Penetration-testing-types-of-penetration-testing
提供:Dev Guides
侵入テストの種類
侵入テストの種類は通常、範囲と組織の要望と要件によって異なります。 この章では、さまざまなタイプの侵入テストについて説明します。 Pen Testing とも呼ばれます。
ペンテストの種類
以下は、ペンテストの重要なタイプです-
- ブラックボックス侵入テスト
- ホワイトボックス侵入テスト
- グレーボックス侵入テスト
より良い理解のために、それらのそれぞれについて詳細に議論しましょう-
ブラックボックス侵入テスト
ブラックボックス侵入テストでは、テスターはテストするシステムについて何も知りません。 彼は、ターゲットのネットワークまたはシステムに関する情報を収集することに興味があります。 たとえば、このテストでは、テスターは予想される結果がどうあるべきかを知っているだけであり、結果がどのように到着するかを知りません。 彼はプログラミングコードを調べません。
ブラックボックス侵入テストの利点
次の利点があります-
- 特定の言語知識を必要としないため、テスターは必ずしも専門家である必要はありません
- テスターは実際のシステムと仕様の矛盾を検証します
- テストは一般に、デザイナーではなくユーザーの視点で行われます
ブラックボックス侵入テストの欠点
その欠点は-
- 特に、この種のテストケースは設計が困難です。
- おそらく、デザイナーが既にテストケースを実施している場合、それは価値がありません。
- すべてを行うわけではありません。
ホワイトボックス侵入テスト
テスターには、スキーマ、ソースコード、OSの詳細、IPアドレスなど、システムやネットワークに関するすべての情報が提供されているため、これは包括的なテストです。 通常、内部ソースによる攻撃のシミュレーションと見なされます。 また、構造、ガラスボックス、クリアボックス、およびオープンボックステストとしても知られています。
ホワイトボックス侵入テストは、コードカバレッジを調べ、データフローテスト、パステスト、ループテストなどを行います。
ホワイトボックス侵入テストの利点
次の利点があります-
- これにより、モジュールのすべての独立したパスが確実に実行されます。
- これにより、すべての論理的決定が真および偽の値とともに検証されます。
- 誤植を発見し、構文チェックを行います。
- プログラムの論理フローと実際の実行の違いにより発生した可能性のある設計エラーを検出します。
グレーボックス侵入テスト
このタイプのテストでは、テスターは通常、システムのプログラムの内部詳細に関する部分的または限定的な情報を提供します。 これは、組織のネットワークインフラストラクチャドキュメントに不正アクセスした外部ハッカーによる攻撃と見なすことができます。
グレーボックス侵入テストの利点
次の利点があります-
- テスターはソースコードへのアクセスを必要としないため、非侵入的で公平です
- 開発者とテスターの間には明確な違いがあるため、個人的な競合のリスクは最小限です
- プログラムの機能やその他の操作に関する内部情報を提供する必要はありません
侵入テストの領域
侵入テストは通常、次の3つの領域で行われます-
- ネットワーク侵入テスト-このテストでは、ネットワークのセキュリティを確保する脆弱性とリスクを特定するために、システムの物理構造をテストする必要があります。 ネットワーク環境では、テスターはそれぞれの会社/組織のネットワークの設計、実装、または運用におけるセキュリティの欠陥を特定します。 テスターによってテストされるデバイスは、コンピューター、モデム、またはリモートアクセスデバイスなどです。
- アプリケーション侵入テスト-このテストでは、システムの論理構造をテストする必要があります。 これは、脆弱性とリスクを特定することにより、アプリケーションのセキュリティ制御の効率を明らかにするために設計された攻撃シミュレーションです。 ファイアウォールおよびその他の監視システムは、セキュリティシステムを保護するために使用されますが、場合によっては、特にトラフィックがファイアウォールを通過することが許可されている場合、集中的なテストが必要です。
- システムの応答またはワークフロー-これは、テストが必要な3番目の領域です。 ソーシャルエンジニアリングは、人間の相互作用に関する情報を収集して、組織とそのコンピューターに関する情報を取得します。 各組織の情報システムへの不正アクセスを防止する能力をテストすることは有益です。 同様に、このテストは組織/会社のワークフロー専用に設計されています。