प्रवेश परीक्षण [बंद]

हम खुद को होस्ट करते हुए एक नई वेबसाइट की तैनाती कर रहे हैं। सफेद टोपी में होने की कम आप नेटवर्क के बाहर से प्रवेश परीक्षण के बारे में कैसे जायेंगे?

मैंने देखा है कि व्हाइटहैट सलाहकार इस उपकरण का उपयोग करते हैं और फिर आपको एक भारी बिल भेजते हैं।

OWASP (ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट) पर एक नज़र डालें वे बहुत जानकारीपूर्ण और मुफ्त हैं! उनके पास एक बहुत विस्तृत पेन-परीक्षण मार्गदर्शिका है जिसे आपको अवश्य देखना चाहिए।

उपकरण जो मैं उपयोग करूंगा

Nmap बहन उपकरण SQLMap

और नेसस

XSS और HTML इंजेक्शन के लिए त्वरित स्कैनिंग http://www.seoegghead.com/tools/scan-for-html-injection.seo भी http://www.cirt.net/nikto2

सुनिश्चित करें कि आपने अपने विकास OWASP के दौरान इस पर ध्यान दिया है

आपको MS Windows Server 2008 सुरक्षा गाइड से सुरक्षा मार्गदर्शिका की भी जांच करने की आवश्यकता है

McAfee Secure एक बहुत ही अच्छी स्कैनिंग सेवा प्रदान करता है जो वेब सर्वर, नेटवर्क और वेब साइट पर स्वचालित, ऑन-डिमांड तरीके से दिखेगा। उनका स्कैनर पीसीआई स्कैन के लिए प्रमाणित है, इसलिए यह काफी व्यापक है।

एक अन्य विकल्प क्वालिस है । ध्यान रखें कि क्वालिस और mcAfee सुरक्षित समाधान भेद्यता स्कैनर हैं। पेन-परीक्षण को स्कैन के संबंध में स्वचालित किया जा सकता है, और इसमें से कुछ को एक्सएसएस और एसक्यूएल इंजेक्शन हमलों के लिए स्वचालित किया जा सकता है, लेकिन आखिरकार, आप सिस्टम की जांच करने वाले एक प्रतिष्ठित पंचर चाहते हैं।

पहली बात नेटवर्क स्कैन होगी । चूंकि आप विंडोज़ स्टैक पर हैं, ज़ेनमैप का उपयोग करें और वेबसर्वर और दोनों एसक्यूएल सर्वर को स्कैन करें। यह आपको खुले बंदरगाहों और सेवाओं के चलने के बारे में बताएगा। व्यापक परीक्षण पर जेनमैप चलाएं। मैं इस जानकारी का उपयोग आपके फ़ायरवॉल को पोर्ट किए गए पोर्ट को ब्लॉक करने के लिए ट्विक करने के लिए करूँगा।

एक और चीज जो आप करना चाहते हैं वह है SQL इंजेक्शन भेद्यता ।

Scrawlr आपके वेब अनुप्रयोगों पर SQL इंजेक्शन भेद्यताओं को स्कैन करने के लिए एक मुफ्त सॉफ्टवेयर है।

इसे Microsoft सुरक्षा प्रतिक्रिया केंद्र के समन्वय में HP वेब सिक्योरिटी रिसर्च ग्रुप द्वारा विकसित किया गया है।

मेरे द्वारा बनाए गए इस ScreenToaster वीडियो को देखें। यह sql सर्वर, पोर्ट 1433 और एक मूल SQL इंजेक्शन के लिए एक सरल नेटवर्क स्कैन प्रदर्शित करता है।

भेद्यता स्कैनर की शीर्ष l0 सूची: http: // sectools.org/vuln-scanners.html

Microsoft की बेसलाइन सिक्योरिटी एनालाइज़र भी है, जो आपके बेस सेटअप का हिस्सा होना चाहिए, यदि आप पहले से ही एक सर्वर को ठेस पहुंचाने से पहले नहीं: http: // www.microsoft.com/downloads/details.aspx?familyid=F32921AF9/DBE-4DCE- 889E-ECF997EB18E9 और displaylang = hi

अच्छी तरह से ज्ञात कमजोरियों की तलाश के लिए निको एक अच्छी शुरुआत है। विंडोज और लिनक्स पर काम करता है, आदि मेरे जैसे noobs के लिए भी काफी सरल :)

भले ही तकनीक आपको खतरों को जानने की आवश्यकता हो। आपको यह जानना होगा कि वह कौन सा डेटा है जिसे आप संरक्षित करने की कोशिश कर रहे हैं? आपको यह जानना होगा कि आपकी वेबसाइट कैसे काम करती है। एक खतरे वाले मॉडल को पहले इन जादुई सुरक्षा बुलेट प्रौद्योगिकी विधियों के बारे में भूल जाओ। पैठ परीक्षण पर व्यर्थ धन खर्च करने से पहले आपको यह पता लगाना होगा कि आप कहां हैं।

मैट पार्सन्स CISSP mparsons1980 [at] gmail.com

वास्तव में मैं एक नए पेंटीस्ट लाइवसीडी डिस्ट्रो का मुख्य निर्माता हूं, जो कि बैकट्रैक 4 का एक कांटा है। डिस्ट्रो ने अच्छी पैठ के परीक्षण (ओपनवस, मेटस्प्लॉइट, फास्टट्रैक, मिलवॉर्म्ड कारनामे ...) बनाने के लिए आवश्यक सभी चीजों को अपनाया। इसका नाम छायाकार है, और आप इसे देख सकते हैं @

www.shadowcircle.org।

आशा है, आपको पसंद आयेगी ;)

आपके निपटान में वहाँ कई प्रकार के सार्वजनिक लाइसेंस टूल हैं, हालाँकि, जहाँ मैं काम करता हूँ, हम पदों में हेरफेर करने के लिए फ़ायरफ़ॉक्स और पारोस प्रॉक्सी का उपयोग करते हैं, और एप्लीकेशन इनफॉर्मलिटी रिपोर्टिंग के लिए WebInspect, और एक अच्छे फैशन होस्ट्स स्कैन के लिए क्वालिसगार्ड एंटरप्राइज। परिणाम क्या हैं, इस पर निर्भर करते हुए, हम बॉक्स के कॉन्फ़िगरेशन और सुरक्षा मुद्रा के लिए समायोजन करते हैं, उन चीजों के लिए जोखिम स्वीकृति प्रपत्र बनाते हैं जिन्हें हम बदल नहीं सकते हैं, या यह पता लगाने के लिए अन्य उपकरण संलग्न कर सकते हैं कि क्या वास्तव में चिंतित होना चाहिए।

इस वेबसाइट से निक्टो, निमप, ओपनवास भेद्यता स्कैन ऑनलाइन उपलब्ध हैं