Учебники

Типы испытаний на проникновение

Тип тестирования на проникновение обычно зависит от области применения, а также от потребностей и требований организации. В этой главе рассматриваются различные типы тестирования на проникновение. Это также известно как Ручное Тестирование .

Типы ручного тестирования

Ниже приведены важные типы тестирования пера –

  • Тестирование на проникновение в черный ящик
  • Тестирование на проникновение в белую коробку
  • Тестирование проникновения в серую коробку

Ручное тестирование

Для лучшего понимания давайте обсудим каждый из них подробно –

Тестирование проникновения в черный ящик

При тестировании на проникновение в черный ящик тестер не имеет представления о системах, которые он собирается тестировать. Он заинтересован в сборе информации о целевой сети или системе. Например, в этом тестировании тестер знает только то, каким должен быть ожидаемый результат, и он не знает, как приходят результаты. Он не проверяет какие-либо программные коды.

Преимущества испытаний на проникновение в черный ящик

Он имеет следующие преимущества –

  • Тестер не обязательно должен быть экспертом, так как он не требует специальных знаний языка

  • Тестер проверяет противоречия в реальной системе и спецификациях

  • Тест обычно проводится с точки зрения пользователя, а не дизайнера

Тестер не обязательно должен быть экспертом, так как он не требует специальных знаний языка

Тестер проверяет противоречия в реальной системе и спецификациях

Тест обычно проводится с точки зрения пользователя, а не дизайнера

Недостатки тестирования на проникновение в черный ящик

Его недостатки –

  • В частности, такие тесты сложно спроектировать.

  • Возможно, это не стоит того, чтобы конструктор уже провел тестовый кейс.

  • Это не ведет все.

В частности, такие тесты сложно спроектировать.

Возможно, это не стоит того, чтобы конструктор уже провел тестовый кейс.

Это не ведет все.

Тестирование на проникновение в белую коробку

Это комплексное тестирование, поскольку тестировщику предоставляется весь спектр информации о системах и / или сетях, таких как схема, исходный код, сведения об ОС, IP-адрес и т. Д. Обычно это рассматривается как симуляция атаки со стороны внутренний источник. Он также известен как структурный, стеклянный ящик, прозрачный ящик и тестирование открытого ящика.

Тестирование на проникновение в «белый ящик» проверяет покрытие кода и выполняет тестирование потока данных, тестирование пути, тестирование цикла и т. Д.

Преимущества тестирования на проникновение в белую коробку

Он имеет следующие преимущества –

  • Это гарантирует, что все независимые пути модуля были использованы.

  • Это гарантирует, что все логические решения были проверены вместе с их истинным и ложным значением.

  • Он обнаруживает опечатки и проверяет синтаксис.

  • Он находит ошибки проектирования, которые могли произойти из-за разницы между логическим потоком программы и фактическим выполнением.

Это гарантирует, что все независимые пути модуля были использованы.

Это гарантирует, что все логические решения были проверены вместе с их истинным и ложным значением.

Он обнаруживает опечатки и проверяет синтаксис.

Он находит ошибки проектирования, которые могли произойти из-за разницы между логическим потоком программы и фактическим выполнением.

Тестирование проникновения в серую коробку

В этом типе тестирования тестер обычно предоставляет частичную или ограниченную информацию о внутренних деталях программы системы. Это можно рассматривать как атаку внешнего хакера, который получил незаконный доступ к документам сетевой инфраструктуры организации.

Преимущества испытаний на проникновение в серый ящик

Он имеет следующие преимущества –

  • Поскольку тестер не требует доступа к исходному коду, он не навязчив и беспристрастен

  • Поскольку между разработчиком и тестером существует четкая разница, риск возникновения личного конфликта минимален

  • Вам не нужно предоставлять внутреннюю информацию о функциях программы и других операциях

Поскольку тестер не требует доступа к исходному коду, он не навязчив и беспристрастен

Поскольку между разработчиком и тестером существует четкая разница, риск возникновения личного конфликта минимален

Вам не нужно предоставлять внутреннюю информацию о функциях программы и других операциях

Области испытаний на проникновение

Тестирование на проникновение обычно проводится в следующих трех областях:

Тестирование проникновения в сеть. В этом тестировании необходимо проверить физическую структуру системы, чтобы определить уязвимость и риск, которые обеспечивают безопасность в сети. В сетевой среде тестировщик идентифицирует недостатки безопасности при проектировании, реализации или работе сети соответствующей компании / организации. Устройства, которые тестируются тестером, могут быть компьютерами, модемами или даже устройствами удаленного доступа и т. Д.

Тестирование проникновения приложений. В этом тестировании необходимо проверить логическую структуру системы. Это симуляция атаки, предназначенная для демонстрации эффективности средств контроля безопасности приложения путем выявления уязвимости и риска. Брандмауэр и другие системы мониторинга используются для защиты системы безопасности, но иногда требуется целенаправленное тестирование, особенно когда трафику разрешено проходить через брандмауэр.

Ответ или рабочий процесс системы – это третья область, которую необходимо проверить. Социальная инженерия собирает информацию о человеческом взаимодействии, чтобы получить информацию об организации и ее компьютерах. Полезно проверить способность соответствующей организации предотвращать несанкционированный доступ к ее информационным системам. Кроме того, этот тест предназначен исключительно для рабочего процесса организации / компании.