Tổng quan về Penetration Testing
1. Penetration testing là gì ?
- Penetration Testing hay thường gọi là “pentest” hoặc “security testing” có thể hiểu đơn giản là đánh giá độ an toàn bằng cách tấn công vào hệ thống (gọi là đánh trận giả). Người thực hiện một thử nghiệm xâm nhập được gọi là kiểm tra xâm nhập hoặc pentester.
- Có một khái niệm khác mà đôi khi ta thường nhầm lẫn với Penetration Testing (PT) đó là Vulnerability Assessment (VA). Vậy VA là gì và nó khác gì so với PT ? Thực chất VA là quá trình rà soát lại các dịch vụ và hệ thống để tìm ra các vấn đề an ninh tiềm tàng hoặc dò tìm các dấu vết khi hệ thống bị tổn thương. Ngược lại PT thực hiện khai thác và tấn công thử nghiệm (POC attack) nhằm để tìm ra vấn đề an ninh tồn tại. Do đó PT đi xa hơn VA một bước bằng cách dựa theo các hoạt động thực sự của một hacker.
- Thâm nhập thử nghiệm có một yêu cầu là bạn phải nhận được sự cho phép của người sở hữu hệ thống. Nếu không, bạn sẽ được coi như là đang hack hệ thống, đó là bất hợp pháp ở hầu hết các quốc gia. Nói cách khác: Sự khác biệt giữa thử nghiệm thâm nhập và hack là bạn có sự cho phép của chủ sở hữu hệ thống .
- Để hiểu rõ hơn về Pentest, trước tiên bạn cần phải hiểu khái niệm bảo mật cơ bản của lỗ hổng bảo mật (vulnerabilities), khai thác (exploits) , và trọng tải (payloads).
1.1 Lỗ hổng (Vulnerabilities)
- Khái niệm Vulnerabilities là chỉ một lỗ hổng bảo mật trong một phần của phần mềm, phần cứng hoặc hệ điều hành, cung cấp một góc tiềm năng để tấn công hệ thống. Một lỗ hổng có thể đơn giản như mật khẩu yếu hoặc phức tạp như lỗi tràn bộ đệm hoặc các lỗ hổng SQL injection.
1.2 Khai thác (exploits)
- Khái niệm exploits ( động từ trong tiếng Anh mang nghĩa là “sử dụng một cái gì đó làm lợi thế cho chính mình” ) là việc lợi dụng điểm yếu của một lỗi, sự cố hay lỗ hổng của một phần của phần mềm, một đoạn dữ liệu hay một chuỗi các lệnh để nhằm gây ra các hành vi không mong muốn hoặc không lường trước xảy ra trên hệ thống máy tính. Những hành động đó có thể bao gồm các hành động leo thang đặc quyền, một cuộc tấn công từ chối dịch vụ, đánh cắp các thông tin nhạy cảm …
1.3 Trọng tải (payloads)
- Trọng tải (payloads) là một phần của phần mềm đang tồn tại lỗ hổng và được làm mục tiêu để khai thác (exploits).
2. Các phương pháp kiểm thử trong pentest.
2.1 Hộp đen (Black box)
- Kiểm thử từ bên ngoài vào (Black box Pentest): các cuộc tấn công sẽ được thực hiện mà không có bất kỳ thông tin nào, pentester sẽ đặt mình vào vị trí của những tin tặc mũ đen và cố gắng bằng mọi cách để thâm nhập vào được hệ thống của khách hàng.
- Pentester sẽ mô phỏng một cuộc tấn công thực sự vào hệ thống. Quá trình thử nghiệm bao gồm một loạt ứng các lỗ hổng bảo mật ở cấp dụng được xác định bởi OWASP và WASC, nhắm mục tiêu các lỗ hổng bảo mật nguy hiểm tiềm tàng trong ứng dụng của khách hàng . Quá trình thử nghiệm sẽ tiết lộ các lỗ hổng, thiệt hại khai thác tiềm năng và mức độ nghiêm trọng.
2.2 Hộp trắng (White box)
- Kiểm thử từ bên trong ra (White box Pentest): là các thông tin về mạng nội bộ và ngoại sẽ được cung cấp bởi khách hàng và Pentester sẽ đánh giá an ninh mạng dựa trên đó.
2.3 Hộp xám (Gray box)
- Kiểm thử hộp xám (Gray-box hay Crystal-box): Giả định như tin tặc được cung cấp tài khoản một người dùng thông thường và tiến hành tấn công vào hệ thống như một nhân viên của doanh nghiệp.
3. Tài liệu tham khảo
[1]. http://nguyenkan.wordpress.com/2012/11/27/penetration-testing/
[2]. http://tech.blog.framgia.com/vn/?p=1117
[3]. http://wikipedia.org/
- Penetration Testing hay thường gọi là “pentest” hoặc “security testing” có thể hiểu đơn giản là đánh giá độ an toàn bằng cách tấn công vào hệ thống (gọi là đánh trận giả). Người thực hiện một thử nghiệm xâm nhập được gọi là kiểm tra xâm nhập hoặc pentester.
- Thâm nhập thử nghiệm có một yêu cầu là bạn phải nhận được sự cho phép của người sở hữu hệ thống. Nếu không, bạn sẽ được coi như là đang hack hệ thống, đó là bất hợp pháp ở hầu hết các quốc gia. Nói cách khác: Sự khác biệt giữa thử nghiệm thâm nhập và hack là bạn có sự cho phép của chủ sở hữu hệ thống .
- Để hiểu rõ hơn về Pentest, trước tiên bạn cần phải hiểu khái niệm bảo mật cơ bản của lỗ hổng bảo mật (vulnerabilities), khai thác (exploits) , và trọng tải (payloads).
1.1 Lỗ hổng (Vulnerabilities)
- Khái niệm Vulnerabilities là chỉ một lỗ hổng bảo mật trong một phần của phần mềm, phần cứng hoặc hệ điều hành, cung cấp một góc tiềm năng để tấn công hệ thống. Một lỗ hổng có thể đơn giản như mật khẩu yếu hoặc phức tạp như lỗi tràn bộ đệm hoặc các lỗ hổng SQL injection.
1.2 Khai thác (exploits)
- Khái niệm exploits ( động từ trong tiếng Anh mang nghĩa là “sử dụng một cái gì đó làm lợi thế cho chính mình” ) là việc lợi dụng điểm yếu của một lỗi, sự cố hay lỗ hổng của một phần của phần mềm, một đoạn dữ liệu hay một chuỗi các lệnh để nhằm gây ra các hành vi không mong muốn hoặc không lường trước xảy ra trên hệ thống máy tính. Những hành động đó có thể bao gồm các hành động leo thang đặc quyền, một cuộc tấn công từ chối dịch vụ, đánh cắp các thông tin nhạy cảm …
1.3 Trọng tải (payloads)
- Trọng tải (payloads) là một phần của phần mềm đang tồn tại lỗ hổng và được làm mục tiêu để khai thác (exploits).
2. Các phương pháp kiểm thử trong pentest.
2.1 Hộp đen (Black box)
- Kiểm thử từ bên ngoài vào (Black box Pentest): các cuộc tấn công sẽ được thực hiện mà không có bất kỳ thông tin nào, pentester sẽ đặt mình vào vị trí của những tin tặc mũ đen và cố gắng bằng mọi cách để thâm nhập vào được hệ thống của khách hàng.
- Pentester sẽ mô phỏng một cuộc tấn công thực sự vào hệ thống. Quá trình thử nghiệm bao gồm một loạt ứng các lỗ hổng bảo mật ở cấp dụng được xác định bởi OWASP và WASC, nhắm mục tiêu các lỗ hổng bảo mật nguy hiểm tiềm tàng trong ứng dụng của khách hàng . Quá trình thử nghiệm sẽ tiết lộ các lỗ hổng, thiệt hại khai thác tiềm năng và mức độ nghiêm trọng.
2.2 Hộp trắng (White box)
- Kiểm thử từ bên trong ra (White box Pentest): là các thông tin về mạng nội bộ và ngoại sẽ được cung cấp bởi khách hàng và Pentester sẽ đánh giá an ninh mạng dựa trên đó.
2.3 Hộp xám (Gray box)
- Kiểm thử hộp xám (Gray-box hay Crystal-box): Giả định như tin tặc được cung cấp tài khoản một người dùng thông thường và tiến hành tấn công vào hệ thống như một nhân viên của doanh nghiệp.
3. Tài liệu tham khảo
[1]. http://nguyenkan.wordpress.com/2012/11/27/penetration-testing/
[2]. http://tech.blog.framgia.com/vn/?p=1117
[3]. http://wikipedia.org/
Chỉnh sửa lần cuối bởi người điều hành: