सुरक्षा परीक्षण क्या है? उदाहरण के साथ प्रकार

विषय - सूची:

Anonim

सुरक्षा परीक्षण क्या है?

सुरक्षा परीक्षण सॉफ्टवेयर परीक्षण का एक प्रकार है जो कमजोरियों, खतरों, एक सॉफ्टवेयर अनुप्रयोग में जोखिमों को उजागर करता है और घुसपैठियों के दुर्भावनापूर्ण हमलों को रोकता है। सुरक्षा परीक्षणों का उद्देश्य सॉफ्टवेयर सिस्टम की सभी संभावित खामियों और कमजोरियों की पहचान करना है, जिसके परिणामस्वरूप संगठन के कर्मचारियों या बाहरी लोगों के हाथों सूचना, राजस्व, ख्याति का नुकसान हो सकता है।

क्यों सुरक्षा परीक्षण महत्वपूर्ण है?

सुरक्षा परीक्षण का मुख्य लक्ष्य सिस्टम में खतरों की पहचान करना और इसकी संभावित कमजोरियों को मापना है, इसलिए खतरों का सामना किया जा सकता है और सिस्टम काम करना बंद नहीं करता है या इसका शोषण नहीं किया जा सकता है। यह सिस्टम में सभी संभावित सुरक्षा जोखिमों का पता लगाने में भी मदद करता है और डेवलपर्स को कोडिंग के माध्यम से समस्याओं को ठीक करने में मदद करता है।

इस ट्यूटोरियल में, आप सीखेंगे-

  • सुरक्षा परीक्षण क्या है?
  • सुरक्षा परीक्षण के प्रकार
  • सुरक्षा परीक्षण कैसे करें
  • उदाहरण परीक्षण सुरक्षा परीक्षण के लिए परिदृश्य
  • सुरक्षा परीक्षण के लिए तरीके / दृष्टिकोण / तकनीक
  • सुरक्षा परीक्षण भूमिकाएँ
  • सुरक्षा परीक्षण उपकरण
  • मिथक और सुरक्षा परीक्षण के तथ्य

सुरक्षा परीक्षण के प्रकार:

ओपन सोर्स सिक्योरिटी टेस्टिंग मैथोलॉजी मैनुअल के अनुसार सात मुख्य प्रकार के सुरक्षा परीक्षण हैं। उन्हें इस प्रकार समझाया गया है:

  • भेद्यता स्कैनिंग : यह ज्ञात सुरक्षा भेद्यता हस्ताक्षर के खिलाफ एक प्रणाली को स्कैन करने के लिए स्वचालित सॉफ्टवेयर के माध्यम से किया जाता है।
  • सुरक्षा स्कैनिंग: इसमें नेटवर्क और सिस्टम की कमजोरियों की पहचान करना शामिल है, और बाद में इन जोखिमों को कम करने के लिए समाधान प्रदान करता है। यह स्कैनिंग मैनुअल और ऑटोमेटेड स्कैनिंग दोनों के लिए की जा सकती है।
  • पेनेट्रेशन परीक्षण : इस तरह का परीक्षण एक दुर्भावनापूर्ण हैकर के हमले का अनुकरण करता है। इस परीक्षण में एक बाहरी हैकिंग प्रयास के लिए संभावित कमजोरियों की जांच करने के लिए एक विशेष प्रणाली का विश्लेषण शामिल है।
  • जोखिम मूल्यांकन: इस परीक्षण में संगठन में देखे गए सुरक्षा जोखिमों का विश्लेषण शामिल है। जोखिम को निम्न, मध्यम और उच्च के रूप में वर्गीकृत किया गया है। यह परीक्षण जोखिम को कम करने के लिए नियंत्रण और उपायों की सिफारिश करता है।
  • सिक्योरिटी ऑडिटिंग: यह सुरक्षा खामियों के लिए एप्लिकेशन और ऑपरेटिंग सिस्टम का आंतरिक निरीक्षण है। कोड के लाइन निरीक्षण द्वारा लाइन के माध्यम से एक ऑडिट भी किया जा सकता है
  • एथिकल हैकिंग: यह एक संगठन सॉफ्टवेयर सिस्टम को हैक कर रहा है। दुर्भावनापूर्ण हैकर्स के विपरीत, जो अपने स्वयं के लाभ के लिए चोरी करते हैं, आशय प्रणाली में सुरक्षा खामियों को उजागर करना है।
  • आसन मूल्यांकन: यह सुरक्षा स्कैनिंग, एथिकल हैकिंग और जोखिम मूल्यांकन को एक संगठन के समग्र सुरक्षा मुद्रा को दर्शाता है।

सुरक्षा परीक्षण कैसे करें

यह हमेशा सहमत है, कि लागत अधिक होगी यदि हम सॉफ्टवेयर कार्यान्वयन चरण के बाद या तैनाती के बाद सुरक्षा परीक्षण को स्थगित कर देते हैं। इसलिए, पहले चरणों में एसडीएलसी जीवन चक्र में सुरक्षा परीक्षण शामिल करना आवश्यक है।

आइए एसडीएलसी में हर चरण के लिए अपनाई जाने वाली संबंधित सुरक्षा प्रक्रियाओं पर ध्यान दें

एसडीएलसी चरण सुरक्षा प्रक्रिया
आवश्यकताओं को आवश्यकताओं के लिए सुरक्षा विश्लेषण और दुरुपयोग / दुरुपयोग के मामलों की जाँच करें
डिज़ाइन डिजाइनिंग के लिए सुरक्षा जोखिम विश्लेषण। सुरक्षा परीक्षणों सहित परीक्षण योजना का विकास
कोडिंग और यूनिट परीक्षण स्थैतिक और गतिशील परीक्षण और सुरक्षा व्हाइट बॉक्स परीक्षण
एकीकरण जांच ब्लैक बॉक्स परीक्षण
सिस्टम परीक्षण ब्लैक बॉक्स परीक्षण और भेद्यता स्कैनिंग
कार्यान्वयन प्रवेश परीक्षण, भेद्यता स्कैनिंग
सहयोग पैच का प्रभाव विश्लेषण

परीक्षण योजना में शामिल होना चाहिए

  • सुरक्षा-संबंधी परीक्षण मामले या परिदृश्य
  • सुरक्षा परीक्षण से संबंधित डेटा का परीक्षण करें
  • सुरक्षा परीक्षण के लिए आवश्यक परीक्षण उपकरण
  • विभिन्न सुरक्षा उपकरणों से विभिन्न परीक्षणों के आउटपुट का विश्लेषण

उदाहरण परीक्षण सुरक्षा परीक्षण के लिए परिदृश्य:

नमूना परीक्षण परिदृश्य आपको सुरक्षा परीक्षण मामलों की एक झलक देने के लिए -

  • एक पासवर्ड एन्क्रिप्टेड प्रारूप में होना चाहिए
  • एप्लिकेशन या सिस्टम को अमान्य उपयोगकर्ताओं की अनुमति नहीं देनी चाहिए
  • आवेदन के लिए कुकीज़ और सत्र का समय जांचें
  • वित्तीय साइटों के लिए, ब्राउज़र बैक बटन काम नहीं करना चाहिए।

सुरक्षा परीक्षण के लिए तरीके / दृष्टिकोण / तकनीक

सुरक्षा परीक्षण में, विभिन्न पद्धतियों का पालन किया जाता है, और वे इस प्रकार हैं:

  • टाइगर बॉक्स : यह हैकिंग आमतौर पर एक लैपटॉप पर की जाती है जिसमें ओएस और हैकिंग टूल्स का संग्रह होता है। यह परीक्षण भेद्यता मूल्यांकन और हमलों का संचालन करने के लिए पैठ परीक्षक और सुरक्षा परीक्षकों की मदद करता है।
  • ब्लैक बॉक्स : नेटवर्क टोपोलॉजी और तकनीक के बारे में हर चीज की टेस्टिंग करने के लिए टेस्टर अधिकृत है।
  • ग्रे बॉक्स : सिस्टम के बारे में परीक्षक को आंशिक जानकारी दी जाती है, और यह सफेद और काले रंग के बॉक्स मॉडल का एक संकर है।

सुरक्षा परीक्षण भूमिकाएँ

  • हैकर्स - प्राधिकरण के बिना कंप्यूटर सिस्टम या नेटवर्क तक पहुंच
  • क्रैकर्स - डेटा को चुराने या नष्ट करने के लिए सिस्टम में तोड़
  • एथिकल हैकर - ब्रेकिंग की अधिकांश गतिविधियों को करता है लेकिन मालिक से अनुमति लेकर
  • स्क्रिप्ट किडीज़ या पैकेट बंदरों - प्रोग्रामिंग भाषा कौशल के साथ अनुभवहीन हैकर्स

सुरक्षा परीक्षण उपकरण

1) घुसपैठिया

घुसपैठिए एक उद्यम-ग्रेड भेद्यता स्कैनर है जो उपयोग करने में आसान है। यह आपके आईटी इन्फ्रास्ट्रक्चर में 10,000 से अधिक उच्च-गुणवत्ता वाले सुरक्षा जांचों को चलाता है, जिसमें शामिल हैं: लेकिन यह भी सीमित नहीं है: कॉन्फ़िगरेशन कमजोरियां, एप्लिकेशन कमजोरियां (जैसे कि SQL इंजेक्शन और क्रॉस-साइट स्क्रिप्टिंग) और लापता पैच। नवीनतम खतरों के लिए बुद्धिमानी से प्राथमिकता वाले परिणामों के साथ-साथ सक्रिय स्कैन प्रदान करते हुए, घुसपैठिए समय बचाने में मदद करते हैं और सभी आकार के व्यवसायों को हैकर्स से सुरक्षित रखते हैं।

विशेषताएं:

  • AWS, Azure और Google क्लाउड कनेक्टर
  • आपकी बाहरी हमले की सतह को कम करने के लिए परिधि-विशिष्ट परिणाम
  • उच्च गुणवत्ता की रिपोर्टिंग
  • सुस्त, माइक्रोसॉफ्ट टीम्स, जीरा, जैपियर इंटीग्रेशन
  • आपके CI / CD पाइपलाइन के साथ एपीआई एकीकरण

२) मालिक

ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट (OWASP) एक विश्वव्यापी गैर-लाभकारी संगठन है, जो सॉफ्टवेयर की सुरक्षा में सुधार पर केंद्रित है। परियोजना में विभिन्न सॉफ्टवेयर वातावरण और प्रोटोकॉल का परीक्षण करने के लिए कई उपकरण हैं। परियोजना के फ्लैगशिप टूल में शामिल हैं

  1. जेड हमला प्रॉक्सी (ZAP - एक एकीकृत पैठ परीक्षण उपकरण)
  2. OWASP निर्भरता जाँच (यह परियोजना निर्भरता के लिए स्कैन करता है और कमजोरियों के खिलाफ जाँच करता है)
  3. OWASP वेब परीक्षण पर्यावरण परियोजना (सुरक्षा उपकरणों और प्रलेखन का संग्रह)

3) वायरशर्क

Wireshark एक नेटवर्क विश्लेषण उपकरण है जिसे पहले ईथर के नाम से जाना जाता था। यह पैकेट को वास्तविक समय में कैप्चर करता है और उन्हें मानव पठनीय प्रारूप में प्रदर्शित करता है। मूल रूप से, यह एक नेटवर्क पैकेट विश्लेषक है- जो आपके नेटवर्क प्रोटोकॉल, डिक्रिप्शन, पैकेट जानकारी आदि के बारे में मिनट का विवरण प्रदान करता है। यह एक खुला स्रोत है और इसका उपयोग लिनक्स, विंडोज, ओएस एक्स, सोलारिस, नेटबीएसडी, फ्री कंप्यूटर और कई पर किया जा सकता है। अन्य सिस्टम। इस उपकरण के माध्यम से प्राप्त जानकारी को GUI या TTY मोड TShark उपयोगिता के माध्यम से देखा जा सकता है।

4) W3af

w3af एक वेब एप्लिकेशन अटैक और ऑडिट फ्रेमवर्क है। इसमें तीन प्रकार के प्लगइन्स हैं; डिस्कवरी, ऑडिट और अटैक जो साइट में किसी भी कमजोरियों के लिए एक दूसरे के साथ संवाद करते हैं, उदाहरण के लिए w3af में एक डिस्कवरी प्लगइन अलग-अलग यूआरएल की कमजोरियों की जांच करता है और उसे ऑडिट प्लगइन में अग्रेषित करता है जो तब कमजोरियों को खोजने के लिए इन यूआरएल का उपयोग करता है।

मिथक और सुरक्षा परीक्षण के तथ्य:

आइए मिथकों और सुरक्षा परीक्षण के तथ्यों पर एक दिलचस्प विषय पर बात करते हैं:

मिथक # 1 हमें एक सुरक्षा नीति की आवश्यकता नहीं है क्योंकि हमारे पास एक छोटा व्यवसाय है

तथ्य: सभी और हर कंपनी को एक सुरक्षा नीति की आवश्यकता होती है

मिथक # 2 सुरक्षा परीक्षण में निवेश पर कोई रिटर्न नहीं है

तथ्य: सुरक्षा परीक्षण सुधार के लिए क्षेत्रों को इंगित कर सकते हैं जो दक्षता में सुधार कर सकते हैं और डाउनटाइम को कम कर सकते हैं, जिससे अधिकतम थ्रूपुट को सक्षम किया जा सकता है।

मिथक # 3 : सुरक्षित करने का एकमात्र तरीका इसे अनप्लग करना है।

तथ्य: किसी संगठन को सुरक्षित करने का एकमात्र और सबसे अच्छा तरीका "परफेक्ट सिक्योरिटी" है। एक आसन मूल्यांकन करने और व्यापार, कानूनी और उद्योग के औचित्य के साथ तुलना करके परिपूर्ण सुरक्षा प्राप्त की जा सकती है।

मिथक # 4 : इंटरनेट सुरक्षित नहीं है। मैं सिस्टम की सुरक्षा और व्यवसाय को बचाने के लिए सॉफ्टवेयर या हार्डवेयर खरीदूंगा।

तथ्य: सुरक्षा के लिए सॉफ्टवेयर और हार्डवेयर खरीदना सबसे बड़ी समस्याओं में से एक है। इसके बजाय, संगठन को पहले सुरक्षा को समझना चाहिए और फिर इसे लागू करना चाहिए।

निष्कर्ष:

सुरक्षा परीक्षण किसी एप्लिकेशन के लिए सबसे महत्वपूर्ण परीक्षण है और यह जांचता है कि गोपनीय डेटा गोपनीय रहता है या नहीं। इस प्रकार के परीक्षण में, परीक्षक हमलावर की भूमिका निभाता है और सुरक्षा से संबंधित बगों को खोजने के लिए सिस्टम के चारों ओर खेलता है। सभी तरीकों से डेटा की सुरक्षा के लिए सॉफ्टवेयर इंजीनियरिंग में सुरक्षा परीक्षण बहुत महत्वपूर्ण है।