Testy penetracyjne to nic innego, jak swoiste zarzadzanie sieciami i administracja serwerami. Pozwalają sprawdzić, czy w systemie teleinformatycznym znajdują się luki w zabezpieczeniach. Co więcej, istnieje również możliwość przeprowadzenia ich w swoim prywatnym komputerze, bez konieczności zatrudnienia zespołu testującego. Jak więc wykonać test penetracyjny?
Przeprowadzanie testów penetracyjnych – krok po kroku
Etap 1 polega na zdobyciu podstawowych informacji, tj. ustaleniu, przez które adresy IP można nawiązać kontakt z docelową infrastrukturą. Kolejnym krokiem jest przeskanowanie portów w sprzęcie, a potem – dokonanie analizy usług oferowanych przez wspomnianą infrastrukturę, co pozwala ustalić wersję oprogramowania.
Etap 4 to szukanie luk w zabezpieczeniach, a 5 – próba ich wykorzystania do przeprowadzania właściwego ataku. Jeśli atak się uda i haker uzyska pełny dostęp do danych, oznacza to, iż system posiada nieprawidłowości.
Wiedza zespołów testujących
Testy penetracyjne są podzielone na kilka rodzajów, zależnych od wiedzy zespołów testujących. Wyróżnia się black box (wiedza podstawowa), white box (wiedza pełna) oraz grey box (zastosowanie niektórych elementów z obu wcześniejszych rodzajów). Doświadczenie oraz kompetencje zespołów potwierdzają uznane certyfikaty, takie jak:
– eWPT, potwierdzający kompetencje z zakresu testów penetracyjnych aplikacji webowych;
– OSCP, potwierdzający ogólne techniczne kompetencje z zakresu testów penetracyjnych;
– OSWP, który poświadcza zakres wiedzy testów penetracyjnych sieci bezprzewodowych.
Sprawdź także: http://remotedevops.pl/