Isi kandungan:
- Masa ujian anda
- Menjalankan ujian tertentu
- Buta terhadap penilaian pengetahuan
- Lokasi
- Menanggapi kelemahan yang anda temukan
- Andaian yang bodoh
Video: 【ENG SUB】E02 Hero dog Season3 神犬小七3 | iQIYI 2024
Satu miscommunication atau slip-up dalam standard ujian anda boleh menghantar sistem terhempas semasa ujian peretasan etika anda. Tiada siapa yang mahu berlaku. Untuk mengelakkan kecacatan, membangunkan dan mendokumenkan standard ujian. Piawaian-piawaian ini hendaklah termasuk
-
Apabila ujian dilakukan, bersama-sama dengan garis masa keseluruhan
-
Ujian yang dilakukan
-
Berapa banyak pengetahuan tentang sistem yang anda dapati terlebih dahulu
-
Bagaimanakah ujian dilakukan dan dari sumber alamat IP
-
Apa yang anda lakukan apabila kelemahan utama ditemui
Masa ujian anda
Ini adalah benar semasa menjalankan ujian peretasan etika. Pastikan bahawa ujian yang anda lakukan meminimumkan gangguan terhadap proses perniagaan, sistem maklumat, dan orang. Anda ingin mengelakkan situasi berbahaya seperti miscommunicating masa ujian dan menyebabkan serangan DoS terhadap tapak e-dagang lalu lintas tinggi pada pertengahan hari atau melakukan ujian crack kata laluan di tengah malam.
Walaupun mempunyai orang dalam zon waktu yang berbeza boleh membuat masalah. Semua orang dalam projek itu perlu bersetuju dengan garis masa terperinci sebelum memulakan. Memiliki perjanjian anggota pasukan meletakkan semua orang di halaman yang sama dan menetapkan jangkaan yang betul.
Jangkamasa ujian anda harus merangkumi tarikh dan masa jangka pendek khusus setiap ujian, tarikh permulaan dan tamat, dan sebarang peristiwa penting di antara. Anda boleh mengembangkan dan memasukkan garis masa anda ke dalam spreadsheet mudah atau carta Gantt, atau anda boleh memasukkan garis masa sebagai sebahagian daripada cadangan dan kontrak klien awal anda. Garis masa anda juga boleh menjadi struktur kerosakan kerja dalam pelan projek yang lebih besar.
Menjalankan ujian tertentu
Anda mungkin telah dikenakan bayaran dengan menjalankan ujian penetapan umum , atau anda mungkin ingin melakukan ujian tertentu, seperti kata laluan retak atau cuba untuk mendapatkan akses kepada aplikasi web. Atau anda mungkin menjalankan ujian kejuruteraan sosial atau menilai Windows pada rangkaian.
Walau bagaimanapun anda menguji, anda mungkin tidak mahu mendedahkan spesifik ujian tersebut. Walaupun pengurus atau klien anda tidak memerlukan rekod terperinci ujian anda, dokumenkan apa yang anda lakukan pada tahap yang tinggi. Mendokumentasikan ujian anda boleh membantu menghapuskan sebarang miskomunikasi yang mungkin berlaku.
Anda mungkin tahu ujian umum yang anda lakukan, tetapi jika anda menggunakan alat automatik, mungkin mustahil untuk memahami setiap ujian yang anda lakukan sepenuhnya. Ini terutama berlaku apabila perisian yang anda gunakan menerima kemas kini kerentanan masa nyata dan patch dari penjual setiap kali anda menjalankannya.Potensi untuk kemas kini kerap menekankan pentingnya membaca dokumentasi dan fail yang disertakan dengan alat yang anda gunakan.
Buta terhadap penilaian pengetahuan
Mempunyai pengetahuan tentang sistem yang anda uji mungkin idea yang bagus, tetapi tidak diperlukan. Tetapi, pemahaman asas mengenai sistem yang anda cuba dapat melindungi anda dan orang lain. Mendapatkan pengetahuan ini tidak mustahil jika anda menggodam sistem dalaman anda sendiri.
Jika anda menggodam sistem klien, anda mungkin perlu menggali lebih mendalam tentang bagaimana sistem berfungsi supaya anda mengenali mereka. Ini tidak bermakna penilaian buta tidak bernilai, tetapi jenis penilaian yang anda lakukan bergantung pada keperluan khusus anda.
Pendekatan terbaik adalah merancang serangan tanpa had , di mana ujian mana mungkin, mungkin termasuk ujian DoS.
Pertimbangkan sama ada ujian perlu dilakukan supaya mereka tidak dapat dikesan oleh pentadbir rangkaian dan mana-mana penyedia perkhidmatan keselamatan yang diuruskan. Walaupun tidak diperlukan, amalan ini harus dipertimbangkan, terutamanya untuk kejuruteraan sosial dan ujian keselamatan fizikal.
Lokasi
Ujian yang anda lakukan menentukan di mana anda harus menjalankannya. Matlamat anda adalah untuk menguji sistem anda dari lokasi yang boleh diakses oleh penggodam atau pekerja yang berniat jahat. Anda tidak boleh meramalkan sama ada anda akan diserang oleh seseorang di dalam atau di luar rangkaian anda, sehingga meliputi semua pangkalan anda. Menggabungkan ujian luaran dan ujian dalaman.
Anda boleh melakukan beberapa ujian, seperti kata laluan retak dan penilaian infrastruktur rangkaian, dari pejabat anda. Untuk hacks luaran yang memerlukan sambungan rangkaian, anda mungkin perlu pergi ke luar tapak atau menggunakan pelayan proksi luaran. Beberapa pengimbas kerentanan penjual keselamatan dijalankan dari awan, supaya dapat berfungsi juga.
Lebih baik lagi, jika anda boleh menetapkan alamat IP awam yang ada pada komputer anda, cuma pasang ke rangkaian di luar firewall untuk melihat pandangan hacker mengenai sistem anda. Ujian dalaman mudah kerana anda hanya memerlukan akses fizikal ke bangunan dan rangkaian. Anda mungkin dapat menggunakan mod DSL atau kabel modem yang sudah ada untuk pengunjung dan pengguna yang serupa.
Menanggapi kelemahan yang anda temukan
Tentukan masa depan sama ada anda akan berhenti atau meneruskan apabila anda mendapati lubang keselamatan kritikal. Anda tidak perlu menyimpan penggodalan selama-lamanya atau sehingga anda meranapkan semua sistem. Hanya ikut jalan yang anda jalankan sehingga anda tidak boleh lagi menggodamnya lagi. Apabila ragu-ragu, perkara terbaik yang perlu dilakukan adalah untuk mempunyai matlamat tertentu dan kemudian berhenti apabila matlamat itu telah dipenuhi.
Jika anda menemui lubang utama, hubungi orang yang tepat secepat mungkin supaya mereka boleh mula menyelesaikan masalah dengan segera. Orang yang betul mungkin adalah pemaju perisian, pengurus produk atau projek, atau bahkan CIO. Jika anda menunggu beberapa hari atau minggu, seseorang mungkin mengeksploitasi kerentanan dan menyebabkan kerosakan yang dapat dicegah.
Andaian yang bodoh
Anda telah mendengar tentang apa yang anda buat sendiri apabila anda menganggap sesuatu. Walaupun begitu, anda membuat andaian apabila anda menggodam sistem.Berikut adalah beberapa contoh andaian:
-
Komputer, rangkaian, dan orang boleh didapati semasa anda sedang menguji.
-
Anda mempunyai semua alat ujian yang betul.
-
Alat ujian yang anda gunakan akan meminimumkan kemungkinan meranapkan sistem yang anda uji.
-
Anda memahami kemungkinan kelemahan yang sedia ada tidak dijumpai atau anda menggunakan alat penguji anda secara tidak wajar.
-
Anda tahu risiko ujian anda.
Dokumen semua andaian dan mempunyai pengurusan atau tandatangan klien anda pada mereka sebagai sebahagian daripada proses kelulusan keseluruhan anda.