надтай танилцаарай Нэвтрэлтийн туршилтын шилдэг 5 хэрэгсэл 2023 онд.
Та сүлжээ, сервер эсвэл вэб програмын аюулгүй байдлын сул талыг илрүүлэхийн тулд нэвтрэлтийн тестийн хэрэгслийг ашиглаж болно. Эдгээр хэрэгслүүдийг бас нэрлэдэг Үзэгний тестийн аюулгүй байдлын хэрэгсэл , аюулгүй байдлын зөрчлийг үүсгэж болзошгүй сүлжээний хэрэглээний үл мэдэгдэх эмзэг байдлыг тодорхойлоход.
Эдгээр хэрэгслүүд нь таны сүлжээг хакеруудын зөвшөөрөлгүй хандалтаас хамгаалах боломжтой. Нэмж дурдахад бид хакердах оролдлогоос 360 градусын хамгаалалтаар хангадаг нэвтрэлтийн тестийн шилдэг хэрэгслүүдийн талаар ярилцах болно.
Нэвтрэх туршилт (мөн гэж нэрлэдэг үзэгний тест) нь өнөөдөр туршилтын нийгэмлэгийн халуун сэдэв юм. Үүний учрыг ойлгоход хялбар: Компьютерийн системийг хэрхэн бүтээж, ашиглахад гарсан өөрчлөлтүүдтэй холбоотойгоор аюулгүй байдал гол байр суурийг эзэлсэн.
Хэдийгээр компаниуд систем бүрийг бүрэн хамгаалж чадахгүйгээ мэддэг ч аюулгүй байдлын ямар асуудал тулгардаг болохыг мэдэхийг хүсдэг. Ёс суртахуунтай хакердах аргуудын ачаар үзэгний сорилт нь маш хэрэгтэй зүйл юм.
Нэвтрэх тест гэж юу вэ?
Нэвтрэх тест нь мөн системийн (техник хангамж, сүлжээ, програм хангамж эсвэл мэдээллийн системийн орчин) бүрэн бүтэн байдлыг шалгах зорилгоор хийгддэг аюулгүй байдлын туршилтын нэг төрөл юм. Энэхүү тест нь таны системийн аюулгүй байдалд хортой программ хангамжаар дүн шинжилгээ хийх, хакеруудын мэдээллийг хамгаалах, програмын аюулгүй байдлыг хангах замаар програмын бүх аюулгүй байдлын сул талыг тодорхойлох зорилготой юм.
Энэ нь таны системийн аюулгүй байдлыг алдагдуулахын тулд зөвшөөрөгдсөн аргуудыг ашиглах зорилготой нэг төрлийн ажиллагаагүй тест юм. Үүнийг мөн үзэгний туршилт эсвэл нэвтрэлтийн туршилт гэж нэрлэдэг. Туршилтыг явуулж буй хүн нь нэвтрэлтийн шалгагч бөгөөд ёс зүйн хакер гэж нэрлэгддэг.
2023 оны шилдэг үнэгүй нэвтрэлтийн туршилтын хэрэгслүүдийн жагсаалт
Та өөрийн системийн аюулгүй байдлыг тодорхойлох арилжааны болон үнэгүй хакердах олон хэрэгсэлтэй. Дараах мөрүүдээр дамжуулан бид танд зөв шийдлийг сонгоход туслах хамгийн сайн үнэгүй нэвтрэлтийн тестийн хэрэгслийн жагсаалтыг хуваалцах болно.
1. Маргааш
үйлчилгээ метасплоит эсвэл англи хэл дээр: Маргааш Энэ бол үзэгний туршилтанд ашиглаж болох хамгийн алдартай, дэвшилтэт хүрээ юм. "-аас хамаарнамөлжлөг” код нь аюулгүй байдлыг давж, системд нэвтэрч болно. Нэмж дурдахад үүнийг ажиллуулахын тулд оруулах боломжтой "Ачаалал', энэ нь зорилтот төхөөрөмж дээр үйлдлүүдийг гүйцэтгэдэг код юм. Энэ нь нэвтрэлтийн туршилт хийхэд тохиромжтой орчинг бүрдүүлдэг.
Үүнийг вэб програм, сүлжээ, серверт хандахад ашиглаж болно. GUI нь товших боломжтой бөгөөд олон Linux, Apple Mac OS X болон Microsoft Windows системүүдэд ашиглагдаж болно. Энэ нь арилжааны бүтээгдэхүүн тул цөөн тооны үнэгүй туршилт байж болно.
2. Wireshark
Энэхүү сүлжээний протоколын анализатор нь пакет, шифрлэлт, код тайлах мэдээлэл зэрэг сүлжээний протоколуудын талаарх хамгийн дэлгэрэнгүй мэдээллийг өгөхөд ашиглагддаг. Үүнийг Windows, Linux, Solaris, Solaris OS X, Solaris FreeBSD, NetBSD болон бусад олон үйлдлийн системүүд дээр ашиглаж болно.
Энэ хэрэгсэл нь танд график хэрэглэгчийн интерфэйс эсвэл TTY горимын TShark хэрэглүүрээр дамжуулан мэдээллийг харуулах боломжийг олгоно. Доорх линк нь багажны үнэгүй хуулбарыг татаж авах боломжийг танд олгоно.
3. nmap
бидэнд байгаа nmap , мөн сүлжээний диаграм гэж нэрлэдэг. Энэхүү үнэ төлбөргүй, нээлттэй эх сурвалжийн хэрэгсэл нь сүлжээ, системээ сул байгаа эсэхийг шалгах боломжийг танд олгоно. Та мөн энэ хэрэгслийг ашиглан үйлчилгээ эсвэл хостын ажиллах хугацааг хянах, сүлжээний халдлагын гадаргуугийн зураглал зэрэг бусад ажлыг гүйцэтгэх боломжтой.
Энэ хэрэгсэл нь ихэнх үйлдлийн системүүдийн том, жижиг сүлжээг сканнердах боломжтой. Энэ хэрэгсэл нь хостууд, үйлдлийн системүүд, галт хана, контейнерийн төрлүүд зэрэг зорилтот сүлжээний бүх талыг ойлгох боломжийг олгодог. Тиймээс, илүү урт nmap Хууль ёсны бөгөөд үнэ цэнэтэй, хэрэглэхэд хялбар хэрэгсэл болгон ашиглаж болно.
4. Нетспаркер
үйлчилгээ Нетспаркер Энэ нь вэб програмын аюулгүй байдлын сканнер юм. Энэ нь автоматжуулсан, өндөр нарийвчлалтай, хэрэглэхэд хялбар вэб програм сканнер юм. Энэ нь вэб сайт, вэб програм, вэбд суурилсан үйлчилгээн дэх SQL injection, Cross-Site Scripting (XSS) зэрэг эмзэг байдлыг автоматаар илрүүлэхэд ашиглагдаж болно. Үзэл баримтлалын баталгааг сканнердах технологи нь аюулгүй байдлын сул талуудыг мэдээлээд зогсохгүй энэ нь худал эерэг биш гэдгийг батлах үзэл баримтлалын нотолгоог бий болгодог. Тиймээс скан хийж дууссаны дараа эмзэг байдлыг гараар шалгахад цаг алдах шаардлагагүй болно.
5. Acunetix
Бэлтгэх Acunetix Ямар ч вэб сайтыг автоматаар скан хийдэг вэбийн эмзэг байдлын хамгийн сайн сканнеруудын нэг. Энэ нь SQL XSS injection, XXE, SSRF, Host Header Injection зэрэг бүх төрлийн вэбсайтаас 4500 гаруй сул талыг илрүүлсэн. Түүний DeepScan Crawler нь HTML5 вэбсайтууд болон AJAX-д суурилсан үйлчлүүлэгчийн SPA вэбсайтуудыг сканнердах боломжтой. Нэмж дурдахад, энэ нь хэрэглэгчдэд илрүүлсэн сул талуудыг Atlassian JIRA, GitHub зэрэг хувилбарыг хянах хэрэгсэлд экспортлох боломжийг олгодог. Microsoft Team Foundation Server (TFS). Энэ нь Windows, Linux болон онлайнд ашиглах боломжтой.
Бид хамгийн алдартай нэвтрэлтийн тестийн хэрэгслүүдийг (нээлттэй эх сурвалж болон арилжааны аль аль нь) хангахын тулд чадах бүхнээ хийсэн. Нэвтрэх тестийн хамгийн үр дүнтэй програм хангамжаа коммент хэсэгт нэрийг нь үлдээж хэлээрэй. Түүнчлэн, хэрэв та миний дуртай хэрэгслүүдийн нэгийг дурьдаж чадаагүй гэж бодож байвал сэтгэгдэл үлдээж бидэнд мэдэгдээрэй, бид үүнийг жагсаалтад оруулахын тулд чадах бүхнээ хийх болно.
Энэ нийтлэл танд хэрэгтэй болно гэж найдаж байна Нэвтрэлтийн туршилтын шилдэг үнэгүй хэрэгсэл 2023 онд. Сэтгэгдэл хэсэгт өөрийн санал бодол, туршлагаа хуваалцаарай.
