vulnerability assessment
प्रवेश परीक्षण बनाम भेद्यता स्कैनिंग:
कई बार, मैंने टेस्टर्स और बिजनेस ओनर्स को पैठ परीक्षण और भेद्यता स्कैन के पीछे मूल विचार को समझने में गलती करते देखा है।
वे दोनों अक्सर समान सेवाओं के रूप में भ्रमित होते हैं। जब व्यापार यह तय करने में असमर्थ है कि प्रवेश परीक्षा या भेद्यता परीक्षण के लिए जाना है या नहीं। क्या पैठ परीक्षण भेद्यता परीक्षण के समान है या वे अलग हैं? यदि वे अलग हैं तो क्या वे संबंधित हैं? कौन सा चुनना है - प्रवेश परीक्षण या भेद्यता परीक्षण ?
हम इस ट्यूटोरियल में उपरोक्त सभी प्रश्नों के उत्तर जानने का प्रयास करेंगे।
आप क्या सीखेंगे:
- परिचय
- प्रवेश परीक्षण परिचय
- भेद्यता स्कैन परिचय
- पेनेट्रेशन टेस्टिंग Vs वल्नरेबिलिटी स्कैनिंग
- क्या भेद्यता स्कैन और पेनेट्रेशन परीक्षण एक दूसरे से संबंधित हैं?
- पेन टेस्ट या वल्नरेबिलिटी स्कैन में से किसे चुनें?
- सर्वाधिक लोकप्रिय उपकरण
- निष्कर्ष
- अनुशंसित पाठ
परिचय
शुरू करने के लिए, मैं आपको पाँच वाक्य पढ़ना चाहूंगा:
- केले एक पेड़ पर उगते हैं।
- एक सामान्य इंसान अपने मस्तिष्क का केवल 10% उपयोग करता है।
- अपने पोर को फोड़ने से बुढ़ापे में गठिया हो जाता है।
- चमगादड़ अंधे होते हैं।
- पेनेट्रेशन टेस्टिंग वल्नरेबिलिटी स्कैन के समान है।
क्या आप उपरोक्त सभी कथनों में एक सामान्य बात का अनुमान लगा सकते हैं? वे सभी मिथक हैं। हाँ य़ह सही हैं। वे सभी वास्तव में मिथक हैं।
हालाँकि, हमारे इस ट्यूटोरियल में, हम न तो केले और न ही चमगादड़ के बारे में परेशान हैं। हम सभी की देखभाल कमजोर पड़ने वाले स्कैन की तुलना में पेनेट्रेशन परीक्षण के बारे में है। तुलना के बारे में अधिक जानने के लिए या यह साबित करने के लिए कि कथन एक मिथक है, हम पहले पेनेट्रेशन परीक्षण और कमजोरता स्कैन का अलग-अलग विश्लेषण करेंगे।
प्रवेश परीक्षण परिचय
एक पेनिट्रेशन टेस्ट को संक्षेप में 'पेन टेस्ट' के रूप में भी जाना जाता है। इस तरह की परीक्षा प्रणाली में एक रास्ता खोजने के लिए एक प्रणाली के लिए की जाती है। यह उस महत्वपूर्ण डेटा को उजागर कर सकता है जो सिस्टम द्वारा बाहरी दुनिया में संग्रहीत किया जाता है।
सामान्य तौर पर, पैठ परीक्षण लक्ष्य का हो सकता है सफेद बॉक्स प्रकार या ब्लैक बॉक्स प्रकार ।
ब्लैक बॉक्स पेनेट्रेशन परीक्षण:
आमतौर पर, परीक्षक को नाम के अलावा सिस्टम के किसी भी विवरण के साथ प्रदान नहीं किया जाता है। यह वास्तविक जीवन के हैक के समान है, जहां हैकर को आवेदन के नाम के अलावा और किसी चीज की जानकारी नहीं होती है।
ब्लैक बॉक्स परीक्षण वास्तविक जीवन की स्थितियों की नकल करता है और यह समय लेने वाली नहीं है। हालांकि, स्रोत कोड और बुनियादी ढांचे से संबंधित अज्ञात क्षेत्रों के कारण, सिस्टम के छूटे हुए हिस्सों की हमेशा संभावना रहती है।
सफेद बॉक्स प्रवेश परीक्षण:
इस प्रक्रिया में, सिस्टम से संबंधित सभी आवश्यक डेटा, जिसे टेस्टर में प्रवेश करना होता है, प्रदान किया जाता है।
डेटा नेटवर्क आर्किटेक्चर, सिस्टम कॉन्फ़िगरेशन, स्रोत कोड आदि हो सकते हैं। यह ब्लैक बॉक्स टाइप पेन परीक्षण की तुलना में एक लंबी प्रक्रिया है। यह एक गहन प्रक्रिया है और ब्लैक बॉक्स प्रकार की तुलना में इसकी गहन कवरेज है।
पेन परीक्षण हमेशा क्लाइंट से अनुमति / अनुरोध के साथ किया जाता है। स्वामी की सहमति के बिना किसी साइट पर पेन परीक्षण करना गैरकानूनी है और इसे हैकिंग कहा जा सकता है।
अब तक, हम जानते हैं कि प्रवेश परीक्षण क्या है, और यह जानने का समय है कि संगठन इसके लिए क्यों चुनते हैं। कहा जाता है, सॉरी से बेहतर है सुरक्षित रहना। पेन परीक्षण एक आर्किटेक्चर को हमलों के लिए मजबूत और प्रतिरोधी बनाता है।
भेद्यता स्कैन परिचय
किसी सिस्टम में भेद्यता / कमजोरी का पता लगाने के लिए एक भेद्यता स्कैन का उपयोग किया जाता है। लक्ष्य कंप्यूटर पर एक एप्लिकेशन [भेद्यता स्कैनर कहा जाता है] चलाकर यह कार्य किया जाता है। ये एप्लिकेशन या स्कैनर सीधे लक्ष्य कंप्यूटर पर या नेटवर्क स्थान से निष्पादित किए जा सकते हैं।
नेटवर्क स्थान बड़े संगठनों के लिए तस्वीर में आता है, जबकि स्थानीय कंप्यूटर पर स्कैनर को हर समय निष्पादित करना संभव नहीं है।
अब, आप कैसे जानते हैं कि आपके एप्लिकेशन के लिए कौन सा स्कैनर काम कर सकता है? जवाब बहुत आसान है। अर्थात्, स्कैन करने के दौरान कमजोरता स्कैनर शायद ही सिस्टम विवरण / मापदंडों का उपयोग करते हैं।
वे सभी की जरूरत प्रणाली के आईपी है। अकेले आईपी के साथ, एक भेद्यता स्कैनर संभावित स्थानों का पता लगा सकता है जहां सिस्टम पर हमला किया जा सकता है।
ऐसी परिस्थितियां हैं जहां एक कंपनी में इंट्रानेट है और सभी कंप्यूटर इंटरनेट की दुनिया में उजागर नहीं होते हैं। उस स्थिति में, भेद्यता स्कैनर को इंट्रानेट के भीतर से चलाया जाना चाहिए, जिसके द्वारा आंतरिक कमजोरियों के साथ-साथ बाहरी कमजोरियों के लिए स्कैन किया जा सकता है।
एक बार जब एक परीक्षण / स्कैनिंग पूरी हो जाती है, तो स्कैनर सभी संभावित कमजोरियों को प्रदर्शित करने वाली रिपोर्ट प्राप्त करने में मदद करता है। उत्पन्न रिपोर्ट में इसमें कमजोरियों से संबंधित विभिन्न आंकड़े हैं।
डेटा से लेकर, सर्वर आँकड़े [भेद्यता सूचकांक पर आधारित], विभिन्न सर्वरों पर चलने वाली विभिन्न सेवाओं की स्थिति, उनकी गंभीरता के स्तर के आधार पर मिली कमजोरियों की स्थिति।
एक रिपोर्ट तैयार हो जाने के बाद, वास्तविक स्थिति का पता लगाने के लिए इसका विश्लेषण किया जाना चाहिए। हर समय नहीं, जो कमजोरियां पाई जाती हैं, वे गंभीर हैं। ऐसे मामले हो सकते हैं, जहां स्कैनर सिर्फ नाम को खींचेगा क्योंकि जो डेटा अपेक्षित था वह आउटपुट से मेल नहीं खाता। लेकिन, यह सब के बाद एक सच्ची भेद्यता नहीं हो सकती है।
यही कारण है कि भेद्यता स्कैन रिपोर्ट पर आगे का विश्लेषण किया जाना है ताकि पता चल सके कि भेद्यता एक सही है या नहीं।
पेनेट्रेशन टेस्टिंग Vs वल्नरेबिलिटी स्कैनिंग
अब हम जानते हैं कि पेनेट्रेशन परीक्षण प्रक्रिया क्या है और स्केलेबिलिटी स्कैनिंग क्या है।
अब दोनों दिग्गजों के बीच एक सिर से टकराते हुए आगे बढ़ना मजेदार होगा।
उदाहरण:
हम दोनों के बीच के अंतर को समझने के लिए वास्तविक जीवन में उदाहरण प्राप्त करेंगे।
उदाहरण के लिए मिस्टर एक्स को लें। मिस्टर एक्स एक हेट स्पेशलिस्ट हैं। हम उनके अगले वारिस के लिए उनकी योजना का निरीक्षण करेंगे। वह शहर के बीच में मौजूद एक बैंक को लूटने की योजना बना रहा है।
बैंक भवन एक पुलिस स्टेशन, एक फायर स्टेशन, एक सार्वजनिक पार्क [जो रात में बंद रहता है] और एक तालाब से घिरा हुआ है। बैंक की इमारत 20 फ़्लोर वाली इमारत है, जिसके शीर्ष पर एक हेलीपैड है। इससे पहले कि वह वास्तव में बैंक को लूटता है, उसे बैंक भवन में संभावित प्रवेश बिंदुओं को खोजने की आवश्यकता है।
बिल्डिंग के जिन हिस्सों में पुलिस स्टेशन और फायर स्टेशन है उन्हें तोड़ना असंभव है। वे 24X7 संचालित करते हैं और जो प्रवेश बिंदु के रूप में कॉप की मांद का उपयोग करके बैंक को लूटने का साहस करेंगे! श्री एक्स को 3 अन्य विकल्पों के साथ छोड़ देता है। हां, आपने इसे सही पाया। वह एक प्रवेश बिंदु के रूप में रूफ भी रख रहा है [बैटमैन ट्रिलॉजी से हीथ लेजर को याद रखें?]।
छत यहां एक अजीब विकल्प प्रतीत होती है क्योंकि इमारत केवल 20 तैर रही है और आपके आसपास के लोगों से पकड़े जाने की संभावना बहुत अधिक है। और, बैंक क्षेत्र में एकमात्र एकल ऊंची इमारत है। तो, कि छत प्रवेश एक बड़ा नहीं है! दो बचे हुए विकल्पों के साथ, श्री एक्स झील में प्रवेश बिंदु के रूप में विश्लेषण करना शुरू करता है।
झील में प्रवेश का एक अच्छा साधन हो सकता है लेकिन, दृश्यता एक चिंता का विषय होगा। अगर वे किसी को आधी रात को तैरते हुए देखते हैं, तो वह बैंक की इमारत की ओर कैसे जाएगा, कोई कैसे प्रतिक्रिया करेगा? अंतिम विकल्प सार्वजनिक पार्क है।
आइए पार्क का विस्तार से विश्लेषण करें। शाम छह बजे के बाद इसे जनता के लिए बंद कर दिया जाता है। पार्क में बहुत सारे पेड़ हैं जो चुपके मोड के लिए आवश्यक छाया और समर्थन देता है। पार्क में एक बाउंड्री वॉल है जिसे बैंक परिसर के साथ साझा किया गया है।
अब, उपरोक्त सभी विश्लेषणों को भेद्यता स्कैन कहा जा सकता है। एक स्कैनर इन सभी चीजों को करता है। अंदर जाने के लिए एक कमजोर स्थिति का पता लगाने के लिए।
हमारी कहानी पर वापस जाएं, मान लें कि मिस्टर एक्स पब्लिक पार्क एंट्री पॉइंट के माध्यम से बैंक में प्रवेश करने में सफल हो जाता है। वह आगे क्या करता है? चाहे वह नकदी पाने के लिए तिजोरी में टूट जाए या कीमती सामान पाने के लिए जमा लॉकर।
यह हिस्सा पेनेट्रेशन टेस्टिंग है। आप पहुंच प्राप्त करते हैं और सिस्टम का फायदा उठाने की कोशिश करते हैं। आपको गहराई से पता चल जाता है कि आप इस हमले के साथ जा सकते हैं।
ध्यान दें: इस ट्यूटोरियल को लिखते समय कोई बैंक नहीं लूटे गए। और, श्री एक्स के नक्शेकदम पर चलना भी उचित नहीं है।
मैं आपको नीचे दिए गए तुलना चार्ट के साथ छोड़ रहा हूं ताकि आप दोनों के बीच अंतर पर अधिक स्पष्टता प्राप्त कर सकें।
क्या भेद्यता स्कैन और पेनेट्रेशन परीक्षण एक दूसरे से संबंधित हैं?
हां, भेद्यता स्कैन और पैठ परीक्षण एक दूसरे से संबंधित हैं। पेनेट्रेशन परीक्षण में भेद्यता स्कैन पर निर्भरता है।
पेनेट्रेशन परीक्षण शुरू करने के लिए, एक पूर्ण भेद्यता स्कैन किया जाता है ताकि परीक्षक को सिस्टम में मौजूद किसी भी कमजोरियों का पता चल सके और फिर उनका शोषण किया जा सके।
एकीकरण परीक्षण में परीक्षण किए गए दो प्रमुख आइटम इंटरफेस और अपेक्षित परिणाम हैं।
इसलिए, भेद्यता स्कैन के साथ, हमें संभावित कमजोरियों का पता चल जाता है लेकिन ये कमजोरियां इस बिंदु तक अप्रयुक्त हैं। यह पैठ परीक्षण है जो इस बात की पुष्टि करता है कि किस हद तक भेद्यता का दोहन संभव है।
वे कुछ बिंदुओं पर एक दूसरे के साथ प्रतिच्छेद भी करते हैं जैसा कि नीचे की छवि में दिखाया गया है:
पेन टेस्ट या वल्नरेबिलिटी स्कैन में से किसे चुनें?
दोनों के बीच के अंतर को समझने के बाद, अब यह सवाल उठता है कि - किसे चुनना है?
खैर, भेद्यता स्कैन का लक्ष्य आपके सिस्टम की कमजोरियों का पता लगाना और उन्हें ठीक करना है। जबकि, पैठ परीक्षण का लक्ष्य यह पता लगाना है कि क्या कोई आपके सिस्टम को तोड़ सकता है और यदि हाँ, तो हमले की गहराई क्या होगी और वे कितना सार्थक डेटा प्राप्त कर सकते हैं।
साथ में, भेद्यता स्कैन और पेन टेस्ट आपको बता सकता है कि जोखिम क्या है और इसे कैसे ठीक किया जा सकता है। उद्देश्य अपने सिस्टम की समग्र सुरक्षा में सुधार करना है। आपको अपने व्यवसाय की महत्वपूर्णता के आधार पर दोनों के बीच चयन करने की आवश्यकता है। यदि आप एक पेन परीक्षण के लिए जाते हैं, तो यह भेद्यता स्कैन को भी कवर करता है।
हालांकि, पेन टेस्ट बहुत महंगा है (लगभग $ 4,000 से $ 20,000) और एक समय लेने वाली के साथ-साथ भेद्यता स्कैन की तुलना में। यह होने का कारण बहुत सटीक और संपूर्ण परिणाम लाता है और यह झूठी सकारात्मक कमजोरियों को समाप्त करता है।
इस बीच, लिंग परीक्षण की तुलना में भेद्यता स्कैन बहुत जल्दी और बहुत सस्ता है (लगभग $ 100 प्रति आईपी, प्रति वर्ष, विक्रेता पर निर्भर करता है)। एक संगठन के रूप में, आप मासिक, त्रैमासिक या साप्ताहिक आधार पर भेद्यता स्कैन के लिए जा सकते हैं। और, वार्षिक रूप से पेन टेस्ट का विकल्प चुनें।
सर्वाधिक लोकप्रिय उपकरण
भेद्यता स्कैनिंग के लिए आमतौर पर उपयोग किए जाने वाले कुछ उपकरणों में शामिल हैं:
- नेसस
- कोई भी नहीं
- सेंट
- OpenVAS, आदि।
पेन टेस्ट के लिए आमतौर पर उपयोग किए जाने वाले टूल में शामिल हैं:
- गुण
- कोर प्रभाव
- मेटास्प्लोइट आदि।
पेन परीक्षक आवश्यकता के अनुसार अपना शोषण कोड भी लिखते हैं।
निष्कर्ष
इस ट्यूटोरियल से हमें पता चलता है कि पेन टेस्ट और वल्नरेबिलिटी स्कैन दोनों पूरी तरह से दो अलग-अलग गतिविधियाँ हैं, जो कि हमलों से एप्लिकेशन को सुरक्षित बनाने के लिए की जाती हैं। आवश्यकता पड़ने पर इनका उपयोग एक साथ भी किया जा सकता है।
भेद्यता परीक्षण संभावित खामियों की पहचान करता है और पेन परीक्षण इन खामियों को नुकसान / चोरी की सीमा को उजागर करने के लिए शोषण करता है जो व्यापार-महत्वपूर्ण जानकारी के लिए हो सकता है। वे खामियों को ठीक करने और सूचना प्रणाली में किसी भी संभावित हमलों और सुरक्षा उल्लंघनों से बचने के लिए किए जाते हैं।
अग्रिम पठन
- वेब एप्लिकेशन पेनेट्रेशन टेस्टिंग के साथ शुरुआत करना
- 37 सबसे शक्तिशाली प्रवेश परीक्षण उपकरण (सुरक्षा परीक्षण उपकरण)
- पेनेट्रेशन टेस्टिंग - सैंपल टेस्ट मामलों के साथ पूरा गाइड
- शीर्ष 10 सबसे उपयोगी कमजोरियों का आकलन स्कैनिंग उपकरण
- कैसे Acunetix वेब भेद्यता स्कैनर (WVS) का उपयोग करके वेब अनुप्रयोग सुरक्षा का परीक्षण करें - हैंड्स-ऑन रिव्यू
अनुशंसित पाठ
- सर्वश्रेष्ठ सॉफ्टवेयर परीक्षण उपकरण 2021 [क्यूए टेस्ट स्वचालन उपकरण]
- डेस्कटॉप, क्लाइंट सर्वर परीक्षण और वेब परीक्षण के बीच अंतर
- नेटवर्क सुरक्षा परीक्षण और सर्वश्रेष्ठ नेटवर्क सुरक्षा उपकरण
- 2021 में पेशेवरों द्वारा 19 शक्तिशाली पेनिट्रेशन टेस्टिंग टूल्स का उपयोग किया गया
- परीक्षण प्राइमर eBook डाउनलोड
- स्थैतिक परीक्षण और गतिशील परीक्षण - इन दो महत्वपूर्ण परीक्षण तकनीकों के बीच अंतर
- प्रदर्शन परीक्षण बनाम लोड परीक्षण बनाम तनाव परीक्षण (अंतर)
- सॉफ्टवेयर टेस्टिंग बेसिक्स के बीच 101 अंतर