Веб-ресурстарга жана веб -тиркемелерге кирүүгө тестирлөө. Коосуздуктун абалын анализдөө
Кара санатайлардын үстүнөн жеңишке жетишүү үчүн ошолордун эле методдору менен аракет кылууга туура келет. Бузуп кирүүчүнүн чабуулун моделдештирип, башкача айтканда, конфиденциалдуу маалыматка руксат берилбеген жеткиликтүүлүктү алууга аракеттенүү керек. Бирок бул кылмыштуу максаттар менен эмес, потенциалдуу “жылчыктарды” табуу жана жаап салуу үчүн гана. Ичкилер гана эмес, башка чоочун сервистер менен дагы байланышкандарды дагы. Салыштыруу үчүн пентестердин ( бузуп кирүүгө тестирлөөчүнү) жана кара санатайдын аракеттерин карап көрөлү.
Хакердин милдеттери:
- Бузуп кирүү жана ресурстун конфиденциалдуу маалыматын алуу.
- Атаандаштардын тапшырыгы менен же жөн эле хулигандык менен веб-сайтты катардан чыгаруу.
- Монетизация, опузалап акча өндүрүү.
Пентестердин максаттары (тестирлөөчүнүн):
- Тиркемелердин коопсуздугун анализдөө жана текшерүү.
- Веб-тиркемелердин оңой талкалана турган жерлерин табуу жана баа берүү. Хакердин аракеттерин имитациялоо (сайттын ээсинин макулдугу менен).
- Чабуулдун багыттары жөнүндө тапшырыкчыга маалымат берүү жана мүмкүн болуучу коркунучтарды баалоо.
- Бузуп кирүүчүлөрдөн корголбогон начар жерлерди жойуу жана маалыматтык коопсуздукту жалпы жакшыртуу боюнча сунуштамаларды берүү.
Ар бир окуя өзүнчө өзгөчө, бирок демейде тиркеменин аудити 4 этапты камтыйт.
ТЗ макулдашуу
Биринчи кезекте – анализдин тереңдиги жана методдору. Биз бардык шарттарга даярбыз: сайттын аудитинин максаты жөнүндө жалпыга жеткиликтүү маалыматка пентестер ээ болгон “кара жашиктен” тартып, баштапкы кодду изилдегенге чейин. Тесттик стендде же негизги серверде. Бул иштердин ар биринде конфиденциалдуу маалыматтарды ачыкка чыгарбоо келишимдин шарттары менен кепилденет.
Малыматты топтоо
Веб- тиркемелер жана кошулган сервистер менен түздөн-түз аракеттерден кызматкерлердин github- аккаунтарын, ал гана эмес вакансияларды дагы изилдөөгө чейин. Бузуп кирүүчүлөр так ушундай иштешет – компаниянын технологиялары жана ички инструменттери жөнүндө мүмкүн болушунча көбүрөөк билүү үчүн бардык мүмкүнчүлүктөрдү пайдаланышат.
Чабуулду имитациялоо
Биздин милдет – кирүүнүн бардык чекиттерин текшерүү жана начар жерлерин табуу. Оңой талкалануучу обьектилер инфраструктура жана веб-тиркеменин логикасы, аутентификация, жеткиликтүүлүктү контролдоо, сессияларды башкаруу жана кирүү маалыматтары менен байланышкан болушу мүмкүн. Биздин арсеналда бардык методдор: паролдорду тандоодон тартып, SQL-инъекцияларга чейин бар.
Отчетту түзүү
Процедура табылган оңой талкалануучулардын тизмесин жана веб-тиркемени компроматтоонун сценарийлерин гана эмес, кабыл алуу зарыл болгон чараларды дагы камтыйт. Мындай отчет – маалыматтык коопсуздуктун деңгээлин жогорулатуунун ачкычы.