом аудиту інформаційної безпеки компанії, на підставі якого можливі розробка політики інформаційної безпеки та впровадження систем захисту ІТ-ресурсів компанії.
Крім того, тест на проникнення проводиться в рамках аудиту інформаційної системи на відповідність стандарту захисту інформації PCI DSS в індустрії платіжних карт. Тестування на проникнення методом чорної коробки корисне в тих випадках, коли тестувальник бере на себе роль зовнішнього хакера і намагається проникнути в систему без достатніх знань про неї.
Ризики
Тестування на проникнення може бути безцінним методом для програми інформаційної безпеки будь-якої організації. Тестування на проникнення методом білої коробки часто робиться, як повністю автоматизований недорогий процес. Тестування на проникнення методом чорної коробки є трудомісткою діяльністю і вимагає спеціальних знань, щоб мінімізувати ризик для цільових систем. Як мінімум, це може уповільнити час відгуку мережі організації через сканування мережі та її вразливостей. Крім того, існує можливість, що система може бути пошкоджена чи виведена з ладу в процесі тестування на проникнення. Хоча цей ризик знижується за рахунок використання досвідчених тестувальників, він ніколи не може бути повністю усунутий.
Методології
OSSTMM (Open Source Security Testing Methodology Manual) являє собою рецензовану методологію проведення тестів безпеки. OSSTMM випадки тестів діляться на п'ять каналів, які в сукупності тестують: управління інформацією та даними, рівні безпекової обізнаності персоналу, рівні управління шахрайством та соціальною інженерією, комп'ютерні та телекомунікаційні мережі, бездротові пристрої, мобільні пристрої, контроль безпеки фізичного доступу, фізичні місця розташування, такі як будівлі, периметри і військові бази.
OSSTMM зосереджується на технічних деталях: які саме елементи повинні бути перевірені, що робити до, під час і після тесту безпеки, як виміряти результат. OSSTMM також відомий своїми правилами ведення «бойових дій» (англ. Rules of Engagement), які визначають для тестувальника і клієнта, як тест повинен правильно протікати, починаючи з заперечення помилкових повідомлень від тестувальників, закінчуючи тим як клієнт може очікувати на отримання звіту. Нові тести для кращої міжнародної практики, закони, правила і етичні проблеми регулярно додаються та оновлюються.
NIST (National Institute of Standards and Technology) обговорює тестування на проникнення у документі SP800-115. Методологія NIST є менш вичерпною ніж OSSTMM, проте вона є кращою для прийняття регулюючими органами. З цієї причини NIST посилається на OSSTMM.
OWASP Testing Guide є методологією перевірки на наявність вразливостей вебзастосунків, яка в тому числі може бути використана при тестуванні на проникнення вебсайтів та систем, які використовують вебтехнології.
Етапи тесту на проникнення
Роботи по тесту на проникнення включають в себе ряд послідовних етапів:
- Аналіз відкритих джерел
- Інструментальне сканування
- Аналіз / оцінка виявлених вразливостей і вироблення рекомендацій
- Підготовка звіту
Аудит інформаційної безпеки (ІБ)
Аудит інформаційної безпеки (ІБ) — незалежна оцінка поточного стану системи інформаційної безпеки, що встановлює рівень її відповідності певним критеріям, і надання результатів у вигляді рекомендацій.
Міжсайтовий скриптинг (XSS)
Принцип роботи міжсайтового скриптинга заснований на впровадженні шкідливого коду в HTML-код сторінки, що призводить до виконання такого коду на машині «жертви». Давайте розглянемо цю уразливість на прикладі сайтів використовують PHP. Якщо атакуючий отримає можливість вставити довільний HTML-код, то він зможе керувати відображенням вебсторінки з правами самого сайту. Приклад XSS атаки: "http://host/xxx.php?name[недоступне посилання з липня 2019] =" Якщо впровадити код у вразливу сторінку сайту чи форуму, то цілком реально одержати вміст «піщерник» адміністратора. Також, XSS становить небезпеку, якщо довільний код відображається на сторінках з розширенням shtml, тобто сервер підтримує технологію SSI (Server Side Includes). Це може призвести до читання або виконання довільних файлів на сервері.
SQL-ін'єкції
SQL-ін'єкція відноситься до вставки мета символів SQL вводяться користувачем дані, що призводить до зміни запиту в кінцевій базі даних. Як правило, зловмисники для початку визначають уразливість сайту до такої атаки (для цього надсилається знак одинарної «лапки»). Наслідки виконання такої атаки на уразливому сайті можуть знаходитися в межах від появи детального повідомлення про помилку, що розкриває зловмисникові використовувану на сайті технологію, до доступу до закритих областям сайту або виконання на сервері довільних команд операційної системи. Методи SQL-ін'єкції залежать від типу використовуваної бази даних. Наприклад, SQL-ін'єкція на базі даних «Oracle» здійснюється в основному за допомогою використання ключового слова union, і вона набагато більш важка, ніж на MS SQL-сервері, де можна виконати множинні запити, відокремлюючи їх символом крапки з комою. У заданої за замовчуванням конфігурації MS SQL-сервер виконується з привілеями Local System і має розширену процедуру «xp_shell», що дозволяє виконання команд операційної системи.
PHP-ін'єкції
З назви видно, що даної уразливості схильні скрипти, написані на мові PHP. Метод реалізації полягає в передачі функцій include () і reqiure () довільних параметрів, що може призвести до виконання довільного коду на цільовій машині з правами вебсервера. Дана уразливість більш небезпечна, ніж дві попередні, тому що при стандартній конфігурації PHP і вебсервера (що характерно для більшості серверів) можливе використання командного інтерпретатора.
Висновки
Підбиваючи підсумок, потрібно зазначити, що незалежно від конфігурації сервера, розподілу прав неможливо повністю убезпечити себе від реалізації подібного роду вразливостей. Найбільш оптимальним рішенням є фільтрація переданих користувачем даних. Це і повинні враховувати програмісти при написанні скриптів, при використанні даних методів вирішення завдань.
Література
- Тести на проникнення
- Вовченко В. В., Степанов И. О. Організаційні проблеми захисту інформації. — К.: Академія, 2003 .- 48-65с.
- Куранов А. И. Основи інформаційної безпеки. — К.: Ріпол — 2005. -38-41с.
- Журнал «Information Security/ Інформаційна безпека». -2007 -№ 2.
Див. також
Це незавершена стаття з інформаційної безпеки. Ви можете проєкту, виправивши або дописавши її. |
Ця стаття потребує додаткових для поліпшення її . (червень 2019) |
- Krishna, Ananda (31 жовтня 2019). Guide on Website Penetration Testing (Website Pentesting). www.getastra.com (амер.). Процитовано 8 січня 2022.
- Varghese, Jinson (10 листопада 2020). What is Network Penetration Testing & How to Perform It?. www.getastra.com (амер.). Процитовано 8 січня 2022.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Test na proniknennya angl penetration test pentesting metod ocinyuvannya zahishenosti komp yuternoyi sistemi chi merezhi shlyahom chastkovogo modelyuvannya dij zovnishnih zlovmisnikiv z proniknennya u neyi yaki ne mayut avtorizovanih zasobiv dostupu do sistemi i vnutrishnih zlovmisnikiv yaki mayut pevnij riven sankcionovanogo Cej proces vklyuchaye aktivnij analiz sistemi z viyavlennya bud yakoyi potencijnoyi vrazlivosti sho mozhe vinikati vnaslidok nepravilnoyi konfiguraciyi sistemi vidomih i nevidomih defektiv aparatnih zasobiv ta programnogo zabezpechennya chi operativne vidstavannya v procedurnih chi tehnichnih kontrzahodah Cej analiz provoditsya z poziciyi potencijnogo napadnika i mozhe vklyuchati aktivne vikoristannya vrazlivostej Problemi bezpeki sho buli viyavleni v hodi testu na proniknennya predstavlyayutsya vlasniku sistemi Efektivnij test na proniknennya poyednaye cyu informaciyu z tochnoyu ocinkoyu potencijnogo vplivu na organizaciyu i okreslit mezhi tehnichnih i procedurnih kontrzahodiv dlya zmenshennya rizikiv Tipi testiv na proniknennyaSocialna inzheneriya Testuvannya z pidklyuchennyam lyudskogo kontingentu zdatnist chitko viyavlyati i otrimuvati konfidencijni dani ta inshu informaciyu cherez Internet chi telefon do ciyeyi grupi mozhut vidnositisya spivrobitniki organizaciyi chi bud yaki inshi upovnovazheni osobi yaki prisutni v merezhi organizaciyi Vebdodatok Web Pentesting Vikoristovuyetsya dlya viyavlennya vrazlivosti v bezpeci ta inshih problem v dekilkoh variantah vebdodatkiv i servisiv yaki rozmisheni na boci kliyenta chi servera Merezheva sluzhba Network Pentesting Testuvannya proniknennya v merezhu dlya viyavlennya mozhlivosti dostupu hakeriv chi inshih neavtorizovanih ob yektiv Kliyentska chastina Test vikoristovuyetsya dlya testuvannya dodatkiv vstanovlenih na kliyentskomu sajti dodatku Viddalene pidklyuchennya Testuvannya vpn chi analogichnogo ob yekta yakij mozhe zabezpechiti dostup do pidklyuchenoyi sistemi Bezdrotovi merezhi Test priznachenij dlya bezdrotovih dodatkiv i servisiv vklyuchayuchi yih rizni komponenti ta funkciyi marshrutizatori filtracijni paketi shifruvannya deshifruvannya i t d Testuvannya Sistemi avtomatichnogo kontrolyu ta zboru informaciyi SCADA Pentesting Osnovni vidomostiTest na proniknennya ye korisnim z kilkoh prichin viznachennya mozhlivosti pevnogo naboru atak viyavlennya vrazlivostej vishogo riziku yaki ye rezultatom kombinaciyi vrazlivostej menshogo riziku sho vikoristovuyutsya v pevnij poslidovnosti viyavlennya vrazlivostej yaki mozhe buti vazhko abo nemozhlivo znajti za dopomogoyu avtomatizovanoyi merezhi abo zastosuvannya programnogo zabezpechennya iz skanuvannya vrazlivostej ocinyuvannya velichini potencijnogo vplivu uspishnih atak na biznes testuvannya zdatnosti zahisnikiv merezhi uspishno viyavlyati i reaguvati na ataki nadannya dokaziv na pidtrimku zbilshennya investicij u personal i tehnologiyi bezpeki Testi na proniknennya ye skladovoyu chastinoyu povnogo auditu bezpeki Testuvannya na proniknennya penetration testing pentest testi na podolannya zahistu ce detalnij analiz merezhi i sistem z tochki zoru potencijnogo zlovmisnika Sut testu polyagaye v sankcionovanij sprobi obijti isnuyuchij kompleks zasobiv zahistu informacijnoyi sistemi V hodi testuvannya rol zlovmisnika vidigraye pentester angl pentester tobto specialist yakij povinen viznachiti riven zahishenosti ta vrazlivosti identifikuvati najbilsh virogidni shlyahi zlomu i viznachiti naskilki dobre pracyuyut zasobi viyavlennya i zahistu informacijnoyi sistemi vid kiberatak na pidpriyemstvi Test na proniknennya dozvolyaye otrimati ob yektivnu ocinku togo naskilki legko otrimati dostup do resursiv korporativnoyi merezhi i sajtu kompaniyi yakim sposobom i cherez yaki vrazlivosti Test na proniknennya ye modelyuvannyam dij zlovmisnika shodo proniknennya v informacijnu sistemu i dozvolyaye viyaviti najbilshe vrazlivostej v zahisti merezhi Test na proniknennya provodyat dlya zdobuttya nezalezhnoyi ocinki zahishenosti svoyeyi korporativnoyi merezhi Metoyu testu na proniknennya ye viyavlennya slabkih misc v zahisti IS i yaksho ce mozhlivo i vidpovidaye bazhannyu zamovnika zdijsniti pokazovij zlom Osnovna zadacha testu na proniknennya povnistyu imituyuchi diyi zlovmisnika zdijsniti ataku na vebserver server zastosuvan abo baz danih personal korporativnu merezhu Testuvannya na proniknennya mozhe provoditisya yak u skladi auditu na vidpovidnist standartam tak i u viglyadi samostijnoyi roboti Testuvannya jde pro variaciyi znahodzhennya rechej u programnomu zabezpechenni ta jogo otochenni yaki mozhut buti zmineni variyuyuchi yih i bachachi yak programne zabezpechennya vidpovidaye Meta polyagaye v tomu shob garantuvati sho programne zabezpechennya pracyuye nadijno i bezpechno pri rozumnih i navit neobgruntovanih scenariyiv virobnictva Takim chinom najbilsh fundamentalnim planuvannyam ye test sho mozhe zrobiti zrozumiti sho mozhe buti zmineno ta yakim chinom sho zmini povinni buti organizovani dlya testuvannya Z tochki zoru bezpeki navkolishnogo seredovisha sho vvodyatsya koristuvachem dani i vnutrishni dani i logiku ye osnovnimi miscyami de taki zmini mozhut viyaviti problemi bezpeki yaki skladayutsya z fajliv dodatkiv sistemnih resursiv ta inshih lokalnih abo merezhevih resursiv Bud yakij z nih mozhe stati vidpravnoyu tochkoyu kiberataki Koristuvach vvedennya danih yaka vidbuvayetsya z zovnishnoyi zvichajno nenadijni osobi analizuyetsya i vikoristovuyetsya programnim zabezpechennyam Vnutrishni dani i logika vnutrishno zberigayutsya a takozh zminni ta logichni shlyahi yaki ye chislom potencijnih pererahuvan Zavdannya testuOsnovne zavdannya testu na proniknennya identifikaciya maksimalno mozhlivogo chisla vrazlivostej informacijnoyi sistemi IS za obmezhenij chas pri pevnih umovah i stani IS Pri provedenni testu na proniknennya virishuyutsya zavdannya ocinka potochnogo stanu sistemi zahistu informaciyi IS viyavlennya vrazlivostej informacijnoyi sistemi vikoristannya viyavlenih vrazlivostej dlya otrimannya nesankcionovanogo dostupu chi zdijsnennya nesankcionovanogo vplivu na informaciyu dlya demonstraciyi nayavnosti vrazlivostej i isnuvannya visokojmovirnoyi zagrozi informacijnoyi sistemi viroblennya rekomendacij shodo pidvishennya efektivnosti zahistu informaciyi v IS Ob yekti i rezhim testuvannyaYak ob yekt doslidzhennya mozhe buti vibranij yak zovnishnij perimetr merezhi tak i okremo zapushenij servis abo host Vibirayetsya rezhim testuvannya na osnovi rivnya pochatkovih znan vikonavcya pro testovanoyi sistemi Black Box abo White Box i rivnya informovanosti zamovnika pro viprobuvannya rezhim Black Hat abo White Hat Pri vibori rivnya Black Box vikonavcyu vidomij lishe diapazon zovnishnih IP adres Danij pidhid maksimalno nablizhenij do dij hakera dani pro testovanomu ob yekti budut zbiratisya za dopomogoyu vidkritih dzherel socialnoyi inzheneriyi i t d U rezhimi White Box dostupna vikonavcyu informaciya znachno shirshe U cij situaciyi fahivcyam mozhe buti nadano dokumentaciya vihidni kodi struktura merezhi a takozh povnij dostup do ob yektu yakij testuyetsya U rezhimi Black Hat pro provedennya robit znayut tilki kerivniki sluzhbi IB U takomu vipadku vdayetsya pereviriti riven operativnoyi gotovnosti do atak merezhevih administratoriv ta administratoriv IB U rezhimi White Hat vikonavci pracyuyut v postijnomu kontakti zi sluzhboyu IB zamovnika IT fahivci zamovnika ne pereshkodzhayut vikonannyu neobhidnih testiv i osnovne zavdannya zvoditsya do viyavlennya mozhlivih vrazlivostej i ocinki riziku proniknennya v sistemu Vidnosni perevagi cih pidhodiv obgovoryuyutsya Testuvannya metodom chornoyi korobki imituye ataku togo hto ne znajomij z sistemoyu Testuvannya metodom biloyi korobki modelyuye sho mozhe statisya pid chas vnutrishnoyi roboti abo pislya vitoku konfidencijnoyi informaciyi koli zlovmisnik maye dostup do vihidnogo kodu merezhnih shem i mozhlivo navit deyaki paroli Poslugi proponovani firmami testuvannya na proniknennya ohoplyuyut podibnij diapazon pochinayuchi vid prostogo skanuvannya IP adresnogo prostoru organizaciyi na vidkriti porti zakinchuyuchi povnoyu perevirkoyu vihidnogo kodu programi Logichne mirkuvannyaTest na proniknennya povinen provoditisya na bud yakij komp yuternij sistemi yaka bude rozgornuta u vorozhomu seredovishi zokrema na bud yakomu internet sajti persh nizh vin bude diyati Ce zabezpechuye riven praktichnoyi garantiyi togo sho zlovmisnik ne zmozhe proniknuti v sistemu Zvit sho nadayetsya Zamovniku za rezultatami provedennya testu na proniknennya mistit detalnij opis provedenih robit vsi viyavleni vrazlivosti sistemi i sposobi yih realizaciyi Takozh zvit mistit konkretni rekomendaciyi shodo usunennya danih vrazlivostej Rekomenduyetsya shorichno provoditi test na proniknennya z metoyu viyavlennya novih vrazlivostej i dlya pidtverdzhennya realizaciyi rekomendacij vidanih v poperednih testah Test na vtorgnennya mozhe buti pochatkovim etapom auditu informacijnoyi bezpeki kompaniyi na pidstavi yakogo mozhlivi rozrobka politiki informacijnoyi bezpeki ta vprovadzhennya sistem zahistu IT resursiv kompaniyi Krim togo test na proniknennya provoditsya v ramkah auditu informacijnoyi sistemi na vidpovidnist standartu zahistu informaciyi PCI DSS v industriyi platizhnih kart Testuvannya na proniknennya metodom chornoyi korobki korisne v tih vipadkah koli testuvalnik bere na sebe rol zovnishnogo hakera i namagayetsya proniknuti v sistemu bez dostatnih znan pro neyi RizikiTestuvannya na proniknennya mozhe buti bezcinnim metodom dlya programi informacijnoyi bezpeki bud yakoyi organizaciyi Testuvannya na proniknennya metodom biloyi korobki chasto robitsya yak povnistyu avtomatizovanij nedorogij proces Testuvannya na proniknennya metodom chornoyi korobki ye trudomistkoyu diyalnistyu i vimagaye specialnih znan shob minimizuvati rizik dlya cilovih sistem Yak minimum ce mozhe upovilniti chas vidguku merezhi organizaciyi cherez skanuvannya merezhi ta yiyi vrazlivostej Krim togo isnuye mozhlivist sho sistema mozhe buti poshkodzhena chi vivedena z ladu v procesi testuvannya na proniknennya Hocha cej rizik znizhuyetsya za rahunok vikoristannya dosvidchenih testuvalnikiv vin nikoli ne mozhe buti povnistyu usunutij MetodologiyiOSSTMM Open Source Security Testing Methodology Manual yavlyaye soboyu recenzovanu metodologiyu provedennya testiv bezpeki OSSTMM vipadki testiv dilyatsya na p yat kanaliv yaki v sukupnosti testuyut upravlinnya informaciyeyu ta danimi rivni bezpekovoyi obiznanosti personalu rivni upravlinnya shahrajstvom ta socialnoyu inzheneriyeyu komp yuterni ta telekomunikacijni merezhi bezdrotovi pristroyi mobilni pristroyi kontrol bezpeki fizichnogo dostupu fizichni miscya roztashuvannya taki yak budivli perimetri i vijskovi bazi OSSTMM zoseredzhuyetsya na tehnichnih detalyah yaki same elementi povinni buti perevireni sho robiti do pid chas i pislya testu bezpeki yak vimiryati rezultat OSSTMM takozh vidomij svoyimi pravilami vedennya bojovih dij angl Rules of Engagement yaki viznachayut dlya testuvalnika i kliyenta yak test povinen pravilno protikati pochinayuchi z zaperechennya pomilkovih povidomlen vid testuvalnikiv zakinchuyuchi tim yak kliyent mozhe ochikuvati na otrimannya zvitu Novi testi dlya krashoyi mizhnarodnoyi praktiki zakoni pravila i etichni problemi regulyarno dodayutsya ta onovlyuyutsya NIST National Institute of Standards and Technology obgovoryuye testuvannya na proniknennya u dokumenti SP800 115 Metodologiya NIST ye mensh vicherpnoyu nizh OSSTMM prote vona ye krashoyu dlya prijnyattya regulyuyuchimi organami Z ciyeyi prichini NIST posilayetsya na OSSTMM OWASP Testing Guide ye metodologiyeyu perevirki na nayavnist vrazlivostej vebzastosunkiv yaka v tomu chisli mozhe buti vikoristana pri testuvanni na proniknennya vebsajtiv ta sistem yaki vikoristovuyut vebtehnologiyi Etapi testu na proniknennyaRoboti po testu na proniknennya vklyuchayut v sebe ryad poslidovnih etapiv Analiz vidkritih dzherel Instrumentalne skanuvannya Analiz ocinka viyavlenih vrazlivostej i viroblennya rekomendacij Pidgotovka zvituAudit informacijnoyi bezpeki IB Audit informacijnoyi bezpeki IB nezalezhna ocinka potochnogo stanu sistemi informacijnoyi bezpeki sho vstanovlyuye riven yiyi vidpovidnosti pevnim kriteriyam i nadannya rezultativ u viglyadi rekomendacij Mizhsajtovij skripting XSS Dokladnishe Mizhsajtovij skripting Princip roboti mizhsajtovogo skriptinga zasnovanij na vprovadzhenni shkidlivogo kodu v HTML kod storinki sho prizvodit do vikonannya takogo kodu na mashini zhertvi Davajte rozglyanemo cyu urazlivist na prikladi sajtiv vikoristovuyut PHP Yaksho atakuyuchij otrimaye mozhlivist vstaviti dovilnij HTML kod to vin zmozhe keruvati vidobrazhennyam vebstorinki z pravami samogo sajtu Priklad XSS ataki http host xxx php name nedostupne posilannya z lipnya 2019 Yaksho vprovaditi kod u vrazlivu storinku sajtu chi forumu to cilkom realno oderzhati vmist pishernik administratora Takozh XSS stanovit nebezpeku yaksho dovilnij kod vidobrazhayetsya na storinkah z rozshirennyam shtml tobto server pidtrimuye tehnologiyu SSI Server Side Includes Ce mozhe prizvesti do chitannya abo vikonannya dovilnih fajliv na serveri SQL in yekciyi Dokladnishe SQL in yekciya SQL in yekciya SQL in yekciya vidnositsya do vstavki meta simvoliv SQL vvodyatsya koristuvachem dani sho prizvodit do zmini zapitu v kincevij bazi danih Yak pravilo zlovmisniki dlya pochatku viznachayut urazlivist sajtu do takoyi ataki dlya cogo nadsilayetsya znak odinarnoyi lapki Naslidki vikonannya takoyi ataki na urazlivomu sajti mozhut znahoditisya v mezhah vid poyavi detalnogo povidomlennya pro pomilku sho rozkrivaye zlovmisnikovi vikoristovuvanu na sajti tehnologiyu do dostupu do zakritih oblastyam sajtu abo vikonannya na serveri dovilnih komand operacijnoyi sistemi Metodi SQL in yekciyi zalezhat vid tipu vikoristovuvanoyi bazi danih Napriklad SQL in yekciya na bazi danih Oracle zdijsnyuyetsya v osnovnomu za dopomogoyu vikoristannya klyuchovogo slova union i vona nabagato bilsh vazhka nizh na MS SQL serveri de mozhna vikonati mnozhinni zapiti vidokremlyuyuchi yih simvolom krapki z komoyu U zadanoyi za zamovchuvannyam konfiguraciyi MS SQL server vikonuyetsya z privileyami Local System i maye rozshirenu proceduru xp shell sho dozvolyaye vikonannya komand operacijnoyi sistemi PHP in yekciyi Dokladnishe PHP in yekciya Z nazvi vidno sho danoyi urazlivosti shilni skripti napisani na movi PHP Metod realizaciyi polyagaye v peredachi funkcij include i reqiure dovilnih parametriv sho mozhe prizvesti do vikonannya dovilnogo kodu na cilovij mashini z pravami vebservera Dana urazlivist bilsh nebezpechna nizh dvi poperedni tomu sho pri standartnij konfiguraciyi PHP i vebservera sho harakterno dlya bilshosti serveriv mozhlive vikoristannya komandnogo interpretatora VisnovkiPidbivayuchi pidsumok potribno zaznachiti sho nezalezhno vid konfiguraciyi servera rozpodilu prav nemozhlivo povnistyu ubezpechiti sebe vid realizaciyi podibnogo rodu vrazlivostej Najbilsh optimalnim rishennyam ye filtraciya peredanih koristuvachem danih Ce i povinni vrahovuvati programisti pri napisanni skriptiv pri vikoristanni danih metodiv virishennya zavdan LiteraturaTesti na proniknennya Vovchenko V V Stepanov I O Organizacijni problemi zahistu informaciyi K Akademiya 2003 48 65s Kuranov A I Osnovi informacijnoyi bezpeki K Ripol 2005 38 41s Zhurnal Information Security Informacijna bezpeka 2007 2 Div takozhHakerska etika Kiberataka Ce nezavershena stattya z informacijnoyi bezpeki Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi Cya stattya potrebuye dodatkovih posilan na dzherela dlya polipshennya yiyi perevirnosti Bud laska dopomozhit udoskonaliti cyu stattyu dodavshi posilannya na nadijni avtoritetni dzherela Zvernitsya na storinku obgovorennya za poyasnennyami ta dopomozhit vipraviti nedoliki Material bez dzherel mozhe buti piddano sumnivu ta vilucheno cherven 2019 Krishna Ananda 31 zhovtnya 2019 Guide on Website Penetration Testing Website Pentesting www getastra com amer Procitovano 8 sichnya 2022 Varghese Jinson 10 listopada 2020 What is Network Penetration Testing amp How to Perform It www getastra com amer Procitovano 8 sichnya 2022