침투 테스트와 다른 보안 테스트

Question

침투 테스트와 다른 보안 테스트의 차이점을 알지 못합니다. 그 지역에서 경험 한 사람이 그 차이점을 말해 줄 수 있습니까? 나는 정말로 감사 할 것입니다. DoS를 시뮬레이트하는 테스트가 있습니까? 나는 그것을 방어하는 방법을 모른다.

Answer 1

컴퓨터 시스템 보안은 평신도가 효과적으로 수행 할 수있는 것이 아닙니다.

시스템 보안에 대한 견고한 토대를 마련하기 위해 투자 할 의사가 없다면 평판 좋은 컨설턴트를 고용하고 조언을 신뢰하십시오.

불안한 시스템은 어디 에나 있습니다. 예를 들어, 거의 모든 유료 Wifi 핫스팟이 호텔, 커피 숍 등에서 사용되면 충분한 스킬을 가진 사람이 유료화 할 수 있습니다. 자신이하는 일을 모를 경우 취약점이 전혀 존재하지 않는다는 것을 알지 못할 것입니다.

Answer 2

저는 침투 시험기입니다.이 질문에 기꺼이 답해 드리겠습니다.

Penetration testing은 일반적으로 black box 보안 테스트 형식입니다. 펜 테스트에서는 가능한 한 여러 번 서버에 침입하여 어디에 침입 할 수 있는지에 대해보고합니다. 이것은 패치가 물을 보유하고 있는지 확인하기 위해 여러 번 수행됩니다. 이것은 현실 세계와 마찬가지로 중요한 유형의 보안 테스트입니다. 정기적 인 침투 테스트는 PCI-DSS의 요구 사항입니다. 웹 응용 프로그램 침투 테스트를위한 일반적인 도구는 Acunetix ($), NTOSpider ($$$), w3af (오픈 소스) 및 Wapiti (오픈 소스)입니다. 다른 유형의 침투 테스트의 경우 Metasploit (오픈 소스), OpenVAS (오픈 소스), NMAP 및 THC-Hydra를 사용하는 것이 일반적입니다.

대조적으로 white box 테스트에서는 사용자는 소스 코드에 대한 모든 권한을가집니다. Acuenetix와 같은 스캐너에서 더 나은 테스트 결과를 얻기 위해 응용 프로그램에서 약을 사용할 수 있습니다. RATS (오픈 소스) 및 Coverity ($$$$$)과 같은 소스 코드 분석 도구를 사용할 수도 있습니다.

DoS 공격에는 두 가지 형태가 있습니다. 가장 간단한 것은 해커가 봇넷을 사용하여 서버에 트래픽을 넘치게하는 분산 형 서비스 거부 공격입니다. 이 트래픽은 ICMP Ping 또는 간단한 HTTP GET 요청 일 수 있습니다. 시스코는 이러한 유형의 공격을 막기 위해 very expensive products의 숫자를 보유하고 있습니다.

DoS (Denial of Service)의 또 다른 형태는 서버 자체에 문제가있는 경우입니다. 이 유형의 보안 결함은 종종 CVE 번호가 주어지기 때문에 CWE-400의 위반입니다. 이는 일반적으로 산술 오버플로 또는 스택/힙 기반 메모리 손상 (버퍼 오버플로 또는 매달린 포인터) 때문입니다. 이러한 유형의 공격을 방지하려면 소프트웨어가 최신 버전인지 확인해야합니다. 0 일간 DoS 공격이 야생에서 자주 사용되는 경우는 드뭅니다.

Answer 3

주로 3 가지 유형의 침투 테스트가 있습니다. 1 블랙 박스 2 흰색 상자 3 회색 상자

1 블랙 박스 P.T (침투 테스트) 테스터의 테스트 목표 이러한 유형의 네트워크 또는 시스템 정보를 많이 수집하는 것입니다.

2 화이트 박스 P.T : 그것은 O.S, IP 주소, 소스 코드 등과 같은 세부 정보의 전체 범위를 제공

3 회색 박스 P.T : P. 이러한 유형의T Tester는 일반적으로 시스템 세부 정보에 대한 제한된 정보를 제공합니다. 따라서 외부 공격자 공격으로 간주 할 수 있습니다.

DOS 시뮬레이션 도구 : 1 Nemessy : http://packetstormsecurity.com/files/25599/nemesy13.zip.html 2-BLAST : http://www.opencomm.co.uk/products/blast/features.php