Python-penetration-testing-introduction
Python侵入テスト-はじめに
ペンテストまたは侵入テストは、コンピュータシステムに対するサイバー攻撃をシミュレートして脆弱性を悪用することにより、ITインフラストラクチャのセキュリティを評価する試みとして定義できます。
脆弱性スキャンと侵入テストの違いは何ですか? 脆弱性スキャンは、前述のように、単に指摘された脆弱性を特定するだけで、侵入テストは脆弱性を悪用する試みです。 侵入テストは、システム内で不正アクセスまたはその他の悪意のある活動が可能かどうかを判断するのに役立ちます。
手動または自動技術を使用して、サーバー、Webアプリケーション、ワイヤレスネットワーク、モバイルデバイス、およびその他の潜在的な露出ポイントの侵入テストを実行できます。 侵入テストのため、何らかの種類の脆弱性を悪用した場合、戦略的な結論に達するために同じことをITおよびネットワークシステムマネージャーに転送する必要があります。
侵入(ペン)テストの意義
このセクションでは、侵入テストの重要性について学びます。 重要性について知るために、次の点を考慮してください-
組織のセキュリティ
侵入テストの重要性は、組織にその組織のセキュリティの詳細な評価を保証するという点から理解できます。
組織の機密性を保護する
侵入テストの助けを借りて、損害に直面する前に潜在的な脅威を発見し、その組織の機密性を保護することができます。
セキュリティポリシーの実装
侵入テストにより、組織でのセキュリティポリシーの実装に関して確認できます。
ネットワーク効率の管理
侵入テストの助けを借りて、ネットワークの効率を管理できます。 ファイアウォール、ルーターなどのデバイスのセキュリティを精査できます。
組織の安全を確保する
ネットワーク設計の変更を実装する場合、またはソフトウェア、ハードウェアなどを更新する場合を考えます。 その後、侵入テストにより、あらゆる種類の脆弱性に対する組織の安全性が確保されます。
良いペンテスターは誰ですか?
侵入テスト担当者は、脆弱性を特定することにより、組織がサイバー攻撃に対する防御を強化するのを支援するソフトウェアの専門家です。 ペネトレーションテスターは、テストのために手動の手法または自動化されたツールを使用できます。
私たちは今、良い侵入試験機の次の重要な特性を考慮しましょう-
ネットワーキングとアプリケーション開発の知識
優れたペンテスターは、コーディングだけでなく構成設定も処理することが期待されるため、アプリケーション開発、データベース管理、およびネットワーキングの知識が必要です。
優れた思想家
Pentesterは優れた思想家でなければならず、最高の成果を得るために特定の課題にさまざまなツールや手法を適用することをためらわないでしょう。
手順の知識
良い五星は、目的、制限、手順の正当化など、各侵入テストの範囲を確立するための知識を持っている必要があります。
最新のテクノロジー
技術はいつでも変化する可能性があるため、ペンテスターは技術スキルが最新でなければなりません。
レポート作成に熟練
侵入テストを正常に実装した後、ペンテスターは、最終レポートですべての調査結果と潜在的なリスクに言及する必要があります。 したがって、彼/彼女はレポート作成の優れたスキルを持っている必要があります。
サイバーセキュリティに情熱
情熱的な人は人生で成功を収めることができます。 同様に、人がサイバー証券に情熱を持っている場合、彼/彼女は良いペンテスターになることができます。
侵入テストの範囲
次に、侵入テストの範囲について学習します。 次の2種類のテストは、侵入テストの範囲を定義できます-
非破壊検査(NDT)
非破壊検査では、システムがいかなる種類のリスクにもさらされることはありません。 NDTは、システムやオブジェクトなどを傷つけることなく、危険になる前に欠陥を見つけるために使用されます。 侵入テストを行っている間、NDTは次のアクションを実行します-
リモートシステムのスキャン
このテストでは、考えられる脆弱性についてリモートシステムをスキャンおよび識別します。
検証
脆弱性を発見した後、発見されたすべての検証も行います。
リモートシステムの適切な利用
NDTでは、ペンテスターはリモートシステムを適切に利用します。 これは、中断を回避するのに役立ちます。
注-一方、ペネトレーションテストを行っている間、NDTは*サービス拒否(DoS)攻撃*を実行しません。
破壊試験
破壊的なテストは、システムをリスクにさらす可能性があります。 非破壊検査よりも高価であり、より多くのスキルが必要です。 侵入テストを行っている間、破壊テストは次のアクションを実行します-
- サービス拒否(DoS)攻撃-破壊テストによりDoS攻撃が実行されます。
- バッファオーバーフロー攻撃-また、システムのクラッシュにつながる可能性のあるバッファオーバーフロー攻撃を実行します。
模擬侵入テストのために何をインストールしますか?
侵入テストの手法とツールは、所有する環境で実行するか、これらのツールを実行する権限がある環境でのみ実行する必要があります。 許可なしの侵入テストは違法であるため、許可されていない環境でこれらの手法を実行してはなりません。
仮想化スイートをインストールすることにより、侵入テストを実施できます- VMware Player (https://www.vmware.com/products/player[www.vmware.com/products/player])または Oracle VirtualBox -
www.oracle.com/technetwork/server-storage/virtualbox/downloads/indexl
また、現在のバージョンから仮想マシン(VM)を作成することができます-
- Kali Linux(https://www.kali.org/downloads/[www.kali.org/downloads/])
- Samurai Web Testing Framework(http://samurai.inguardians.com/)
- Metasploitable(https://www.offensive-security.com/metasploit-unleashed/requirements/[www.offensivesecurity.com/metasploit-unleashed/Requirements])