PENTEST LÀ GÌ

     

Hiện nay, hầu hết các tổ chức, doanh nghiệp đều có cho mình một trang web để tin tức và sắm sửa sản phẩm – dịch vụ đến khách hàng hàng. Từng Website dù nhỏ dại dù to luôn tồn trên những điểm yếu kém bảo mật nghiêm trọng mà tin tặc có thể khai thác nhằm phá hoại. Những lỗi bảo mật thông tin này luôn luôn được update liên tục trên những mặt báo công nghệ. Vậy bọn họ làm sao nhằm khác phục điểm yếu kém đó? Pentest được sinh ra để gia công những điều nói ở trên.

Bạn đang xem: Pentest là gì

I. Pentest là gì?

Pentest (Penetration Testing) là bề ngoài kiểm tra hệ thống CNTT của chúng ta có thể bị tiến công hay không, bằng cách giả lập những vụ tiến công thử nghiệm tạo ra. Rất có thể hiểu một cách 1-1 giản, Pentest chính là đánh giá độ an ninh bằng cách tấn công vào hệ thống, là quy trình xem xét lại các dịch vụ và hệ thống để tìm ra những vấn đề bình an tiềm tàng hoặc dò tìm những dấu vết khi khối hệ thống bị tổn thương. Người triển khai một nghiên cứu xâm nhập được hotline là kiểm soát xâm nhập hoặc Pentester.

*

II. Những khái niệm bảo mật thông tin cơ bản

Lỗ hổng (Vulnerabilities): Vulnerabilities là lỗ hổng bảo mật thông tin trong một trong những phần của phần mềm, phần cứng hoặc hệ điều hành, cung cấp một góc tiềm năng để tiến công hệ thống. Một lỗ hổng hoàn toàn có thể đơn giản như password yếu hoặc tinh vi như lỗi tràn cỗ đệm hoặc những lỗ hổng SQL injection.

Khai thác (Exploits): Để tận dụng điểm mạnh của một lỗ hổng, thường cần một sự khai thác, một công tác máy tính nhỏ dại và trình độ cao mà tại sao duy tốt nhất là nhằm tận dụng ưu thế của một lỗ hổng rõ ràng và để cung cấp truy cập vào một khối hệ thống máy tính. Khai quật thường cung cấp một tải trọng (payloads) đến mục tiêu hệ thống và cung cấp cho kẻ tấn công truy cập vào hệ thống.

Tải trọng (Payloads): thiết lập trọng (payloads) là những thành phần của phần mềm được cho phép kiểm soát một khối hệ thống máy tính sau khi nó vẫn được khai quật lỗ hổng ,thường gắn liền với vài giao khai thác (exploits).

III. Các phương pháp sử dụng trong Pentest

1. Hộp đen (Black box)

Kiểm demo từ bên phía ngoài vào (Black box Pentest): những cuộc tấn công sẽ được thực hiện mà ko có ngẫu nhiên thông tin nào, pentester đã đặt mình vào vị trí của các tin tặc mũ đen và cố gắng bằng mọi phương pháp để thâm nhập vào được khối hệ thống của khách hàng. Pentester sẽ mô rộp một cuộc tiến công thực sự vào hệ thống

2. Vỏ hộp trắng (White box)

Kiểm thử từ bên trong ra (White box Pentest): là các thông tin về mạng nội cỗ và ngoại đã được cung cấp bởi khách hàng và Pentester đã đánh giá an toàn mạng dựa vào đó.

3. Hộp xám (Gray box)

Kiểm thử hộp xám (Gray-box giỏi Crystal-box): mang định như tin tặc được cung ứng tài khoản một người tiêu dùng thông thường và tiến hành tiến công vào khối hệ thống như một nhân viên của doanh nghiệp.

IV. Những khuôn khổ trong PenTest

1. Đánh giá cơ sở hạ tầng mạng

Đánh giá kết cấu mạng.

Xem thêm: 7+ Cách Xoá Hệ Thống Trên Iphone Có Bộ Nhớ Thấp Bạn Nên Biết Ngay

Đánh giá những biện pháp bảo mật được thiết lập.

Đánh giá bán việc tuân hành các tiêu chuẩn.

Đánh giá các hệ thống như Firewall: Cấu hình, cấu trúc, quản trị, vá lỗi bảo mật, ghi nhật ký, chính sách, kỹ năng sẵn sàng,…

Đánh giá máy phát hiện và phòng kháng xâm nhập IPS: Cấu hình, năng lực phát hiện xâm nhập, cấu trúc, quản lí trị, vá lỗi bảo mật, ghi nhật ký, thiết yếu sách, khả năng sẵn sàng,…

Đánh giá vật dụng VPN: Cấu hình, quản lí trị, cơ chế truy nhập, nhật ký,…

Đánh giá bán Router/Switch: Cấu hình, xác thực, cấp quyền, kiểm soát và điều hành truy nhập, nhật ký,…

2. Đánh giá khối hệ thống máy chủ

Máy công ty Windows với Linux: review phiên bản, cập nhật, cấu hình các dịch vụ, vá lỗi, cơ chế tài khoản với mật khẩu, chính sách ghi nhật ký, rà soát cấp quyền.

Khả năng dự phòng, thăng bằng tải, các đại lý dử liệu phân tán.

3. Đánh giá vận dụng web

Đánh giá bán từ bên ngoài: Dùng các công cụ chuyên được dùng tấn công test nghiệm, từ kia phát hiện ra những lỗ hổng như: Lỗi tràn bộ đệm, SQL injection, Xss, upload, Url bypass và những lổ hổng vận dụng khác.

Đánh giá từ mặt trong: soát sổ mã mối cung cấp web nhằm khẳng định các vụ việc về xác thực, cung cấp quyền, xác minh dữ liệu, quản lý phiên, mã hóa.

Xem thêm: Âm Gây Ô Nhiễm Tiếng Ồn Là, Hậu Quả Của Ô Nhiễm Tiếng Ồn

Kết luận

Trong thời đại technology ngày một trở nên tân tiến chóng mặt, kéo theo tù nhân mạng ngày càng tăng và để tránh được những rắc rối không hề muốn đến hệ thống thông tin với website, các cá nhân và doanh nghiệp yêu cầu trang bị kỹ năng và kiến thức về bảo mật nhiều hơn. ước ao rằng bài viết này để giúp đỡ cho những bạn bảo vệ cho trang web và khối hệ thống server của chính bản thân mình tốt hơn trước đây những đối thủ đối đầu không an lành và các thành phần thong thả thích phá hoại. Chúc các bạn thành công.