भेदन परीक्षण
पेनेट्रेशन टेस्टिंग या पेन टेस्टिंग एक प्रकार का सुरक्षा परीक्षण है जिसका उपयोग कमजोरियों, खतरों और जोखिमों को उजागर करने के लिए किया जाता है जो एक हमलावर सॉफ्टवेयर एप्लिकेशन, नेटवर्क या वेब एप्लिकेशन में शोषण कर सकता है। पैठ परीक्षण का उद्देश्य सॉफ्टवेयर अनुप्रयोग में मौजूद सभी संभावित सुरक्षा कमजोरियों की पहचान करना और उनका परीक्षण करना है। पेनेट्रेशन टेस्टिंग को पेन टेस्ट भी कहा जाता है।
भेद्यता वह जोखिम है जो एक हमलावर सिस्टम में या उसके भीतर निहित किसी भी डेटा तक अधिकृत पहुंच को बाधित या प्राप्त कर सकता है। आमतौर पर कमजोरियों को सॉफ्टवेयर विकास और कार्यान्वयन चरण के दौरान दुर्घटना द्वारा पेश किया जाता है। सामान्य कमजोरियों में डिज़ाइन त्रुटियां, कॉन्फ़िगरेशन त्रुटियां, सॉफ़्टवेयर बग आदि शामिल हैं। पेनेट्रेशन एनालिसिस दो तंत्रों पर निर्भर करता है, जैसे वल्नेरेबिलिटी असेसमेंट एंड पेनिट्रेशन टेस्टिंग (VAPT)।
पेनिट्रेशन परीक्षण क्यों?
उद्यम में प्रवेश आवश्यक है क्योंकि -
- बैंक, निवेश बैंकिंग, स्टॉक ट्रेडिंग एक्सचेंज जैसे वित्तीय क्षेत्र चाहते हैं कि उनका डेटा सुरक्षित हो, और सुरक्षा सुनिश्चित करने के लिए पैठ परीक्षण आवश्यक है
- यदि सॉफ़्टवेयर सिस्टम पहले से ही हैक है और संगठन यह निर्धारित करना चाहता है कि भविष्य के हैक से बचने के लिए सिस्टम में कोई खतरा अभी भी मौजूद है या नहीं।
- प्रोएक्टिव पेनेट्रेशन टेस्टिंग हैकर्स के खिलाफ सबसे अच्छा सुरक्षा कवच है
प्रवेश परीक्षण के प्रकार:
चयनित प्रवेश परीक्षा का प्रकार आमतौर पर दायरे पर निर्भर करता है और संगठन किसी कर्मचारी, नेटवर्क व्यवस्थापक (आंतरिक स्रोत) या बाहरी स्रोतों द्वारा हमले का अनुकरण करना चाहता है या नहीं। पेनेट्रेशन परीक्षण तीन प्रकार के होते हैं और वे होते हैं
- ब्लैक बॉक्स परीक्षण
- व्हाइट बॉक्स पेनेट्रेशन परीक्षण
- ग्रे बॉक्स प्रवेश परीक्षण
ब्लैक-बॉक्स प्रवेश परीक्षण में, एक परीक्षक को परीक्षण किए जाने वाले सिस्टम के बारे में कोई जानकारी नहीं होती है। वह लक्ष्य नेटवर्क या सिस्टम के बारे में जानकारी एकत्र करने के लिए जिम्मेदार है।
एक सफेद-बॉक्स पैठ परीक्षण में, परीक्षक को आमतौर पर आईपी पते स्कीमा, स्रोत कोड, ओएस विवरण आदि सहित परीक्षण किए जाने वाले नेटवर्क या प्रणालियों के बारे में पूरी जानकारी प्रदान की जाती है। इसे किसी भी हमले का अनुकरण माना जा सकता है। आंतरिक स्रोत (एक संगठन के कर्मचारी)।
एक ग्रे बॉक्स प्रवेश परीक्षण में, एक परीक्षक को सिस्टम के आंशिक ज्ञान के साथ प्रदान किया जाता है। इसे एक बाहरी हैकर द्वारा हमला माना जा सकता है जिसने किसी संगठन के नेटवर्क इन्फ्रास्ट्रक्चर दस्तावेजों तक नाजायज पहुंच प्राप्त की थी।
पेनिट्रेशन टेस्टिंग कैसे करें
पेनेट्रेशन टेस्ट को अंजाम देने के लिए निम्नलिखित गतिविधियाँ करने की आवश्यकता है -
चरण 1) योजना चरण
- कार्य का कार्यक्षेत्र और रणनीति निर्धारित की जाती है
- मौजूदा सुरक्षा नीतियों, मानकों का उपयोग गुंजाइश को परिभाषित करने के लिए किया जाता है
चरण 2) डिस्कवरी चरण
- सिस्टम में डेटा, उपयोगकर्ता नाम और यहां तक कि पासवर्ड सहित सिस्टम के बारे में अधिक से अधिक जानकारी एकत्र करें। इसे FINGERPRINTING भी कहा जाता है
- बंदरगाहों में स्कैन और जांच
- सिस्टम की कमजोरियों की जाँच करें
चरण 3) हमला चरण
- विभिन्न कमजोरियों के लिए कारनामे ढूंढें आपको सिस्टम का फायदा उठाने के लिए आवश्यक सुरक्षा विशेषाधिकार चाहिए
चरण 4) रिपोर्टिंग चरण
- एक रिपोर्ट में विस्तृत निष्कर्ष शामिल होना चाहिए
- मिली कमजोरियों के जोखिम और उनके व्यापार पर प्रभाव
- सिफारिशें और समाधान, यदि कोई हो
प्रवेश परीक्षण में मुख्य कार्य प्रणाली की जानकारी इकट्ठा करना है। जानकारी जुटाने के दो तरीके हैं -
- मेजबान के संबंध में 'वन टू वन' या 'वन टू वन' मॉडल: एक परीक्षक एक लक्ष्य मेजबान या लक्ष्य मेजबानों के तार्किक समूह (जैसे एक सबनेट) के खिलाफ एक रेखीय तरीके से तकनीक का प्रदर्शन करता है।
- 'कई से एक' या 'कई से कई' मॉडल: परीक्षक यादृच्छिक, दर-सीमित और गैर-रेखीय में सूचना एकत्र करने की तकनीकों को निष्पादित करने के लिए कई मेजबानों का उपयोग करता है।
पेनेट्रेशन टेस्टिंग टूल्स के उदाहरण
वहाँ उपकरणों की एक विस्तृत विविधता है कि पैठ परीक्षण में उपयोग किया जाता है और महत्वपूर्ण उपकरण हैं:
- NMap- इस टूल का इस्तेमाल पोर्ट स्कैनिंग, OS आइडेंटिफिकेशन, ट्रेस रूट और वल्नेरेबिलिटी स्कैनिंग के लिए किया जाता है।
- नेसस- यह पारंपरिक नेटवर्क-आधारित भेद्यता उपकरण है।
- पास-द-हैश - यह उपकरण मुख्य रूप से पासवर्ड क्रैकिंग के लिए उपयोग किया जाता है।
प्रवेश परीक्षक की भूमिका और जिम्मेदारियां:
प्रवेश परीक्षक का काम है:
- प्रवेश परीक्षाओं को सक्षम करने के लिए परीक्षकों को संगठन से आवश्यक जानकारी एकत्र करनी चाहिए
- उन खामियों का पता लगाएं जो हैकर्स को लक्ष्य मशीन पर हमला करने की अनुमति दे सकती हैं
- पेन टेस्टर्स को नैतिक रूप से असली हैकर्स की तरह सोचना और कार्य करना चाहिए।
- पेनेट्रेशन परीक्षकों द्वारा किया गया कार्य प्रजनन योग्य होना चाहिए ताकि डेवलपर्स के लिए इसे ठीक करना आसान हो जाए
- प्रारंभ तिथि और परीक्षण निष्पादन की अंतिम तिथि को पहले से परिभाषित किया जाना चाहिए।
- सॉफ़्टवेयर परीक्षण के दौरान सिस्टम या जानकारी में किसी भी नुकसान के लिए एक परीक्षक को जिम्मेदार होना चाहिए
- एक परीक्षक को डेटा और सूचना को गोपनीय रखना चाहिए
मैन्युअल प्रवेश बनाम स्वचालित प्रवेश परीक्षण:
| मैनुअल पेनेट्रेशन परीक्षण | स्वचालित पेनेट्रेशन परीक्षण |
|---|---|
| मैन्युअल परीक्षण के लिए परीक्षणों को चलाने के लिए विशेषज्ञ पेशेवरों की आवश्यकता होती है | स्वचालित परीक्षण उपकरण कम अनुभवी पेशेवरों के साथ स्पष्ट रिपोर्ट प्रदान करते हैं |
| मैन्युअल परीक्षण के लिए इसे ट्रैक करने के लिए एक्सेल और अन्य उपकरणों की आवश्यकता होती है | स्वचालन परीक्षण में केंद्रीकृत और मानक उपकरण हैं |
| मैन्युअल परीक्षण में, नमूना परिणाम परीक्षण से परीक्षण के लिए भिन्न होते हैं | स्वचालित परीक्षण के मामले में, परिणाम परीक्षण से परीक्षण के लिए भिन्न नहीं होते हैं |
| मेमोरी क्लीनिंग को यूजर्स को याद रखना चाहिए | स्वचालित परीक्षण में व्यापक क्लीनअप होंगे। |
पेनेट्रेशन परीक्षण के नुकसान
पेनेट्रेशन परीक्षण प्रणाली में सभी कमजोरियों को नहीं पा सकता है। समय, बजट, गुंजाइश, पेनेट्रेशन टेस्टर्स के कौशल की सीमाएं हैं
जब हम पैठ परीक्षण कर रहे हैं तो निम्नलिखित दुष्प्रभाव होंगे:
- डेटा हानि और भ्रष्टाचार
- डाउन टाइम
- लागत में वृद्धि
निष्कर्ष:
परीक्षकों को एक वास्तविक हैकर की तरह काम करना चाहिए और एप्लिकेशन या सिस्टम का परीक्षण करना चाहिए और यह जांचने की आवश्यकता है कि कोई कोड सुरक्षित रूप से लिखा गया है या नहीं। यदि एक अच्छी तरह से लागू सुरक्षा नीति है, तो एक प्रवेश परीक्षा प्रभावी होगी। प्रवेश परीक्षण नीति और कार्यप्रणाली को पैठ परीक्षण को अधिक प्रभावी बनाने के लिए एक जगह होनी चाहिए। यह पेनेट्रेशन टेस्टिंग के लिए एक पूर्ण शुरुआती गाइड है।
हमारे लाइव पेनेट्रेशन टेस्टिंग प्रोजेक्ट की जाँच करें