ការសរសេរប្លក់នេះគឺជាការណែនាំអំពីការធ្វើតេស្ដនិងការវាយលុកតាមក្រមសីលធម៌។ យើងនឹងនិយាយអំពីមូលដ្ឋានគ្រឹះនៃការធ្វើតេស្តប៉ែននិងពន្យល់ពីមូលហេតុដែលការធ្វើតេស្តជ្រៀតចូលមានសារៈសំខាន់ចំពោះអង្គការ។
យើងក៏នឹងនិយាយអំពីដំណាក់កាលនៃការធ្វើតេស្តជ្រៀតចូលនិងពន្យល់ពីអ្វីដែលកើតឡើងនៅដំណាក់កាលនីមួយៗ។
នៅចុងបញ្ចប់យើងនឹងក្រឡេកមើលឧបករណ៍មួយចំនួនដែលត្រូវបានប្រើជាទូទៅក្នុងការធ្វើតេស្ដសេនេទិច។
នៅពេលយើងគិតពីការលួចស្តាប់យើងច្រើនតែភ្ជាប់វាជាមួយសកម្មភាពខុសច្បាប់ឬឧក្រិដ្ឋកម្ម។ នៅពេលដែលពួក Hacker វាយប្រហារប្រព័ន្ធពួកគេធ្វើដូច្នេះដោយគ្មានចំណេះដឹងនិងការយល់ព្រមពីម្ចាស់ប្រព័ន្ធ។ និយាយឱ្យចំទៅវាដូចជាការចូលក្នុងផ្ទះរបស់នរណាម្នាក់ដោយគ្មានការអនុញ្ញាតពេញលេញពីម្ចាស់និងការព្រមព្រៀងជាមុន។
ម៉្យាងវិញទៀតការលួចស្តាប់តាមក្រមសីលធម៌នៅតែត្រូវបានគេលួចស្តាប់។ វាពាក់ព័ន្ធនឹងការប្រមូលព័ត៌មានអំពីប្រព័ន្ធមួយការស្វែងរកចន្លោះប្រហោងនិងការទទួលបានសិទ្ធិ។ ទោះយ៉ាងណាក៏ដោយនៅក្នុងការលួចស្តាប់ក្រមសីលធម៌អ្នកសាកល្បងប៊ិចមាន ការយល់ព្រមនិងការអនុញ្ញាតពេញលេញ _ របស់ម្ចាស់ប្រព័ន្ធ។ ដូច្នេះសកម្មភាពក្លាយជាក្រមសីលធម៌ពោលគឺធ្វើដោយចេតនាល្អ។
អតិថិជនប្រើពួក Hacker ដែលមានក្រមសីលធម៌ដើម្បីបង្កើនសុវត្ថិភាព។
ការធ្វើតេស្ដលើប្រដាប់ភេទរួមមានការធ្វើត្រាប់តាមការវាយប្រហារជាក់ស្តែងដើម្បីវាយតម្លៃហានិភ័យទាក់ទងនឹងការរំលោភសន្តិសុខដែលអាចកើតមាន។
ក្នុងអំឡុងពេលធ្វើតេស្តប៊ិចអ្នកសាកល្បងប្រើឧបករណ៍និងវិធីសាស្ត្រផ្សេងៗដើម្បីរកភាពងាយរងគ្រោះ។ បន្ទាប់មកពួកគេនឹងព្យាយាមទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះដើម្បីវាយតម្លៃអ្វីដែលអ្នកវាយប្រហារអាចទទួលបានបន្ទាប់ពីការកេងប្រវ័ញ្ចដោយជោគជ័យ។
ប៉ុន្មានឆ្នាំមកនេះមានការកើនឡើងឥតឈប់ឈរនៃចំនួននៃការគំរាមកំហែងតាមអ៊ិនធរណេតនិងសកម្មភាពឧក្រិដ្ឋទាក់ទងនឹងបច្ចេកវិទ្យាព័ត៌មាន។ អាជីវកម្មចាំបាច់ត្រូវធ្វើការវាយតម្លៃភាពងាយរងគ្រោះជាប្រចាំនិងការធ្វើតេស្តជ្រៀតចូលដើម្បីកំណត់ភាពទន់ខ្សោយនៅក្នុងប្រព័ន្ធរបស់ពួកគេ។ បន្ទាប់មកពួកគេអាចប្រើវិធានការប្រកបដោយប្រសិទ្ធភាពដើម្បីការពារប្រព័ន្ធរបស់ពួកគេប្រឆាំងនឹងពួក Hacker ដែលមានគំនិតអាក្រក់។
ពួក Hacker ដែលមានសីលធម៌គឺជាមនុស្សដែលអនុវត្តការធ្វើតេស្តិ៍ពន្យាកំណើត។
ដើម្បីចាប់ចោរអ្នកត្រូវគិតដូចគេ។
ការលួចស្តាប់តាមក្រមសីលធម៌ក៏ដូចគ្នាដែរ។
ដើម្បីស្វែងរកនិងជួសជុលប្រហោងសុវត្ថិភាពនៅក្នុងប្រព័ន្ធកុំព្យួទ័រអ្នកត្រូវគិតដូចជាអ្នកវាយប្រហារព្យាបាទ។ អ្នកនឹងប្រើវិធីសាស្រ្តឧបករណ៍និងដំណើរការដូចគ្នាដែលពួកគេអាចប្រើបាន។
អ្នកលួចមានសីលធម៌ប្រើឧបករណ៍និងបច្ចេកទេសដូចគ្នាដែលឧក្រិដ្ឋជនអាចប្រើ។ ប៉ុន្តែ ពួកគេធ្វើដូច្នេះដោយមានការគាំទ្រនិងការយល់ព្រមពេញទំហឹងពីអតិថិជនដើម្បីជួយធានាបណ្តាញឬប្រព័ន្ធ។
ការវាយតំលៃភាពងាយរងគ្រោះពិនិត្យមើលទ្រព្យសម្បត្តិដែលបានបង្ហាញ (បណ្តាញម៉ាស៊ីនមេកម្មវិធី) សម្រាប់ភាពងាយរងគ្រោះ។ ការធ្លាក់ចុះនៃការស្កេនភាពងាយរងគ្រោះគឺថាវាច្រើនតែរាយការណ៍អំពីភាពមិនពិត។ ភាពវិជ្ជមានក្លែងក្លាយអាចជាសញ្ញាមួយដែលថាការគ្រប់គ្រងដែលមានស្រាប់មិនមានប្រសិទ្ធភាពពេញលេញ។
ការធ្វើតេស្ដលើការបន្តពូជមានមួយជំហានទៀតហើយមើលពីភាពងាយរងគ្រោះហើយនឹងព្យាយាមទាញយកវា។
នៅក្នុងការសាកល្បងជ្រៀតចូលប្រអប់ខ្មៅអ្នកសាកល្បងមិនមានចំណេះដឹងជាមុនអំពីគោលដៅទេ។ នេះក្លែងធ្វើយ៉ាងជិតស្និទ្ធនូវការវាយប្រហារជាក់ស្តែងនិងកាត់បន្ថយភាពមិនពិត។
ការធ្វើតេស្តប្រភេទនេះទាមទារអោយមានការស្រាវជ្រាវនិងការប្រមូលព័ត៌មានយ៉ាងទូលំទូលាយនៅលើប្រព័ន្ធគោលដៅ / បណ្តាញ។ ជាធម្មតាវាចំណាយពេលច្រើនការខិតខំប្រឹងប្រែងនិងចំណាយច្រើនក្នុងការធ្វើតេស្តជ្រៀតចូលប្រអប់ខ្មៅ។
នៅក្នុងការសាកល្បងការជ្រៀតចូលប្រអប់ពណ៌ប្រផេះអ្នកសាកល្បងមានកម្រិតឬចំណេះដឹងផ្នែកខ្លះអំពីហេដ្ឋារចនាសម្ព័ន្ធគោលដៅ។ ពួកគេមានចំនេះដឹងខ្លះអំពីយន្តការសន្តិសុខនៅនឹងកន្លែង។
នេះក្លែងធ្វើការវាយប្រហារដោយអ្នកខាងក្នុងឬអ្នកវាយប្រហារខាងក្រៅដែលមាន ខ្លះ ចំណេះដឹងឬឯកសិទ្ធិលើប្រព័ន្ធគោលដៅ។
នៅក្នុងការសាកល្បងជ្រៀតចូលប្រអប់ពណ៌សអ្នកសាកល្បងមានចំណេះដឹងស៊ីជម្រៅអំពីហេដ្ឋារចនាសម្ព័ន្ធគោលដៅ។ ពួកគេដឹងអំពីយន្តការសន្តិសុខនៅនឹងកន្លែង។ នេះធ្វើឱ្យការធ្វើតេស្តកាន់តែលឿនងាយស្រួលនិងមិនថ្លៃ។
នេះក្លែងធ្វើការវាយប្រហារដែលអាចកើតឡើងដោយអ្នកខាងក្នុងម្នាក់ដែលមានចំណេះដឹងនិងឯកសិទ្ធិពេញលេញលើប្រព័ន្ធគោលដៅ។
នៅក្នុងការធ្វើតេស្តប្រភេទនេះមនុស្សគ្រប់គ្នាដឹងថាពេលណាការសាកល្បងនឹងត្រូវចាប់ផ្តើម។ បុគ្គលិកអាយធីក្រុមបណ្តាញនិងគណៈគ្រប់គ្រងទាំងអស់សុទ្ធតែមានចំណេះដឹងជាមុនអំពីសកម្មភាពធ្វើតេស្តប៊ិច។
នៅក្នុងការធ្វើតេស្តប្រភេទនេះបុគ្គលិក IT និងក្រុមគាំទ្រមិនមានចំណេះដឹងជាមុនអំពីសកម្មភាពសាកល្បងប៊ិចទេ។
មានតែថ្នាក់ដឹកនាំកំពូលទេដែលដឹងអំពីកាលវិភាគនៃការសាកល្បង។ ការសាកល្បងបែបនេះជួយកំណត់ការឆ្លើយតបរបស់អាយធីនិងគាំទ្របុគ្គលិកក្នុងករណីមានការវាយប្រហារសន្តិសុខ។
ដោយសារតែការសាកល្បងជ្រៀតចូលពាក់ព័ន្ធនឹងកិច្ចការជាច្រើនហើយតំបន់ផ្ទៃវាយប្រហារក៏ស្មុគស្មាញផងដែរពេលខ្លះវាចាំបាច់ត្រូវប្រើឧបករណ៍ដើម្បីស្វ័យប្រវត្តិកម្មនូវកិច្ចការជាច្រើន។
ឧបករណ៍នេះនឹងដំណើរការប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធនៅចន្លោះពេលទៀងទាត់ហើយបន្ទាប់មកចែករំលែករបាយការណ៍ជាមួយក្រុមដែលពាក់ព័ន្ធដើម្បីដោះស្រាយបញ្ហា។
គុណវិបត្តិនៃការប្រើប្រាស់ឧបករណ៍ស្វ័យប្រវត្តិកម្មគឺថាពួកគេនឹងពិនិត្យមើលតែភាពងាយរងគ្រោះដែលបានកំណត់ជាមុនដូច្នេះរាយការណ៍អំពីភាពមិនពិត។
វាក៏មិនអាចពិនិត្យមើលឡើងវិញនូវស្ថាបត្យកម្មនិងការរួមបញ្ចូលប្រព័ន្ធពីទស្សនៈសន្តិសុខផងដែរ។ ទោះយ៉ាងណាក៏ដោយវាសមស្របសម្រាប់ការស្កេនគោលដៅជាច្រើនម្តងហើយម្តងទៀតនិងបំពេញបន្ថែមការធ្វើតេស្តដោយដៃ។
នៅក្នុងការធ្វើតេស្តដោយដៃអ្នកសាកល្បងប្រើជំនាញនិងជំនាញផ្ទាល់ខ្លួនដើម្បីជ្រាបចូលក្នុងប្រព័ន្ធគោលដៅ។ អ្នកធ្វើតេស្តិ៍ក៏អាចធ្វើការពិនិត្យឡើងវិញនៃស្ថាបត្យកម្មនិងទិដ្ឋភាពនីតិវិធីផ្សេងទៀតក្នុងការពិគ្រោះយោបល់ជាមួយក្រុមរៀងៗខ្លួន។ សម្រាប់ការធ្វើតេស្តសុវត្ថិភាពរួមវាជាការល្អបំផុតក្នុងការប្រើការរួមបញ្ចូលគ្នានៃការធ្វើតេស្តដោយស្វ័យប្រវត្តិនិងដោយដៃ។
ការធ្វើតេស្តប៊ិចចាប់ផ្តើមជាមួយនឹងដំណាក់កាលមុនពេលភ្ជាប់ពាក្យ។ នេះពាក់ព័ន្ធនឹងការនិយាយជាមួយអតិថិជនអំពីគោលដៅរបស់ពួកគេសម្រាប់ការធ្វើតេស្តប៊ិចនិងគូសផែនទីអំពីវិសាលភាពនៃការធ្វើតេស្ត។
អតិថិជននិងអ្នកសាកល្បងប៊ិចជាសំណួរនិងកំណត់ការរំពឹងទុក។
អតិថិជនខ្លះដាក់ព្រំដែនលើវិសាលភាពនៃសកម្មភាព។
ឧទាហរណ៍អតិថិជនផ្តល់ការអនុញ្ញាតដល់អ្នកធ្វើតេស្តដើម្បីរកភាពងាយរងគ្រោះនៃប្រព័ន្ធទិន្នន័យប៉ុន្តែមិនត្រូវរកទិន្នន័យដែលងាយរងគ្រោះទេ។
ដំណាក់កាលមុនភ្ជាប់ពាក្យក៏គ្របដណ្តប់លើព័ត៌មានលម្អិតផ្សេងទៀតដូចជាបង្អួចសាកល្បងព័ត៌មានទំនាក់ទំនងនិងលក្ខខណ្ឌទូទាត់។
នៅក្នុងដំណាក់កាលប្រមូលព័ត៌មានអ្នកសាកល្បងប៊ិចស្វែងរកព័ត៌មានដែលអាចរកបានជាសាធារណៈអំពីអតិថិជននិងកំណត់មធ្យោបាយសក្តានុពលក្នុងការភ្ជាប់ទៅប្រព័ន្ធរបស់អតិថិជន។
អ្នកសាកល្បងចាប់ផ្តើមប្រើឧបករណ៍ដូចជាម៉ាស៊ីនស្កេនផតថលដើម្បីទទួលបានគំនិតថាតើប្រព័ន្ធអ្វីដែលមាននៅលើបណ្តាញខាងក្នុងក៏ដូចជាកម្មវិធីដែលកំពុងដំណើរការ។
នៅក្នុងដំណាក់កាលនៃការគំរាមកំហែងគំរូអ្នកសាកល្បងប្រើព័ត៌មានដែលប្រមូលបាននៅដំណាក់កាលមុនដើម្បីកំណត់តម្លៃនៃការរកឃើញនីមួយៗនិងផលប៉ះពាល់ដល់អតិថិជនប្រសិនបើការរកឃើញអនុញ្ញាតឱ្យអ្នកវាយប្រហារបំបែកចូលប្រព័ន្ធ។
ការវាយតម្លៃនេះអនុញ្ញាតឱ្យអ្នកអភិវឌ្ឍផែ្នកបង្កើតផែនការសកម្មភាពនិងវិធីសាស្រ្តនៃការវាយប្រហារ។
មុនពេលអ្នកសាកល្បងប៉ែនអាចចាប់ផ្តើមវាយប្រហារប្រព័ន្ធពួកគេអនុវត្តការវិភាគភាពងាយរងគ្រោះ។ នៅទីនេះអ្នកសាកល្បងប៉ែនព្យាយាមរកភាពទន់ខ្សោយនៅក្នុងប្រព័ន្ធដែលអាចទាញយកប្រយោជន៍ពីដំណាក់កាលបន្ទាប់។
នៅក្នុងដំណាក់កាលកេងប្រវ័ញ្ចអ្នកសាកល្បងប៉ែនចាប់ផ្តើមធ្វើអាជីវកម្មរបស់ពួកគេប្រឆាំងនឹងប្រព័ន្ធគោលដៅ។ ពួកគេប្រើភាពងាយរងគ្រោះដែលបានរកឃើញពីមុនក្នុងការប៉ុនប៉ងចូលប្រើប្រព័ន្ធរបស់អតិថិជន។ ពួកគេនឹងសាកល្បងប្រើឧបករណ៍និងវិធីសាស្ត្រផ្សេងៗដើម្បីជ្រាបចូលក្នុងប្រព័ន្ធ។
នៅក្នុងការធ្វើអាជីវកម្មក្រោយអ្នកធ្វើតេស្តវាយតម្លៃពីទំហំនៃការខូចខាតដែលអាចធ្វើបានតាមរយៈការធ្វើអាជីវកម្មជាក់លាក់មួយ។ និយាយម្យ៉ាងទៀតពួកគេវាយតម្លៃហានិភ័យ។
ឧទាហរណ៍ក្នុងអំឡុងពេលធ្វើតេស្តប៊ិចអ្នកសាកល្បងបានសម្របសម្រួលប្រព័ន្ធរបស់អតិថិជន។ តើការឈ្លានពានពិតជាមានន័យអ្វីសម្រាប់អតិថិជនមែនទេ?
ប្រសិនបើអ្នកចូលទៅក្នុងប្រព័ន្ធមួយដែលមិនបង្ហាញព័ត៌មានសំខាន់ណាមួយដល់អ្នកវាយប្រហារដូច្នេះតើមានអ្វីកើតឡើង? ហានិភ័យនៃភាពងាយរងគ្រោះនោះគឺទាបជាងប្រសិនបើអ្នកអាចទាញយកផលប្រយោជន៍ពីប្រព័ន្ធអភិវឌ្ឍន៍របស់អតិថិជន។
ដំណាក់កាលចុងក្រោយនៃការសាកល្បងជ្រៀតចូលគឺរាយការណ៍។ ក្នុងតំណាក់កាលនេះអ្នកសាកល្បងប៉ែនបង្ហាញការរកឃើញរបស់ពួកគេដល់អតិថិជនតាមរបៀបប្រកបដោយអត្ថន័យ។ របាយការណ៍នេះជូនដំណឹងដល់អតិថិជននូវអ្វីដែលពួកគេកំពុងធ្វើយ៉ាងត្រឹមត្រូវនិងកន្លែងដែលពួកគេត្រូវការដើម្បីកែលម្អឥរិយាបថសុវត្ថិភាពរបស់ពួកគេ។
របាយការណ៍នេះអាចរាប់បញ្ចូលព័ត៌មានលម្អិតនៃការកេងចំណេញនិងវិធានការនីមួយៗដើម្បីកែតម្រូវពួកគេ។
ឧបករណ៍សាមញ្ញបំផុតពីរដែលត្រូវបានប្រើក្នុងកំឡុងពេលធ្វើតេស្តប៊ិចគឺ Nmap និង Metasploit ។
ឧបករណ៍ទាំងពីរនេះអាចផ្តល់ព័ត៌មានយ៉ាងច្រើននៅលើប្រព័ន្ធគោលដៅ។
កាលីនុចពីសន្តិសុខវាយលុករួមមានជាច្រើនផ្សេងទៀត ឧបករណ៍ ត្រូវបានប្រើក្នុងដំណាក់កាលផ្សេងៗគ្នានៃការសាកល្បង។