tailieunhanh - Penetration testing: Module 19

Tài liệu "Penetration testing: Module 19" trình bày 4 chủ đề: Security passessment là gì, các mô hình penetration test, các bước của quá trình penetration test, công cụ tiến hành penetration test. Mời các bạn tham khảo. | Module 19 Penetration Test Những Chủ Đề Chính Trong Chương Này Security Assessment Là Gì ? Các Mô Hình Penetration Test Các Bước Của Quá Trình Penetration Test Công Cụ Tiến Hành Penetration Test 1 Security Assessment Là Gì ? “Biết người biết ta trăm trận trăm thắng” là câu thành ngữ nổi tiếng của binh pháp Tôn Tử, vì vậy trong nhiều tài liệu về an toàn thông tin hay trích dẫn câu nói này với tiêu đề “Know Your Enemy” . Thật vậy, để có thể bảo mật thông tin và phòng chống các cuộc tấn công của hacker thì chính những người chịu trách nhiệm về an ninh cần phải nắm rõ những cách thức mà hacker sẽ tiến hành để tấn công vào hệ thống. Nói cách khác, chúng ta cần phải đột nhập vào hệ thống của mình như là một hacker, quá trình này được gọi là penetration test (gọi tắt là pentest) còn những người thực hiện chính là các penetration tester. Trước tiên penetration tester hay những chuyên gia an ninh mạng cần tiến hành đánh giá mức độ bảo mật thông tin, ước lượng các rũi ro có thể xảy ra cho hệ thống mạng, Quá trình này được gọi là Security Assessment. Đây cũng là một bước trong tiến trình kiểm định bảo mật mà chúng ta hay gọi bằng thuật ngữ security audit và cuối cùng là thực hiện penetration test. Đây là các công việc quan trọng cần được thực hiện bởi những chuyên gia có kinh nghiệm và tiến hành theo quy trình khoa học để đem lại hiệu quả cao nhất. Trong quá trình kiểm định bảo mật hay đánh giá các điểm yếu của hệ thống chúng ta cần quét các lớp mạng để tìm ra những lổ hỗng của hệ thống tồn tại trong các dịch vụ hay máy trạm, máy chủ, xác định các hệ thống đang hoạt động cùng những dịch vụ đang chạy trên các cổng tương ứng, và có hay không những lỗi cấu hình như gán quyền sai, sử dụng thông tin cấu hình mặc định là các default password có thể bị các hacker lợi dụng để xâm nhập hệ thống và đánh cắp dữ liệu. Sau đó, các hacker thiện chí hay pentration tester sẽ dựa trên những thông tin này để thực hiện một cuộc tấn công thực sự vào hệ thống nhằm kiểm tra xem mức độ thiệt hại

TỪ KHÓA LIÊN QUAN