មូលដ្ឋានគ្រឹះនៃការលួចស្តាប់តាមសីលធម៌

ការសរសេរប្លក់នេះគឺជាការណែនាំអំពីការធ្វើតេស្ដនិងការវាយលុកតាមក្រមសីលធម៌។ យើងនឹងនិយាយអំពីមូលដ្ឋានគ្រឹះនៃការធ្វើតេស្តប៉ែននិងពន្យល់ពីមូលហេតុដែលការធ្វើតេស្តជ្រៀតចូលមានសារៈសំខាន់ចំពោះអង្គការ។

យើងក៏នឹងនិយាយអំពីដំណាក់កាលនៃការធ្វើតេស្តជ្រៀតចូលនិងពន្យល់ពីអ្វីដែលកើតឡើងនៅដំណាក់កាលនីមួយៗ។

នៅចុងបញ្ចប់យើងនឹងក្រឡេកមើលឧបករណ៍មួយចំនួនដែលត្រូវបានប្រើជាទូទៅក្នុងការធ្វើតេស្ដសេនេទិច។

ការធ្វើតេស្ដលើប្រដាប់ភេទ - មូលដ្ឋានគ្រឹះនៃការលួចយកក្រមសីលធម៌

តើការលួចស្តាប់តាមសីលធម៌គឺជាអ្វី?

នៅពេលយើងគិតពីការលួចស្តាប់យើងច្រើនតែភ្ជាប់វាជាមួយសកម្មភាពខុសច្បាប់ឬឧក្រិដ្ឋកម្ម។ នៅពេលដែលពួក Hacker វាយប្រហារប្រព័ន្ធពួកគេធ្វើដូច្នេះដោយគ្មានចំណេះដឹងនិងការយល់ព្រមពីម្ចាស់ប្រព័ន្ធ។ និយាយឱ្យចំទៅវាដូចជាការចូលក្នុងផ្ទះរបស់នរណាម្នាក់ដោយគ្មានការអនុញ្ញាតពេញលេញពីម្ចាស់និងការព្រមព្រៀងជាមុន។

ម៉្យាងវិញទៀតការលួចស្តាប់តាមក្រមសីលធម៌នៅតែត្រូវបានគេលួចស្តាប់។ វាពាក់ព័ន្ធនឹងការប្រមូលព័ត៌មានអំពីប្រព័ន្ធមួយការស្វែងរកចន្លោះប្រហោងនិងការទទួលបានសិទ្ធិ។ ទោះយ៉ាងណាក៏ដោយនៅក្នុងការលួចស្តាប់ក្រមសីលធម៌អ្នកសាកល្បងប៊ិចមាន ការយល់ព្រមនិងការអនុញ្ញាតពេញលេញ _ របស់ម្ចាស់ប្រព័ន្ធ។ ដូច្នេះសកម្មភាពក្លាយជាក្រមសីលធម៌ពោលគឺធ្វើដោយចេតនាល្អ។

អតិថិជនប្រើពួក Hacker ដែលមានក្រមសីលធម៌ដើម្បីបង្កើនសុវត្ថិភាព។



តើការធ្វើតេស្ដលិង្គគឺជាអ្វី?

ការធ្វើតេស្ដលើប្រដាប់ភេទរួមមានការធ្វើត្រាប់តាមការវាយប្រហារជាក់ស្តែងដើម្បីវាយតម្លៃហានិភ័យទាក់ទងនឹងការរំលោភសន្តិសុខដែលអាចកើតមាន។

ក្នុងអំឡុងពេលធ្វើតេស្តប៊ិចអ្នកសាកល្បងប្រើឧបករណ៍និងវិធីសាស្ត្រផ្សេងៗដើម្បីរកភាពងាយរងគ្រោះ។ បន្ទាប់មកពួកគេនឹងព្យាយាមទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះដើម្បីវាយតម្លៃអ្វីដែលអ្នកវាយប្រហារអាចទទួលបានបន្ទាប់ពីការកេងប្រវ័ញ្ចដោយជោគជ័យ។

ហេតុអ្វីបានជាការធ្វើតេស្តការបញ្ចូលលិង្គគឺចាំបាច់?

ប៉ុន្មានឆ្នាំមកនេះមានការកើនឡើងឥតឈប់ឈរនៃចំនួននៃការគំរាមកំហែងតាមអ៊ិនធរណេតនិងសកម្មភាពឧក្រិដ្ឋទាក់ទងនឹងបច្ចេកវិទ្យាព័ត៌មាន។ អាជីវកម្មចាំបាច់ត្រូវធ្វើការវាយតម្លៃភាពងាយរងគ្រោះជាប្រចាំនិងការធ្វើតេស្តជ្រៀតចូលដើម្បីកំណត់ភាពទន់ខ្សោយនៅក្នុងប្រព័ន្ធរបស់ពួកគេ។ បន្ទាប់មកពួកគេអាចប្រើវិធានការប្រកបដោយប្រសិទ្ធភាពដើម្បីការពារប្រព័ន្ធរបស់ពួកគេប្រឆាំងនឹងពួក Hacker ដែលមានគំនិតអាក្រក់។

អ្នកណាធ្វើតេស្តប៊ិច?

ពួក Hacker ដែលមានសីលធម៌គឺជាមនុស្សដែលអនុវត្តការធ្វើតេស្តិ៍ពន្យាកំណើត។

ដើម្បីចាប់ចោរអ្នកត្រូវគិតដូចគេ។

ការលួចស្តាប់តាមក្រមសីលធម៌ក៏ដូចគ្នាដែរ។

ដើម្បីស្វែងរកនិងជួសជុលប្រហោងសុវត្ថិភាពនៅក្នុងប្រព័ន្ធកុំព្យួទ័រអ្នកត្រូវគិតដូចជាអ្នកវាយប្រហារព្យាបាទ។ អ្នកនឹងប្រើវិធីសាស្រ្តឧបករណ៍និងដំណើរការដូចគ្នាដែលពួកគេអាចប្រើបាន។

អ្នកលួចមានសីលធម៌ប្រើឧបករណ៍និងបច្ចេកទេសដូចគ្នាដែលឧក្រិដ្ឋជនអាចប្រើ។ ប៉ុន្តែ ពួកគេធ្វើដូច្នេះដោយមានការគាំទ្រនិងការយល់ព្រមពេញទំហឹងពីអតិថិជនដើម្បីជួយធានាបណ្តាញឬប្រព័ន្ធ។

ការធ្វើតេស្ដលិង្គទល់នឹងការវាយតំលៃភាពងាយរងគ្រោះ

ការវាយតំលៃភាពងាយរងគ្រោះពិនិត្យមើលទ្រព្យសម្បត្តិដែលបានបង្ហាញ (បណ្តាញម៉ាស៊ីនមេកម្មវិធី) សម្រាប់ភាពងាយរងគ្រោះ។ ការធ្លាក់ចុះនៃការស្កេនភាពងាយរងគ្រោះគឺថាវាច្រើនតែរាយការណ៍អំពីភាពមិនពិត។ ភាពវិជ្ជមានក្លែងក្លាយអាចជាសញ្ញាមួយដែលថាការគ្រប់គ្រងដែលមានស្រាប់មិនមានប្រសិទ្ធភាពពេញលេញ។

ការធ្វើតេស្ដលើការបន្តពូជមានមួយជំហានទៀតហើយមើលពីភាពងាយរងគ្រោះហើយនឹងព្យាយាមទាញយកវា។

ប្រភេទនៃការធ្វើតេស្តការពន្យាកំណើត

ការធ្វើតេស្ដលិង្គប្រអប់ខ្មៅ

នៅក្នុងការសាកល្បងជ្រៀតចូលប្រអប់ខ្មៅអ្នកសាកល្បងមិនមានចំណេះដឹងជាមុនអំពីគោលដៅទេ។ នេះក្លែងធ្វើយ៉ាងជិតស្និទ្ធនូវការវាយប្រហារជាក់ស្តែងនិងកាត់បន្ថយភាពមិនពិត។

ការធ្វើតេស្តប្រភេទនេះទាមទារអោយមានការស្រាវជ្រាវនិងការប្រមូលព័ត៌មានយ៉ាងទូលំទូលាយនៅលើប្រព័ន្ធគោលដៅ / បណ្តាញ។ ជាធម្មតាវាចំណាយពេលច្រើនការខិតខំប្រឹងប្រែងនិងចំណាយច្រើនក្នុងការធ្វើតេស្តជ្រៀតចូលប្រអប់ខ្មៅ។

ការធ្វើតេស្ដលើប្រដាប់ប្រដារប្រផេះ - ប្រអប់

នៅក្នុងការសាកល្បងការជ្រៀតចូលប្រអប់ពណ៌ប្រផេះអ្នកសាកល្បងមានកម្រិតឬចំណេះដឹងផ្នែកខ្លះអំពីហេដ្ឋារចនាសម្ព័ន្ធគោលដៅ។ ពួកគេមានចំនេះដឹងខ្លះអំពីយន្តការសន្តិសុខនៅនឹងកន្លែង។

នេះក្លែងធ្វើការវាយប្រហារដោយអ្នកខាងក្នុងឬអ្នកវាយប្រហារខាងក្រៅដែលមាន ខ្លះ ចំណេះដឹងឬឯកសិទ្ធិលើប្រព័ន្ធគោលដៅ។

ការធ្វើតេស្ដប្រដាប់ភេទប្រអប់ - ពណ៌ស

នៅក្នុងការសាកល្បងជ្រៀតចូលប្រអប់ពណ៌សអ្នកសាកល្បងមានចំណេះដឹងស៊ីជម្រៅអំពីហេដ្ឋារចនាសម្ព័ន្ធគោលដៅ។ ពួកគេដឹងអំពីយន្តការសន្តិសុខនៅនឹងកន្លែង។ នេះធ្វើឱ្យការធ្វើតេស្តកាន់តែលឿនងាយស្រួលនិងមិនថ្លៃ។

នេះក្លែងធ្វើការវាយប្រហារដែលអាចកើតឡើងដោយអ្នកខាងក្នុងម្នាក់ដែលមានចំណេះដឹងនិងឯកសិទ្ធិពេញលេញលើប្រព័ន្ធគោលដៅ។

ប្រកាសសាកល្បង

នៅក្នុងការធ្វើតេស្តប្រភេទនេះមនុស្សគ្រប់គ្នាដឹងថាពេលណាការសាកល្បងនឹងត្រូវចាប់ផ្តើម។ បុគ្គលិកអាយធីក្រុមបណ្តាញនិងគណៈគ្រប់គ្រងទាំងអស់សុទ្ធតែមានចំណេះដឹងជាមុនអំពីសកម្មភាពធ្វើតេស្តប៊ិច។

ការសាកល្បងដែលមិនបានប្រកាស

នៅក្នុងការធ្វើតេស្តប្រភេទនេះបុគ្គលិក IT និងក្រុមគាំទ្រមិនមានចំណេះដឹងជាមុនអំពីសកម្មភាពសាកល្បងប៊ិចទេ។

មានតែថ្នាក់ដឹកនាំកំពូលទេដែលដឹងអំពីកាលវិភាគនៃការសាកល្បង។ ការសាកល្បងបែបនេះជួយកំណត់ការឆ្លើយតបរបស់អាយធីនិងគាំទ្របុគ្គលិកក្នុងករណីមានការវាយប្រហារសន្តិសុខ។

ការធ្វើតេស្ដការបញ្ចូលដោយស្វ័យប្រវត្តិ

ដោយសារតែការសាកល្បងជ្រៀតចូលពាក់ព័ន្ធនឹងកិច្ចការជាច្រើនហើយតំបន់ផ្ទៃវាយប្រហារក៏ស្មុគស្មាញផងដែរពេលខ្លះវាចាំបាច់ត្រូវប្រើឧបករណ៍ដើម្បីស្វ័យប្រវត្តិកម្មនូវកិច្ចការជាច្រើន។

ឧបករណ៍នេះនឹងដំណើរការប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធនៅចន្លោះពេលទៀងទាត់ហើយបន្ទាប់មកចែករំលែករបាយការណ៍ជាមួយក្រុមដែលពាក់ព័ន្ធដើម្បីដោះស្រាយបញ្ហា។

គុណវិបត្តិនៃការប្រើប្រាស់ឧបករណ៍ស្វ័យប្រវត្តិកម្មគឺថាពួកគេនឹងពិនិត្យមើលតែភាពងាយរងគ្រោះដែលបានកំណត់ជាមុនដូច្នេះរាយការណ៍អំពីភាពមិនពិត។

វាក៏មិនអាចពិនិត្យមើលឡើងវិញនូវស្ថាបត្យកម្មនិងការរួមបញ្ចូលប្រព័ន្ធពីទស្សនៈសន្តិសុខផងដែរ។ ទោះយ៉ាងណាក៏ដោយវាសមស្របសម្រាប់ការស្កេនគោលដៅជាច្រើនម្តងហើយម្តងទៀតនិងបំពេញបន្ថែមការធ្វើតេស្តដោយដៃ។

ការធ្វើតេស្ដដោយដៃដោយដៃ

នៅក្នុងការធ្វើតេស្តដោយដៃអ្នកសាកល្បងប្រើជំនាញនិងជំនាញផ្ទាល់ខ្លួនដើម្បីជ្រាបចូលក្នុងប្រព័ន្ធគោលដៅ។ អ្នកធ្វើតេស្តិ៍ក៏អាចធ្វើការពិនិត្យឡើងវិញនៃស្ថាបត្យកម្មនិងទិដ្ឋភាពនីតិវិធីផ្សេងទៀតក្នុងការពិគ្រោះយោបល់ជាមួយក្រុមរៀងៗខ្លួន។ សម្រាប់ការធ្វើតេស្តសុវត្ថិភាពរួមវាជាការល្អបំផុតក្នុងការប្រើការរួមបញ្ចូលគ្នានៃការធ្វើតេស្តដោយស្វ័យប្រវត្តិនិងដោយដៃ។

ដំណាក់កាលនៃការធ្វើតេស្តការពន្យាកំណើត

ការធ្វើតេស្តប៊ិចចាប់ផ្តើមជាមួយនឹងដំណាក់កាលមុនពេលភ្ជាប់ពាក្យ។ នេះពាក់ព័ន្ធនឹងការនិយាយជាមួយអតិថិជនអំពីគោលដៅរបស់ពួកគេសម្រាប់ការធ្វើតេស្តប៊ិចនិងគូសផែនទីអំពីវិសាលភាពនៃការធ្វើតេស្ត។

អតិថិជននិងអ្នកសាកល្បងប៊ិចជាសំណួរនិងកំណត់ការរំពឹងទុក។

អតិថិជនខ្លះដាក់ព្រំដែនលើវិសាលភាពនៃសកម្មភាព។

ឧទាហរណ៍អតិថិជនផ្តល់ការអនុញ្ញាតដល់អ្នកធ្វើតេស្តដើម្បីរកភាពងាយរងគ្រោះនៃប្រព័ន្ធទិន្នន័យប៉ុន្តែមិនត្រូវរកទិន្នន័យដែលងាយរងគ្រោះទេ។

ដំណាក់កាលមុនភ្ជាប់ពាក្យក៏គ្របដណ្តប់លើព័ត៌មានលម្អិតផ្សេងទៀតដូចជាបង្អួចសាកល្បងព័ត៌មានទំនាក់ទំនងនិងលក្ខខណ្ឌទូទាត់។

ការប្រមូលព័ត៌មាន

នៅក្នុងដំណាក់កាលប្រមូលព័ត៌មានអ្នកសាកល្បងប៊ិចស្វែងរកព័ត៌មានដែលអាចរកបានជាសាធារណៈអំពីអតិថិជននិងកំណត់មធ្យោបាយសក្តានុពលក្នុងការភ្ជាប់ទៅប្រព័ន្ធរបស់អតិថិជន។

អ្នកសាកល្បងចាប់ផ្តើមប្រើឧបករណ៍ដូចជាម៉ាស៊ីនស្កេនផតថលដើម្បីទទួលបានគំនិតថាតើប្រព័ន្ធអ្វីដែលមាននៅលើបណ្តាញខាងក្នុងក៏ដូចជាកម្មវិធីដែលកំពុងដំណើរការ។

ការគំរាមកំហែងម៉ូដែល

នៅក្នុងដំណាក់កាលនៃការគំរាមកំហែងគំរូអ្នកសាកល្បងប្រើព័ត៌មានដែលប្រមូលបាននៅដំណាក់កាលមុនដើម្បីកំណត់តម្លៃនៃការរកឃើញនីមួយៗនិងផលប៉ះពាល់ដល់អតិថិជនប្រសិនបើការរកឃើញអនុញ្ញាតឱ្យអ្នកវាយប្រហារបំបែកចូលប្រព័ន្ធ។

ការវាយតម្លៃនេះអនុញ្ញាតឱ្យអ្នកអភិវឌ្ឍផែ្នកបង្កើតផែនការសកម្មភាពនិងវិធីសាស្រ្តនៃការវាយប្រហារ។

ការវិភាគភាពងាយរងគ្រោះ

មុនពេលអ្នកសាកល្បងប៉ែនអាចចាប់ផ្តើមវាយប្រហារប្រព័ន្ធពួកគេអនុវត្តការវិភាគភាពងាយរងគ្រោះ។ នៅទីនេះអ្នកសាកល្បងប៉ែនព្យាយាមរកភាពទន់ខ្សោយនៅក្នុងប្រព័ន្ធដែលអាចទាញយកប្រយោជន៍ពីដំណាក់កាលបន្ទាប់។

ប្រតិបត្តិការ

នៅក្នុងដំណាក់កាលកេងប្រវ័ញ្ចអ្នកសាកល្បងប៉ែនចាប់ផ្តើមធ្វើអាជីវកម្មរបស់ពួកគេប្រឆាំងនឹងប្រព័ន្ធគោលដៅ។ ពួកគេប្រើភាពងាយរងគ្រោះដែលបានរកឃើញពីមុនក្នុងការប៉ុនប៉ងចូលប្រើប្រព័ន្ធរបស់អតិថិជន។ ពួកគេនឹងសាកល្បងប្រើឧបករណ៍និងវិធីសាស្ត្រផ្សេងៗដើម្បីជ្រាបចូលក្នុងប្រព័ន្ធ។

ការធ្វើអាជីវកម្មក្រោយ

នៅក្នុងការធ្វើអាជីវកម្មក្រោយអ្នកធ្វើតេស្តវាយតម្លៃពីទំហំនៃការខូចខាតដែលអាចធ្វើបានតាមរយៈការធ្វើអាជីវកម្មជាក់លាក់មួយ។ និយាយម្យ៉ាងទៀតពួកគេវាយតម្លៃហានិភ័យ។

ឧទាហរណ៍ក្នុងអំឡុងពេលធ្វើតេស្តប៊ិចអ្នកសាកល្បងបានសម្របសម្រួលប្រព័ន្ធរបស់អតិថិជន។ តើការឈ្លានពានពិតជាមានន័យអ្វីសម្រាប់អតិថិជនមែនទេ?

ប្រសិនបើអ្នកចូលទៅក្នុងប្រព័ន្ធមួយដែលមិនបង្ហាញព័ត៌មានសំខាន់ណាមួយដល់អ្នកវាយប្រហារដូច្នេះតើមានអ្វីកើតឡើង? ហានិភ័យនៃភាពងាយរងគ្រោះនោះគឺទាបជាងប្រសិនបើអ្នកអាចទាញយកផលប្រយោជន៍ពីប្រព័ន្ធអភិវឌ្ឍន៍របស់អតិថិជន។

ការធ្វើរបាយការណ៍

ដំណាក់កាលចុងក្រោយនៃការសាកល្បងជ្រៀតចូលគឺរាយការណ៍។ ក្នុងតំណាក់កាលនេះអ្នកសាកល្បងប៉ែនបង្ហាញការរកឃើញរបស់ពួកគេដល់អតិថិជនតាមរបៀបប្រកបដោយអត្ថន័យ។ របាយការណ៍នេះជូនដំណឹងដល់អតិថិជននូវអ្វីដែលពួកគេកំពុងធ្វើយ៉ាងត្រឹមត្រូវនិងកន្លែងដែលពួកគេត្រូវការដើម្បីកែលម្អឥរិយាបថសុវត្ថិភាពរបស់ពួកគេ។

របាយការណ៍នេះអាចរាប់បញ្ចូលព័ត៌មានលម្អិតនៃការកេងចំណេញនិងវិធានការនីមួយៗដើម្បីកែតម្រូវពួកគេ។

ឧបករណ៍ទូទៅដែលត្រូវបានប្រើសម្រាប់ការធ្វើតេស្តការពន្យាកំណើត

ឧបករណ៍សាមញ្ញបំផុតពីរដែលត្រូវបានប្រើក្នុងកំឡុងពេលធ្វើតេស្តប៊ិចគឺ Nmap និង Metasploit

ឧបករណ៍ទាំងពីរនេះអាចផ្តល់ព័ត៌មានយ៉ាងច្រើននៅលើប្រព័ន្ធគោលដៅ។

កាលីនុចពីសន្តិសុខវាយលុករួមមានជាច្រើនផ្សេងទៀត ឧបករណ៍ ត្រូវបានប្រើក្នុងដំណាក់កាលផ្សេងៗគ្នានៃការសាកល្បង។