Sunceva

Методы пентеста

Результаты тестирования сильно зависят от уровня осведомленности исследователей о целевой системе. Традиционно выделяют три метода тестирования: белый, серый и черный ящики.

Тестирование при котором нам ничего неизвестно о целевой системе, кроме адреса. Отвечает на вопрос: что может сделать атакующий со средними навыками и ограниченными ресурсами и временем?


Такое тестирование, как правило, раскрывает наиболее вероятные пути компрометации, но не позволяет выяснить "Насколько действительно хорошо защищены мои данные?".


Во время тестирования сперва проводится оценка уязвимости, определяются входные точки для атакующего. Затем эксплуатируются выявленные уязвимости. Поскольку у нас нет учетных данных к системе, некоторые участки, такие как логика приложения, система авторизации и аутентификации, могут остаться непокрытыми.


Плюсы этого метода в том, что это наиболее близкий сценарий к реальным кибератакам.

Черный ящик
Тестирование, при котором у нас есть некоторая информация и доступ к целевой системе, например, учетные данные конкретной роли.

Такое тестирование обычно используется для выявления злонамеренных возможностей для выбранной роли, которая, например, имеет доступ к финансовым, личным и другим данным.

Во время тестирования проверяются механизмы аутентификации, логики приложения для выбранной роли, возможности получения к данным другим ролей в системе.

Тестирование серым ящиком включает в себя тестирование черным ящиком, вы получите обзор поверхностей атаки, доступных извне и для конкретной роли.
Серый ящик
Тестирование, при котором у нас есть доступ к исходному коду приложения (или полная информация о конфигурации компонентов инфраструктуры). Обычно исходный код не анализируется полностью, мы используем его для выявления уязвимостей в механизмах безопасности. Наличие всей информации о системе позволяют быстрее и эффективнее выявлять такие уязвимости как проблемы валидации вводных данных, механизмы аутентификации и так далее.

Такой вид тестирования отвечает на вопрос: насколько хорошо защищены мои данные?
Белый ящик
Остались вопросы?
Если у вас остались вопросы, то можете заполнить форму, оставив свои контактные данные и мы свяжемся с вами
в ближайшее время. Консультация бесплатна.
Sunceva
Подпишитесь на новости нашей компании
Контакты