Hình thức của dịch vụ kiểm thử thâm nhập (pentes) được sử dụng thông thường phụ thuộc vào phạm vi và yêu cầu và yêu cầu của tổ chức. Dưới đây VietSunshine – nhà phân phối các giải pháp an ninh mạng sẽ giới thiệu tới bạn 3 loại kiểm thử xâm nhập chính được sử dụng trong pentest networks, app và web.
Nội dung chính:
1. Black Box Penetration Testing
Trong kiểm thử xâm nhập blackbox, tester sẽ không biết gì và các hệ thống mà anh ta sẽ kiểm tra. Anh ta quan tâm đến việc thu thập thông tin về mạng hoặc hệ thống đích.
Ưu điểm:
- Người kiểm thử không nhất thiết phải là một chuyên gia, vì nó không đòi hỏi kiến thức ngôn ngữ cụ thể.
- Người kiểm tra xác minh mâu thuẫn trong hệ thống thực tế và thông số kỹ thuật.
- Kiểm tra thường được tiến hành với quan điểm của người dùng, không phải người thiết kế
Nhược điểm:
- Các loại trường hợp thử nghiệm rất khó thiết kế.
- Có thể, nó không có giá trị vì nhà thiết kế đã tiến hành một test case.
- Nó không tiến hành mọi thứ.
2. White Box Penetration Testing
Đây là một thử nghiệm toàn diện, vì người kiểm tra đã được cung cấp toàn bộ thông tin về các hệ thống và/hoặc mạng như Schema, Mã nguồn, chi tiết hệ điều hành, địa chỉ IP, v.v. Nó thường được coi là một mô phỏng của một cuộc tấn công bởi một nguồn nội bộ.
- Nó đảm bảo rằng tất cả các đường dẫn độc lập của một mô-đun đã được thực hiện.
- Nó đảm bảo rằng tất cả các quyết định hợp lý đã được xác minh cùng với giá trị đúng và sai của chúng.
- Nó phát hiện ra các lỗi đánh máy và kiểm tra cú pháp.
- Nó tìm thấy các lỗi thiết kế có thể xảy ra do sự khác biệt giữa luồng logic của chương trình và thực thi thực tế.
3. Grey Box Penetration Testing
Trong loại thử nghiệm này, một người thử nghiệm thường cung cấp thông tin một phần hoặc giới hạn về các chi tiết bên trong của chương trình của một hệ thống. Nó có thể được coi là một cuộc tấn công của một tin tặc bên ngoài đã giành được quyền truy cập bất hợp pháp vào các tài liệu cơ sở hạ tầng mạng của một tổ chức.
- Vì người kiểm tra không yêu cầu quyền truy cập của mã nguồn, nó không xâm phạm và không thiên vị.
- Vì có sự khác biệt rõ ràng giữa nhà phát triển và người thử nghiệm, nên ít có nguy cơ xảy ra xung đột cá nhân.
- Bạn không cần cung cấp thông tin nội bộ về các chức năng của chương trình và các hoạt động khác