भेद्यता परीक्षण
भेद्यता परीक्षण भी कहा जाता है भेद्यता मूल्यांकन खतरों की संभावना को कम करने के लिए सॉफ्टवेयर सिस्टम में सुरक्षा जोखिम का मूल्यांकन करने की एक प्रक्रिया है। भेद्यता परीक्षण का उद्देश्य घुसपैठियों / हैकर्स के लिए सिस्टम की अनधिकृत पहुंच प्राप्त करने की संभावना को कम कर रहा है। यह वल्नरेबिलिटी असेसमेंट एंड पेनिट्रेशन टेस्टिंग (VAPT) या VAPT परीक्षण नाम के तंत्र पर निर्भर करता है।
सिस्टम की सुरक्षा प्रक्रियाओं, डिजाइन, कार्यान्वयन या किसी भी आंतरिक नियंत्रण में कोई भेद्यता कोई गलती या कमजोरी है, जिसके परिणामस्वरूप सिस्टम की सुरक्षा नीति का उल्लंघन हो सकता है।
इस ट्यूटोरियल में, आप सीखेंगे-
- भेद्यता मूल्यांकन क्या है
- भेद्यता मूल्यांकन क्यों करते हैं
- भेद्यता मूल्यांकन और प्रवेश परीक्षण (VAPT) प्रक्रिया
- भेद्यता परीक्षण कैसे करें
- भेद्यता स्कैनर के प्रकार
- भेद्यता स्कैनिंग के लिए उपकरण
- भेद्यता मूल्यांकन के लाभ
- भेद्यता मूल्यांकन के नुकसान
- भेद्यता मूल्यांकन और प्रवेश परीक्षण की तुलना
- भेद्यता परीक्षण के तरीके
भेद्यता मूल्यांकन क्यों करते हैं
- यह संगठन की सुरक्षा के लिए महत्वपूर्ण है।
- कमजोरियों का पता लगाने और रिपोर्ट करने की प्रक्रिया, जो कमजोरियों को किसी के सामने या किसी चीज का शोषण करने से पहले रैंकिंग करके सुरक्षा समस्याओं का पता लगाने और हल करने का एक तरीका प्रदान करती है।
- इस प्रक्रिया में ऑपरेटिंग सिस्टम, एप्लिकेशन सॉफ़्टवेयर और नेटवर्क को कमजोरियों की घटना की पहचान करने के लिए स्कैन किया जाता है, जिसमें अनुचित सॉफ़्टवेयर डिज़ाइन, असुरक्षित प्रमाणीकरण आदि शामिल हैं।
भेद्यता मूल्यांकन प्रक्रिया
यहाँ सिस्टम भेद्यता की पहचान करने के लिए स्टेप बाय स्टेप वल्नेरेबिलिटी असेसमेंट प्रोसेस है।
चरण 1) लक्ष्य और उद्देश्य : - भेद्यता विश्लेषण के लक्ष्यों और उद्देश्यों को परिभाषित करना।
चरण 2) स्कोप : - असेसमेंट और टेस्ट करते समय, स्कोप ऑफ़ द असाइनमेंट को स्पष्ट रूप से परिभाषित करने की आवश्यकता है।
निम्नलिखित तीन संभावित स्कोप हैं जो मौजूद हैं:
- ब्लैक बॉक्स परीक्षण: - आंतरिक नेटवर्क और प्रणालियों के पूर्व ज्ञान के साथ बाहरी नेटवर्क से परीक्षण।
- ग्रे बॉक्स परीक्षण: - आंतरिक नेटवर्क और सिस्टम के ज्ञान के साथ बाहरी या आंतरिक नेटवर्क से परीक्षण। यह ब्लैक बॉक्स परीक्षण और व्हाइट बॉक्स परीक्षण दोनों का संयोजन है।
- व्हाइट बॉक्स परीक्षण: - आंतरिक नेटवर्क और प्रणाली के ज्ञान के साथ आंतरिक नेटवर्क के भीतर परीक्षण। आंतरिक परीक्षण के रूप में भी जाना जाता है।
चरण 3) सूचना एकत्रीकरण : - आईटी वातावरण के बारे में अधिक जानकारी प्राप्त करना जैसे नेटवर्क, आईपी एड्रेस, ऑपरेटिंग सिस्टम संस्करण, आदि। यह ब्लैक बॉक्स परीक्षण, ग्रे बॉक्स परीक्षण और व्हाइट बॉक्स परीक्षण जैसे सभी तीन प्रकार के स्कोपों पर लागू होता है।
चरण 4) भेद्यता जांच : - इस प्रक्रिया में, आईटी वातावरण को स्कैन करने और कमजोरियों की पहचान करने के लिए भेद्यता स्कैनर का उपयोग किया जाता है।
चरण 5) सूचना विश्लेषण और योजना : - यह नेटवर्क और सिस्टम में घुसने की योजना तैयार करने के लिए पहचानी गई कमजोरियों का विश्लेषण करेगा।
कैसे करें कमजोरियों का आकलन
इसके बाद चरणबद्ध प्रक्रिया का पालन करें कि कैसे वल्नेरेबिलिटी असेसमेंट किया जाए :
चरण 1) सेटअप:
- प्रलेखन शुरू करें
- सुरक्षित अनुमतियाँ
- अद्यतन उपकरण
- उपकरण कॉन्फ़िगर करें
चरण 2) परीक्षा निष्पादन:
- उपकरण चलाएं
- कैप्चर किए गए डेटा पैकेट को चलाएं (एक पैकेट डेटा की वह इकाई है जो किसी उत्पत्ति और गंतव्य के बीच रूट की जाती है। जब कोई फ़ाइल, उदाहरण के लिए, ई-मेल संदेश, HTML फ़ाइल, यूनिफ़ॉर्म रिसोर्स लोकेटर (URL) अनुरोध, आदि को भेजा जाता है। इंटरनेट पर एक स्थान से दूसरे स्थान पर, टीसीपी / आईपी की टीसीपी परत को कुशल मार्ग के लिए फ़ाइल को "चंक्स" की संख्या में विभाजित किया जाता है, और इनमें से प्रत्येक हिस्सा विशिष्ट संख्या में होगा और इसमें गंतव्य का इंटरनेट पता शामिल होगा। विखंडू को पैकेट कहा जाता है। जब सभी पैकेट आ जाते हैं, तो उन्हें मूल्यांकन उपकरण चलाते समय प्राप्त अंत में टीसीपी परत द्वारा मूल फ़ाइल में फिर से भेजा जाएगा।
चरण 3) भेद्यता विश्लेषण:
- नेटवर्क या सिस्टम संसाधनों को परिभाषित और वर्गीकृत करना।
- संसाधनों को प्राथमिकता देना (उदा: - उच्च, मध्यम, निम्न)
- प्रत्येक संसाधन के लिए संभावित खतरों की पहचान करना।
- सबसे पहले प्राथमिकता वाली समस्याओं से निपटने के लिए एक रणनीति विकसित करना।
- यदि हमला होता है तो परिणामों को कम करने के तरीकों को परिभाषित करना और लागू करना।
चरण 4) रिपोर्टिंग
चरण 5) बचाव:
- कमजोरियों को ठीक करने की प्रक्रिया।
- हर भेद्यता के लिए प्रदर्शन किया
एक भेद्यता स्कैनर के प्रकार
- होस्ट आधारित
- होस्ट या सिस्टम में समस्याओं की पहचान करता है।
- होस्ट-आधारित स्कैनर का उपयोग करके और कमजोरियों का निदान करके प्रक्रिया को पूरा किया जाता है।
- होस्ट-आधारित टूल लक्ष्य प्रणाली पर एक मध्यस्थ सॉफ्टवेयर लोड करेगा; यह घटना का पता लगाएगा और सुरक्षा विश्लेषक को रिपोर्ट करेगा।
- संजाल आधारित
- यह खुले बंदरगाह का पता लगाएगा, और इन बंदरगाहों पर चलने वाली अज्ञात सेवाओं की पहचान करेगा। तब यह इन सेवाओं से जुड़ी संभावित कमजोरियों का खुलासा करेगा।
- यह प्रक्रिया नेटवर्क-आधारित स्कैनर्स का उपयोग करके की जाती है।
- डेटाबेस के आधार पर
- यह SQL इंजेक्शन से रोकने के लिए उपकरण और तकनीकों का उपयोग करके डेटाबेस सिस्टम में सुरक्षा जोखिम की पहचान करेगा। (एसक्यूएल इंजेक्शन: - दुर्भावनापूर्ण उपयोगकर्ताओं द्वारा डेटाबेस में एसक्यूएल बयानों को इंजेक्ट करना, जो डेटाबेस से संवेदनशील डेटा को पढ़ सकते हैं और डेटाबेस में डेटा को अपडेट कर सकते हैं।)
भेद्यता स्कैनिंग के लिए उपकरण
घुसेड़नेवाला
घुसपैठिए एक शक्तिशाली ऑनलाइन भेद्यता स्कैनर है जो आपके आईटी वातावरण में सुरक्षा कमजोरियों को दूर करता है। उद्योग की अग्रणी सुरक्षा जांच, निरंतर निगरानी और एक आसान प्लेटफॉर्म की पेशकश करते हुए, घुसपैठिए हैकर्स से सभी आकारों के व्यवसायों को सुरक्षित रखता है।
विशेषताएं:
- 10,000 से अधिक सुरक्षा जांच के साथ सर्वश्रेष्ठ इन-क्लास खतरा कवरेज
- कॉन्फ़िगरेशन कमजोरियों, गुम पैच, एप्लिकेशन कमजोरियों (जैसे SQL इंजेक्शन और क्रॉस-साइट स्क्रिप्टिंग) और अधिक के लिए जाँच करता है
- स्वचालित विश्लेषण और स्कैन परिणामों की प्राथमिकता
- सहज ज्ञान युक्त अंतरफलक, अपना पहला स्कैन सेट-अप करने और चलाने के लिए त्वरित
- नवीनतम कमजोरियों के लिए सक्रिय सुरक्षा निगरानी
- AWS, Azure और Google क्लाउड कनेक्टर
- आपके CI / CD पाइपलाइन के साथ एपीआई एकीकरण
| वर्ग | साधन | विवरण |
|---|---|---|
| होस्ट आधारित | स्टेट | नेटवर्क में कई सिस्टम स्कैन करें। |
| तारा | टाइगर विश्लेषणात्मक अनुसंधान सहायक। | |
| कैन और हाबिल | नेटवर्क को सूँघकर, पासवर्ड को क्रॉप करके पासवर्ड पुनर्प्राप्त करें। | |
| Metasploit | विकास, परीक्षण और शोषण कोड के लिए खुला स्रोत मंच। | |
| संजाल आधारित | सिस्को सुरक्षित स्कैनर | निदान और मरम्मत सुरक्षा समस्याएं। |
| वायरशार्क | ओपन सोर्स नेटवर्क प्रोटोकॉल विश्लेषक लिनक्स और विंडोज के लिए। | |
| नप | सुरक्षा ऑडिटिंग के लिए मुक्त स्रोत उपयोगिता। | |
| नेसस | एजेंट रहित ऑडिटिंग, रिपोर्टिंग और पैच प्रबंधन एकीकरण। | |
| डेटाबेस के आधार पर | एसक्यूएल आहार | SQL सर्वर के लिए शब्दकोश हमला उपकरण दरवाजा। |
| सुरक्षित लेखा परीक्षक | ओएस पर उपयोगकर्ता को एन्यूमरेशन, स्कैनिंग, ऑडिटिंग और पैठ परीक्षण और फोरेंसिक प्रदर्शन करने के लिए सक्षम करें। | |
| DB- स्कैन | एक डेटाबेस के ट्रोजन का पता लगाने, बेसलाइन स्कैनिंग द्वारा छिपे हुए ट्रोजन का पता लगाना। |
भेद्यता मूल्यांकन के लाभ
- ओपन सोर्स टूल उपलब्ध हैं।
- लगभग सभी कमजोरियों की पहचान करता है
- स्कैनिंग के लिए स्वचालित।
- नियमित रूप से चलाना आसान है।
भेद्यता मूल्यांकन के नुकसान
- उच्च झूठी सकारात्मक दर
- घुसपैठ जांच प्रणाली फ़ायरवॉल द्वारा आसानी से पता लगा सकते हैं।
- अक्सर नवीनतम कमजोरियों को नोटिस करने में विफल।
भेद्यता मूल्यांकन और प्रवेश परीक्षण की तुलना
| जोखिम मूल्यांकन | भेदन परीक्षण | |
|---|---|---|
| काम में हो | कमजोरियों की खोज करें | पहचानें और शोषण कमजोरियों |
| तंत्र | डिस्कवरी और स्कैनिंग | सिमुलेशन |
| फोकस | गहराई पर चौड़ाई | चौड़ाई पर गहराई |
| पूर्णता का कवरेज | उच्च | कम |
| लागत | निम्न- मध्यम | उच्च |
| द्वारा प्रदर्शित | इन-हाउस स्टाफ | हमलावर या पेन टेस्टर |
| परीक्षक ज्ञान | उच्च | कम |
| कितनी बार चलाना है | प्रत्येक उपकरण लोड होने के बाद | साल में एक बार |
| परिणाम | कमजोरियों के बारे में आंशिक विवरण प्रदान करें | कमजोरियों का पूरा विवरण प्रदान करें |
भेद्यता परीक्षण के तरीके
सक्रिय परीक्षण
- निष्क्रिय परीक्षण, एक परीक्षक नए परीक्षण डेटा का परिचय देता है और परिणामों का विश्लेषण करता है।
- परीक्षण प्रक्रिया के दौरान, परीक्षक प्रक्रिया का एक मानसिक मॉडल बनाते हैं, और परीक्षण के तहत सॉफ्टवेयर के साथ बातचीत के दौरान यह और बढ़ेगा।
- परीक्षण करते समय, परीक्षक नए परीक्षण मामलों और नए विचारों का पता लगाने की प्रक्रिया में सक्रिय रूप से शामिल होगा। इसलिए इसे एक्टिव टेस्टिंग कहा जाता है।
निष्क्रिय परीक्षण
- निष्क्रिय परीक्षण, नए परीक्षण मामलों या डेटा को पेश किए बिना परीक्षण के तहत चल रहे सॉफ़्टवेयर के परिणाम की निगरानी करना
नेटवर्क परीक्षण
- नेटवर्क परीक्षण एक समय में नेटवर्क संचालन की वर्तमान स्थिति को मापने और रिकॉर्ड करने की प्रक्रिया है।
- परीक्षण मुख्य रूप से लोड के तहत संचालित नेटवर्क की भविष्यवाणी करने या नई सेवाओं द्वारा बनाई गई समस्याओं का पता लगाने के लिए किया जाता है।
- हमें निम्नलिखित नेटवर्क विशेषताओं का परीक्षण करने की आवश्यकता है: -
- उपयोग के स्तर
- उपयोगकर्ताओं की संख्या
- अनुप्रयोग उपयोग
वितरित परीक्षण
- वितरित परीक्षण परीक्षण वितरित अनुप्रयोगों के परीक्षण के लिए लागू किए जाते हैं, जिसका अर्थ है, ऐसे अनुप्रयोग जो एक साथ कई ग्राहकों के साथ काम कर रहे हैं। मूल रूप से, किसी वितरित एप्लिकेशन का परीक्षण करने का अर्थ है कि उसके ग्राहक और सर्वर भागों का अलग-अलग परीक्षण करना, लेकिन वितरित परीक्षण पद्धति का उपयोग करके, हम उन सभी का एक साथ परीक्षण कर सकते हैं।
- टेस्ट भाग, टेस्ट रन के दौरान एक दूसरे के साथ बातचीत करेंगे। यह उन्हें एक उपयुक्त तरीके से सिंक्रनाइज़ करता है। वितरित परीक्षण में सिंक्रनाइज़ेशन सबसे महत्वपूर्ण बिंदुओं में से एक है।
निष्कर्ष
सॉफ्टवेयर इंजीनियरिंग में, भेद्यता परीक्षण दो तंत्रों पर निर्भर करता है जैसे कि भेद्यता मूल्यांकन और प्रवेश परीक्षण। ये दोनों परीक्षण एक-दूसरे से शक्ति और कार्यों में भिन्न हैं जो वे प्रदर्शन करते हैं। हालांकि, भेद्यता परीक्षण पर एक व्यापक रिपोर्ट प्राप्त करने के लिए, दोनों प्रक्रियाओं के संयोजन की सिफारिश की जाती है।
इस लेख में स्यामिनी श्रीधरन का योगदान है
