侵入テスト(Pen-testing)は、すべての組織がサイバーセキュリティの武器庫で必要とする重要かつ不可欠なコンポーネントです。 ペネトレーション-テストは、信頼できるペン-テスターが安全な条件下でサイバー攻撃をシミュレートし、リスクを最小限に抑え、セキュリティ体制を強化するための対策の状況と提案を含む報告書を提出する、セキュリティ対策の強さと有効性を評価することを可能にします。

無作為に/盲目的に、またはウェブサイト/ウェブアプリケーション/ネットワークのすべてのデジタル資産およびコンポーネントに対してペンテストを行 ペンテストの範囲と侵入レベルは、予想される結果、ニーズ、およびコンテキストに依存します。 Indusfaceのような信頼できる専門家のセキュリティ専門家は、これらのパラメータに基づいて、侵入テストツール、方法、および技術の適切な組み合わせを常に選

この記事では、テストがどのように行われているか/方法、および対象となるコンポーネント/資産/領域に基づいて分類された侵入テストを見ていきま

使用される方法に基づいてペンテストの種類

A.ブラックボックステスト

ブラックボックスペンテストは、外部テストまたは試行錯誤テストとも呼ばれ、企業/資産の外部に面した資産がインターネット上に表示される場所です。 これらの種類のテストは、テスターがアプリケーション/ネットワーク/システムのインとアウトを知らず、itインフラストラクチャに対するブルートフォース攻撃

テスターは、ターゲットに関する洞察を抽出し、ボットやその他の自動化されたプロセスやツールからの入力に基づいて機能を評価し、ターゲットのシステ

b. ホワイトボックステスト

ホワイトボックスペンテストは、内部テストまたは構造/クリア/ガラスボックステストとも呼ばれ、テスターがソースコード、IPア 目標は、フィッシング攻撃を使用して資格情報を盗んだ悪意のあるインサイダーまたは部外者に対して、システム/ネットワーク/アプリケーションの内部構造と強さをテストすることです。

ホワイトボックステストを使用すると、内部操作とモジュールが仕様に従って適切に実行されているかどうかを理解し、論理、設計、誤植、構文エラー、 これらには、はるかに洗練された侵入テストツールが必要です。

C.Grey Box Testing

Grey Box Pen-testingは、テスターがソフトウェアコード、システムアーキテクチャ図などへのアクセスなど、システム/ネットワーク/アプリケーションに関 攻撃をシミュレートする。 このタイプのテストでは、外部エンティティがインフラストラクチャドキュメントへの不正なアクセスを取得し、部分的な情報アクセスがターゲットにどのように影響するかをトレースするシナリオをエミュレートします。

Pen-testing Types Based on Targeted Components/Assets/Areas

  1. Network Services Testing

最も一般的で需要の高い種類のpen-testing、network services testingは、ネットワークインフラストラクチャの脆弱性やギャップを それは深い一種のペンテストではありません。 ここでは、対象となるネットワーク領域には、ファイアウォール構成、ステートフル分析、SQL Server、SMTPメールサーバー、DNS、IPS回避などが含まれます。

2. Webアプリケーションテスト

Webアプリケーションテストは、webアプリケーションの脆弱性、ギャップ、設定ミスを発掘するための、はるかに強く、より深く、詳 これは、計画と戦略が有効性を高めるために不可欠である時間がかかり、複雑な種類のテストです。 ここで対象とする領域には、Api、ActiveX、プラグイン、アプレット、スクリプトレットなどがあります。

3. クライアント側のテスト

このタイプのテストは、ローカルで発生し、クライアント側から悪用される可能性のあるソフトウェアの脆弱性を特定 例えば、ウェブブラウザ、内容の作成ソフトウェア(MSオフィスの続き、Photoshop、Adobeのページメーカー)、メディアプレイヤー、等。

4. ソーシャルエンジニアリングテスト

ここでは、テスターは、所有権や機密情報を取得するために従業員/ユーザーをだまして攻撃をシミュレートしようとし 目標は、組織内の人的ネットワークの意識と強さをテストすることです。 社会工学テストには二つのサブカテゴリがあります:

  • フィッシング技術は、電子的手段を介して機密情報を盗むために使用されているリモートテスト。
  • テスターがなりすまし、ゴミ箱ダイビング、脅威、説得力のある電話などを通じて物理的な手段または存在を使用する物理的なテスト。 機密情報へのアクセスを取得します。

5. ワイヤレスネットワークテスト

このタイプのペンテストは、クライアント側で使用されるワイヤレスデバイスの脆弱性と弱点を特定するこ 例えば、タブレット、スマートフォン、ノートなど。 これらのテストには、無線プロトコル、無線アクセスポイント、および管理者の資格情報も含まれます。

侵入テストツールの適切な組み合わせを選択して、組織のセキュリティ努力にproactivenessとperceptivenessの非常に必要な要素を注入します。

web application security banner

web application security bannerweb application security banner