1. Све што треба да знате о тестирању пенетрације у сиву кутију

2. Шта је тестирање пенетрације сиве кутије и зашто бисте га требали користити?

3. Тестирање пенетрације у сиву кутију као средство за уметање безбедносних рупа

С обзиром на огроман пораст сајбер напада, организације се спремају да спрече нападе откупнине на своје системе. Од спровођења масивних симулираних тестова хаковања, до ограничавања приступа аутсајдерима помоћу модела евалуације, много тога се дешава у овом домену.

Тестирање пенетрације, такође познато као тестирање оловком или етичко хаковање, је безбедносна процена која користи безбедносне алате мреже за симулацију напада на рачунарски систем или мрежу.

Неке стандардне технике тестирања оловком укључују тестирање црне, беле и сиве кутије. Никада нисте чули за тестирање сивих кутија? Хајде да заронимо.

Шта је тестирање сиве кутије?

Тестирање сиве кутије је тип тестирања који посматра унутрашњу структуру система да би се идентификовале потенцијалне грешке или рањивости.

Као

instagram viewer
техника испитивања пенетрације, он делује као посредник између тестирања црне кутије, које гледа на спољашње улазе/излазе система, и тестирања беле кутије, које гледа на интерни код система.

Безбедносни аналитичари и етички хакери користе тестирање сиве кутије да би пронашли грешке у функционалним и нефункционалним аспектима система.

У функционалном тестирању фокус је на томе да систем исправно обавља потребне задатке. У нефункционалном тестирању, фокус је на томе да се обезбеди да дизајн система испуњава стандарде перформанси, безбедности и скалабилности.

Тестирање сиве кутије је од суштинског значаја за сваки процес осигурања квалитета, јер може помоћи да се идентификују потенцијални проблеми пре него што изазову значајне проблеме. То је кључно за сложене системе, где мала грешка може имати ефекат таласања.

Технике тестирања сиве кутије

Предузећа користе неколико врста тестова пенетрације у сиву кутију. Да наведем неколико:

Регресија

Регресија тестирање је врста тестирања пенетрације у сиву кутију која тестира идентификоване и исправљене грешке у софтверу. Овај тип тестирања осигурава да се софтвер није вратио у мање безбедно стање.

Тестери користе најчешће доступне алате и технике за тестирање оловком за спровођење регресијског тестирања. То се може урадити поновним покретањем и верификацијом излаза из претходних покретања са новим резултатима изведеним из недавних промена кода.

Регресионо тестирање је од суштинског значаја јер осигурава да промене инхерентног кода нису увеле нове рањивости.

Матрик

Матрична техника укључује разбијање циљног система на различите области, или варијабле, и тестирање рањивости сваке варијабле.

На пример, прва варијабла може бити мрежна инфраструктура, а затим оперативни систем, апликације и подаци.

Свака варијабла се тестира на слабости које хакер може да искористи да би приступио следећој променљивој. Ово се показало као веома ефикасан начин за проналажење рањивости јер вам омогућава да се фокусирате на одређене варијабле у исто време и разумете како то функционише.

Поред тога, Матрик техника вам може помоћи да идентификујете потенцијалне путање напада које иначе нисте разматрали. Пружа јасну слику безбедносног положаја система.

Тестирање ортогоналног низа

Тестирање ортогоналног низа је моћна техника тестирања сиве кутије која има потенцијал да открије широк спектар софтверских дефеката.

Ова техника покрива низове, што осигурава да се сви парови улазних вредности изврше бар једном. Тестирање ортогоналног низа помаже у тестирању свих могућих комбинација улазних вредности, што га чини моћним алатом за откривање дефеката.

Тестирање ортогоналног низа је сива пентест техника која смањује тест случајеве без покривености. У теорији, можете смањити број тест случајева које треба да покренете док још увек тестирате комплетну функционалност свог софтвера.

Паттерн Тецхникуе

Техника шаблона је моћно средство за етичке хакере, који желе да открију рањивости система. Коришћење ове технике у комбинацији са другим техникама тестирања сивих кутија, даје вам свеобухватан увид у безбедност система.

Иако може бити изазовно тестирати систем за све потенцијалне рањивости, техника шаблона је непроцењива за тестирање уобичајених и неуобичајених рањивости.

Недостаци тестирања пенетрације у сиву кутију

Као и две стране новчића, постоји неколико ограничења за тестирање пенетрације у сиву кутију која треба да узмете у обзир када спроводите ову врсту процене. Нека ограничења су наведена у наставку:

  1. Пошто тестирање сиве кутије укључује претходно познавање система у питању, можда неће бити могуће симулирати акције стварног напада од краја до краја.
  2. Тестирање сиве кутије можда неће моћи да идентификује све потенцијалне безбедносне пропусте јер тестер можда нема потпуну видљивост система.
  3. С обзиром на процес мапирања и анализе апликације и ограничен приступ изворном коду, брзина тестирања је знатно спорија од тестирања беле кутије.

Да ли би требало да се одлучите за тестирање сиве кутије?

Морате узети у обзир неколико фактора пре него што одлучите да ли да се одлучите за тестирање сиве кутије или не. Неки од ових фактора укључују, али нису ограничени на, следеће:

  1. Први фактор је ниво приступа бази кодова вашег тима за тестирање. Ако тим има ограничен приступ, можда неће моћи у потпуности да разуме код и на крају ће пропустити критичне грешке.
  2. Други фактор је величина и сложеност базе кода. Већа је вероватноћа да ће велика, сложена база кода имати скривене грешке него мала и једноставна база кода.
  3. На крају, али не и најмање важно, требало би да обратите пажњу на временска и буџетска ограничења пројекта. Ако радите у ограниченом року и буџету, можда неће бити изводљиво предузети свеобухватан приступ тестирању беле кутије.

Генерално, тестирање сиве кутије је добар компромис између тестирања беле и црне кутије. Може се показати ефикаснијим и ефикаснијим од тестирања црне кутије, а истовремено пружа одређену покривеност.

Тестирање сиве кутије као средство за тестирање оловком

Тестирање пенетрације је један од водећих начина да се потврди безбедност система. То је саставни део животног циклуса развоја софтвера организације.

Као методологија пенетрацијског тестирања, тестирање сиве кутије оловком комбинује предности тестирања беле кутије и црне кутије. Међутим, једноставним речима, чак и програми за тестирање пенетрације следе хијерархију, при чему тестирање црне кутије заузима највишу позицију.

Пре него што се упустите у било коју методологију тестирања, требало би да пажљиво одмерите безбедносне ресурсе и изаберете одговарајући план. Обавезно покријте основе сваког типа тестирања, како бисте донели мудру одлуку.