Tipi di test di penetrazione
Il tipo di test di penetrazione normalmente dipende dall'ambito e dai desideri e requisiti dell'organizzazione. Questo capitolo tratta i diversi tipi di test di penetrazione. È anche conosciuto comePen Testing.
Tipi di test della penna
Di seguito sono riportati i tipi importanti di test della penna:
- Penetrazione della scatola nera
- Test di penetrazione della scatola bianca
- Penetrazione della scatola grigia
Per una migliore comprensione, discutiamo ciascuno di essi in dettaglio:
Penetrazione della scatola nera
Nei test di penetrazione della scatola nera, il tester non ha idea dei sistemi che intende testare. È interessato a raccogliere informazioni sulla rete o sul sistema di destinazione. Ad esempio, in questo test, un tester sa solo quale dovrebbe essere il risultato atteso e non sa come arrivano i risultati. Non esamina alcun codice di programmazione.
Vantaggi del Penetration Test Black Box
Presenta i seguenti vantaggi:
Il tester non deve necessariamente essere un esperto, in quanto non richiede una conoscenza linguistica specifica
Il tester verifica le contraddizioni nel sistema effettivo e nelle specifiche
Il test viene generalmente condotto con la prospettiva di un utente, non del progettista
Svantaggi del Penetration Testing Black Box
I suoi svantaggi sono:
In particolare, questi tipi di casi di test sono difficili da progettare.
Forse non ne vale la pena, poiché il designer ha già condotto un caso di prova.
Non conduce tutto.
Test di penetrazione della scatola bianca
Si tratta di un test completo, poiché al tester è stata fornita l'intera gamma di informazioni sui sistemi e / o sulla rete come schema, codice sorgente, dettagli del sistema operativo, indirizzo IP, ecc. Normalmente è considerato come una simulazione di un attacco da parte di un fonte interna. È anche noto come test strutturale, scatola di vetro, scatola trasparente e scatola aperta.
Il test di penetrazione della scatola bianca esamina la copertura del codice ed esegue il test del flusso di dati, il test del percorso, il test del loop, ecc.
Vantaggi del Penetration Test White Box
Presenta i seguenti vantaggi:
Assicura che tutti i percorsi indipendenti di un modulo siano stati esercitati.
Assicura che tutte le decisioni logiche siano state verificate insieme al loro valore vero e falso.
Rileva gli errori tipografici e fa il controllo della sintassi.
Trova gli errori di progettazione che potrebbero essersi verificati a causa della differenza tra il flusso logico del programma e l'effettiva esecuzione.
Penetrazione della scatola grigia
In questo tipo di test, un tester fornisce solitamente informazioni parziali o limitate sui dettagli interni del programma di un sistema. Può essere considerato un attacco da parte di un hacker esterno che ha ottenuto un accesso illegittimo ai documenti dell'infrastruttura di rete di un'organizzazione.
Vantaggi del Penetration Test della scatola grigia
Presenta i seguenti vantaggi:
Poiché il tester non richiede l'accesso al codice sorgente, non è intrusivo e imparziale
Poiché esiste una chiara differenza tra uno sviluppatore e un tester, il rischio di conflitti personali è minimo
Non è necessario fornire le informazioni interne sulle funzioni del programma e altre operazioni
Aree di Penetration Testing
Il test di penetrazione viene normalmente eseguito nelle seguenti tre aree:
Network Penetration Testing- In questo test, la struttura fisica di un sistema deve essere testata per identificare la vulnerabilità e il rischio che garantiscono la sicurezza in una rete. Nell'ambiente di rete, un tester identifica i difetti di sicurezza nella progettazione, implementazione o funzionamento della rete della rispettiva azienda / organizzazione. I dispositivi che vengono testati da un tester possono essere computer, modem o anche dispositivi di accesso remoto, ecc
Application Penetration Testing- In questo test, la struttura logica del sistema deve essere testata. Si tratta di una simulazione di attacco progettata per mostrare l'efficienza dei controlli di sicurezza di un'applicazione identificando vulnerabilità e rischi. Il firewall e altri sistemi di monitoraggio vengono utilizzati per proteggere il sistema di sicurezza, ma a volte necessita di test mirati soprattutto quando il traffico può passare attraverso il firewall.
The response or workflow of the system- Questa è la terza area che deve essere testata. L'ingegneria sociale raccoglie informazioni sull'interazione umana per ottenere informazioni su un'organizzazione e sui suoi computer. È utile testare la capacità della rispettiva organizzazione di impedire l'accesso non autorizzato ai propri sistemi informativi. Allo stesso modo, questo test è progettato esclusivamente per il flusso di lavoro dell'organizzazione / azienda.