Тип тестирования на проникновение обычно зависит от области применения, а также от потребностей и требований организации. В этой главе рассматриваются различные типы тестирования на проникновение. Это также известно как Ручное Тестирование .
Типы ручного тестирования
Ниже приведены важные типы тестирования пера —
- Тестирование на проникновение в черный ящик
- Тестирование на проникновение в белую коробку
- Тестирование проникновения в серую коробку
Для лучшего понимания давайте обсудим каждый из них подробно —
Тестирование проникновения в черный ящик
При тестировании на проникновение в черный ящик тестер не имеет представления о системах, которые он собирается тестировать. Он заинтересован в сборе информации о целевой сети или системе. Например, в этом тестировании тестер знает только то, каким должен быть ожидаемый результат, и он не знает, как приходят результаты. Он не проверяет какие-либо программные коды.
Преимущества испытаний на проникновение в черный ящик
Он имеет следующие преимущества —
-
Тестер не обязательно должен быть экспертом, так как он не требует специальных знаний языка
-
Тестер проверяет противоречия в реальной системе и спецификациях
-
Тест обычно проводится с точки зрения пользователя, а не дизайнера
Тестер не обязательно должен быть экспертом, так как он не требует специальных знаний языка
Тестер проверяет противоречия в реальной системе и спецификациях
Тест обычно проводится с точки зрения пользователя, а не дизайнера
Недостатки тестирования на проникновение в черный ящик
Его недостатки —
-
В частности, такие тесты сложно спроектировать.
-
Возможно, это не стоит того, чтобы конструктор уже провел тестовый кейс.
-
Это не ведет все.
В частности, такие тесты сложно спроектировать.
Возможно, это не стоит того, чтобы конструктор уже провел тестовый кейс.
Это не ведет все.
Тестирование на проникновение в белую коробку
Это комплексное тестирование, поскольку тестировщику предоставляется весь спектр информации о системах и / или сетях, таких как схема, исходный код, сведения об ОС, IP-адрес и т. Д. Обычно это рассматривается как симуляция атаки со стороны внутренний источник. Он также известен как структурный, стеклянный ящик, прозрачный ящик и тестирование открытого ящика.
Тестирование на проникновение в «белый ящик» проверяет покрытие кода и выполняет тестирование потока данных, тестирование пути, тестирование цикла и т. Д.
Преимущества тестирования на проникновение в белую коробку
Он имеет следующие преимущества —
-
Это гарантирует, что все независимые пути модуля были использованы.
-
Это гарантирует, что все логические решения были проверены вместе с их истинным и ложным значением.
-
Он обнаруживает опечатки и проверяет синтаксис.
-
Он находит ошибки проектирования, которые могли произойти из-за разницы между логическим потоком программы и фактическим выполнением.
Это гарантирует, что все независимые пути модуля были использованы.
Это гарантирует, что все логические решения были проверены вместе с их истинным и ложным значением.
Он обнаруживает опечатки и проверяет синтаксис.
Он находит ошибки проектирования, которые могли произойти из-за разницы между логическим потоком программы и фактическим выполнением.
Тестирование проникновения в серую коробку
В этом типе тестирования тестер обычно предоставляет частичную или ограниченную информацию о внутренних деталях программы системы. Это можно рассматривать как атаку внешнего хакера, который получил незаконный доступ к документам сетевой инфраструктуры организации.
Преимущества испытаний на проникновение в серый ящик
Он имеет следующие преимущества —
-
Поскольку тестер не требует доступа к исходному коду, он не навязчив и беспристрастен
-
Поскольку между разработчиком и тестером существует четкая разница, риск возникновения личного конфликта минимален
-
Вам не нужно предоставлять внутреннюю информацию о функциях программы и других операциях
Поскольку тестер не требует доступа к исходному коду, он не навязчив и беспристрастен
Поскольку между разработчиком и тестером существует четкая разница, риск возникновения личного конфликта минимален
Вам не нужно предоставлять внутреннюю информацию о функциях программы и других операциях
Области испытаний на проникновение
Тестирование на проникновение обычно проводится в следующих трех областях:
Тестирование проникновения в сеть. В этом тестировании необходимо проверить физическую структуру системы, чтобы определить уязвимость и риск, которые обеспечивают безопасность в сети. В сетевой среде тестировщик идентифицирует недостатки безопасности при проектировании, реализации или работе сети соответствующей компании / организации. Устройства, которые тестируются тестером, могут быть компьютерами, модемами или даже устройствами удаленного доступа и т. Д.
Тестирование проникновения приложений. В этом тестировании необходимо проверить логическую структуру системы. Это симуляция атаки, предназначенная для демонстрации эффективности средств контроля безопасности приложения путем выявления уязвимости и риска. Брандмауэр и другие системы мониторинга используются для защиты системы безопасности, но иногда требуется целенаправленное тестирование, особенно когда трафику разрешено проходить через брандмауэр.
Ответ или рабочий процесс системы — это третья область, которую необходимо проверить. Социальная инженерия собирает информацию о человеческом взаимодействии, чтобы получить информацию об организации и ее компьютерах. Полезно проверить способность соответствующей организации предотвращать несанкционированный доступ к ее информационным системам. Кроме того, этот тест предназначен исключительно для рабочего процесса организации / компании.