Təhlükəsizlik Testi

Sistem dizaynı ilə bağlı müsahibə sualları o qədər açıq ola bilər ki, düzgün hazırlaşmağı bilmək çox çətindir. İndi satın aldıqdan sonra Amazon, Microsoft və Adobe-nin dizayn dövrlərini sındıra bilirəm Bu kitabı. Gündəlik bir yenidən nəzərdən keçirin dizayn sualı və söz verirəm ki, dizayn dövrünü sındıra bilərsiniz.

giriş

Təhlükəsizlik testi, məhsul ilə əlaqəli zəiflikləri, təhdidləri və riskləri, hakerlərə və digər icazəsiz müdaxilələrə məruz qaldıra bilən testdir. Bugünkü ssenaridə təhlükəsizlik təhdidləri realdır və texnoloji cəhətdən getdikcə daha da inkişaf edir. Yalnız böyük məlumatlara və iş itkisinə səbəb ola bilməz, həm də təşkilat üçün pis bir ün qazana bilərlər.

Pin

Beləliklə, məhsuldakı təhlükəsizlik təhlükələrini və boşluqlarını aşkarlamaq vacibdir. Başqa sözlə, təhlükəsizlik testləri, istehsal mühitində ortaya çıxmazdan əvvəl məsələlərə dair müvafiq hərəkətləri təmin edir. Bu səbəbdən, məlumat və ya etibarlı məlumat baxımından böyük zərərlərdən və eyni zamanda gəlirdən qənaət edə bilər.

Siz oxuya bilərsiniz Sistem Testi əvvəlki məqalələrdə bəhs etdiyimiz məqalə.

Niyə Təhlükəsizlik Testi

Təhlükəsizliyin pozulmasının nəticələri dağıdıcıdır. Başlamaq üçün bir bank veb saytının hücuma məruz qaldığını təsəvvür edin. Eynilə üzvlərinin bir çox təfərrüatlarını daşıyan hər hansı bir sosial şəbəkə saytı məlumatları icazəsiz istifadəçilərə məruz qoyarsa. Şübhəsiz ki, istifadəçilərə dost məhsullar hazırlamaq texnologiyası inkişaf etdi və istifadəçilərinə fasiləsiz fasiləsiz giriş təmin etdi. Eynilə, müdaxilə və hack əməliyyatları getdikcə daha güclü hala gəldi.

Bu səbəbdən məhsulun təhlükəsizlik xüsusiyyətləri artıq laqeyd ola bilməz. Başqa sözlə, tətbiqdə yüksək təhlükəsizlik standartları tətbiq edilməlidir. Əslində, layihənin başlanğıcından etibarən təsirli təhlükəsizlik tədbirləri görülməlidir. Çünki məhsul əvvəldən etibarən təhlükəsizlik standartlarına riayət etmirsə, sonrakı mərhələlərdə bunları tətbiq etmək çətinləşəcəkdir. Bununla onu hakerlər və zərərli hücumlara qarşı həssas edir.

OWASP nədir

Açıq Veb Tətbiq Təhlükəsizliyi Layihəsi (OWASP) hər növ proqram təminatının təhlükəsizliyini artırmaq məqsədi ilə dünya miqyasında bir qeyri-kommersiya təşkilatıdır.
Proqram inkişaf etdiricilərinə və digər maraqlı tərəflərə ümumi təhlükəsizlik təhdidləri və zəiflikləri barədə rəhbərlik edir və kömək edir. Ayrıca, təşkilatların təhlükəsiz və təhlükəsiz proqram tətbiqetmələrini inkişaf etdirməsinə, satın almasına və saxlamasına kömək edir.

Təhlükəsizlik Təhlükələri növləri

Proqram və veb tətbiqetmələr işin rahatlığını təmin edir və onu çox sürətli edir. Ancaq eyni zamanda, iş prosesləri üçün veb tətbiqetmələrə güvənmək məsələsində çatışmazlıqlar var. Bunlardan ən başlıcası, müzakirə etdiyimiz bu məqalə proqram məhsulları üçün təhlükəsizlik təhdidləridir. Bəzi ümumi təhlükəsizlik təhdidlərinə nəzər salaq:

  • Təhlükəsizlik səhv konfiqurasiyası:

    Məhsulun təhlükəsizlik infrastrukturu OS, şəbəkə, brauzerlər, serverlər və təhlükəsiz tətbiq kodu kimi kompleks işləmə elementlərini tələb edir. Bunlardakı hər hansı bir çatışmazlıq təhlükəsizlik çatışmazlığına səbəb ola bilər. Bunlar da tez-tez təmir və təhlükəsizlik zəifliklərinin yoxlanılmasını tələb edir. Potensial təhlükələrə qarşı zəif tərəfləri müəyyənləşdirmək üçün nüfuz testlərindən keçməlidirlər.

  • Zərərli proqram:

    Casus proqram, viruslar, fidyə proqramı, qurdlar və trojan kimi müxtəlif zərərli proqram təminatları məhsulda böyük problemlərə səbəb ola bilər. Özlərini sistemə və ya məhsula bağlayaraq məlumat sızmasını təmin edə və məhsulun sıradan çıxmasına səbəb ola bilərlər. Bütün sistemi şikəst edə bilərlər. Verilənlər bazalarının və sistemin yedəklənməsi həmişə təmin edilməlidir. Sistemə sızmasını yoxlamaq üçün təhlükəsizlik duvarı güncəl olmalıdır.

  • Enjeksiyon hücumları:

    Enjeksiyon hücumları, veb tətbiqetmələrinin məlumatlarını hədəf alan başqa bir ümumi təhlükədir. Enjeksiyon hücumlarına bəzi nümunələr arasında SQL enjeksiyonu, kod enjeksiyonu və saytlararası skriptlər daxildir. Tətbiqləri bundan qorumaq üçün möhkəm kodlama bacarıqları və məlumatların doğrulama üsullarından istifadə edilməlidir. Həm də təhlükəsizlik standartlarına başlanğıcdan etibarən əməl olunmalıdır.

  • Phishing:

    Fişinq hücumları ümumiyyətlə e-poçt xidmətlərini əhatə edir. Giriş sənədləri, bank hesabı nömrələri, kredit kartı nömrələri və digər məlumatlar kimi həssas məlumatlar əldə etmək məqsədi ilə qanuni mənbələrdən gələn e-poçtlara bənzəyirlər. Üstəlik, sistem üçün potensial təhlükəli ola biləcək zərərli sənədlər içərisində ola bilər.

  • Gücün tətbiqi:

    Brute Force-da hakerlər tətbiqin şifrələrini təxmin edir və tətbiqə daxil olurlar. Artıq icazəsiz veb tətbiq detallarına giriş əldə edə bilərlər.

  • Kök dəsti:

    Bunlar şəbəkəyə və sistemlərə inzibati giriş əldə etməyə kömək edən və nəticədə bunlardan istifadə edən alətlər qrupudur.

Təhlükəsizlik test üsulları

Təşkilatların təhlükəsizlik zəifliklərinə qarşı mübarizə üçün uyğunlaşdırdıqları müxtəlif növ test üsulları mövcuddur. İstifadə ediləcək texnika layihənin təhlükəsizlik tələblərindən asılıdır.

  • Penetrasyon testi: Nüfuz testində və ya qələm testində test cihazı bir hacker rolunu oynayır və sistemin təhlükəsizlik zəifliklərini ortaya qoymağa çalışır. Beləliklə, bu test həm də etik bir hack üsuludur. Bu sınaqçılar sistemə müxtəlif vasitələrdən daxil ola bilən bacarıqlı etik xakerlərdir. Bu veb tətbiqetmələr üçün edilən çox yayılmış bir testdir.
  • Zəiflik taraması: Zəiflik taraması zamanı avtomatlaşdırılmış proqram sistemi bilinən və ümumi zəifliklərə görə tarar.
  • Təhlükəsizlik tarama: Bu sistemin və şəbəkənin təhlükəsizlik boşluqlarını açmağı hədəfləyir. Həm təhlükəsizlik, həm də avtomatik tarama bu təhlükəsizlik taramasını həyata keçirə bilər.
  • Riskin qiymətləndirilməsi: Buraya məhsulun təhlükəsizlik risklərinin təhlili daxildir. Riskləri tapdıqdan sonra aşağı, orta və yüksək olaraq təsnif edilirlər. Sonra bu riskli sahələrin mümkün həlli işlənib hazırlanmışdır.
  • Təhlükəsizlik Auditi: Bu vəziyyətdə, tətbiqin mənbələri və kodu mümkün təhlükəsizlik qüsurları üçün yoxlanılır.
  • Duruş qiymətləndirməsi: Bir təşkilatın tam təhlükəsizlik vəziyyəti duruşunu tapmaq üçün üç təhlükəsizlik tarama, Etik Hack və Risk Qiymətləndirmələrinin birləşməsidir.

Təhlükəsizlik test prosesi

Təhlükəsizlik testi, təhlükəsizliyin təmin edilməsi baxımından olsa da, digər sınaqlarla eyni prosesi izləyir

Pin

  • Tələb Təhlili: Sistemin həssas ola biləcəyi təhdidlər və istifadəçilərin gözləntiləri kimi təhlükəsizlik tələblərini təhlil edin.
  • Planlaşdırma və alət seçimi: Testin əhatə dairəsini və cədvəlini təyin edin. Bura test üçün sistemlər və qaynaqlar daxil olacaqdır. Layihələrin növündən və təhlükəsizlik tələblərindən asılı olaraq, test üçün alət seçə bilərsiniz.
  • İcra: Bu mərhələdə, test ssenarilərinin icrası nəticələr və müşahidələr diqqətlə qeyd edilərkən baş verir.
  • Test nəticələrinin təhlili: Test nəticələri zəifliklər, boşluqlar və həssas məlumat sızması üçün analiz edilir.
  • Zəifliklərin aradan qaldırılması: Test nəticələri olduqdan sonra koddakı və sistemdəki problemləri düzəltməyin vaxtı gəldi. Bu addım sistemin təhlükəsizliyini və təhlükəsizliyini və istifadəçinin həssas məlumatlarını artırır.

Təhlükəsizlik Testi üçün alətlər

Təhlükəsizlik testi üçün ümumi vasitələrdən bəziləri bunlardır:

  • Metasploit: Bu, həssaslıqları aşkar etmək və təhlükəsizlik qiymətləndirmələrini idarə etmək üçün nüfuzetmə testi vasitəsidir. Serverlərdə, veb tətbiqetmələrdə və şəbəkələrdə işləyə bilər.
  • Nmap: Təhlükəsizlik zəifliyi üçün sistem və şəbəkə tarama üçün pulsuz və açıq mənbəli bir vasitədir. Bütün əsas əməliyyat sistemlərində işləyir və həm kiçik, həm də böyük şəbəkələri taraya bilər.
  • Wireshark: Wireshark sayəsində şəbəkədəki bütün fəaliyyətləri dəqiq məlumatları ilə görə bilərsiniz. Şəbəkə zəifliklərini məlumat paketi çəkmə ilə qiymətləndirməyə kömək edir.
  • ArmorizeCodeSecure: Mənbə kodu səviyyəsində zəifliklərin aradan qaldırılmasına kömək edərək veb tətbiqetmə mənbəyi kod zəifliklərini tapmaq, veb malware ilə mübarizə aparmaq və veb hücumların qarşısını almaq imkanı verir.

nəticə

Tətbiqi pozmağın çoxsaylı yolu var. Və hər keçən gün bu yollar artır və daha səmərəli olur. Beləliklə, təhlükəsizlik testi məhsulu zərərli hücumlardan qorumaq üçün son dərəcə vacib bir rol oynayır. Həmişə təhlükəsiz tətbiqetmə təmin etmə prosesi layihənin əvvəlindən başlamalı və məhsul mövcud olana qədər davam etməlidir. Təhlükəsizlik testi baha başa gələn bir proses olsa da, təhlükəsizlik tədbirlərini atlamaq məhsul və təşkilat üçün zərərli nəticələrə səbəb ola bilər.

References

https://en.wikipedia.org/wiki/Security_testing

Crack Sistemi Dizayn Müsahibələri
Translate »