Erinevus lehekülje "Läbistustestimine (''Penetration testing'')" redaktsioonide vahel

Allikas: Teadmusbaas
10. rida: 10. rida:
 
* Disaini ja arendusvead: Riist- ja tarkvara arenduspuuded võivad põhjustada ärikriitiliste andmete avalikustamist;
 
* Disaini ja arendusvead: Riist- ja tarkvara arenduspuuded võivad põhjustada ärikriitiliste andmete avalikustamist;
 
* Vilets süsteemi seadistus: Halvasti seadistatud süsteemis võib esineda ettekavatsematuid lünki, milliseid ründajad võivad ära kasutada;
 
* Vilets süsteemi seadistus: Halvasti seadistatud süsteemis võib esineda ettekavatsematuid lünki, milliseid ründajad võivad ära kasutada;
* Inimlikud vead: Human factors like improper disposal of documents, leaving the documents unattended, coding errors, insider threats, sharing passwords over phishing sites, etc. can lead to security breaches.
+
* Inimlikud vead: dokumentide mittesoovitud avalikkustamine ja järelvalveta jätmine, koodivead, siseringi ohud, paroolide avaldamine andmepüügi portaalides jne;
* Connectivity: If the system is connected to an unsecured network (open connections) then it comes in the reach of hackers.
+
* Internetiühendus: kui süsteem on ühendatud turvamata võrguga (avatud ühendus), siis pääsevad häkkerid sellele ligi;
* Complexity: The security vulnerability rises in proportion to the complexity of a system. The more features a system has, the more chances of the system being attacked.
+
* Keerukus: The security vulnerability rises in proportion to the complexity of a system. The more features a system has, the more chances of the system being attacked.
* Passwords: Passwords are used to prevent unauthorized access. They should be strong enough that no one can guess your password. Passwords should not be shared with anyone at any cost and passwords should be changed periodically. In spite of these instructions, at times people reveal their passwords to others, write them down somewhere and keep easy passwords that can be guessed.
+
* Paroolid: Passwords are used to prevent unauthorized access. They should be strong enough that no one can guess your password. Passwords should not be shared with anyone at any cost and passwords should be changed periodically. In spite of these instructions, at times people reveal their passwords to others, write them down somewhere and keep easy passwords that can be guessed.
* User Input: You must have heard of SQL injection, buffer overflows, etc. The data received electronically through these methods can be used to attack the receiving system.
+
* Kasutaja sisestatud andmed: You must have heard of SQL injection, buffer overflows, etc. The data received electronically through these methods can be used to attack the receiving system.
* Management: Security is hard & expensive to manage. Sometimes organizations lack behind in proper risk management and hence vulnerability gets induced in the system.
+
* Haldus: Security is hard & expensive to manage. Sometimes organizations lack behind in proper risk management and hence vulnerability gets induced in the system.
* Lack of training to staff: This leads to human errors and other vulnerabilities.
+
* Meeskonnaliikmete koolituse puudujäägid: tulemuseks inimlikud vead ja muud haavatavused;
* Communication: Channels like mobile network, internet, telephone opens up security theft scope.
+
* Andmesidevõrgud: mobiilivõrk, internet, vanatüüpi telefonivõrk võivad olla andmete varguse kohad.

Redaktsioon: 29. märts 2019, kell 09:23

Läbistustestimine (Penetration testing aka pen testing) on sissetungirünnete imiteerimine turvameetmete toimivuse kontrollimiseks, sageli on ta osa tarkvarasüsteemi vastuvõtu (heakskiidu) või sertifitseerimistestimisest.

Sellise testimisega püütakse leida rakendustest haavatavusi kasutades kahjurtehnikaid, milliseid tavaliselt kasutavad pahatahtlikud häkkerid. Imiteeritud sissetungi testi käigus leitakse üles süsteemi nõrgad kohad.

Testi eesmärk on tarkvarasüsteemis hoitavate oluliste andmete turvameetmete parandamine kõikvõimalike sissetungide vastu. Testijaid, kes selliseid teste teevad kutsutakse eetlisteks häkkeriteks.

Läbistustest näitab, kas süsteemis olemasolevad ja süsteemile rakendatud turvameetmed on piisavlt tugevad turvaintsidentide vältimiseks. Läbistustesti aruande põhjal saab välja töötada ka häkkimise vastaseid meetmeid.

Haavatavuste allikad:
  • Disaini ja arendusvead: Riist- ja tarkvara arenduspuuded võivad põhjustada ärikriitiliste andmete avalikustamist;
  • Vilets süsteemi seadistus: Halvasti seadistatud süsteemis võib esineda ettekavatsematuid lünki, milliseid ründajad võivad ära kasutada;
  • Inimlikud vead: dokumentide mittesoovitud avalikkustamine ja järelvalveta jätmine, koodivead, siseringi ohud, paroolide avaldamine andmepüügi portaalides jne;
  • Internetiühendus: kui süsteem on ühendatud turvamata võrguga (avatud ühendus), siis pääsevad häkkerid sellele ligi;
  • Keerukus: The security vulnerability rises in proportion to the complexity of a system. The more features a system has, the more chances of the system being attacked.
  • Paroolid: Passwords are used to prevent unauthorized access. They should be strong enough that no one can guess your password. Passwords should not be shared with anyone at any cost and passwords should be changed periodically. In spite of these instructions, at times people reveal their passwords to others, write them down somewhere and keep easy passwords that can be guessed.
  • Kasutaja sisestatud andmed: You must have heard of SQL injection, buffer overflows, etc. The data received electronically through these methods can be used to attack the receiving system.
  • Haldus: Security is hard & expensive to manage. Sometimes organizations lack behind in proper risk management and hence vulnerability gets induced in the system.
  • Meeskonnaliikmete koolituse puudujäägid: tulemuseks inimlikud vead ja muud haavatavused;
  • Andmesidevõrgud: mobiilivõrk, internet, vanatüüpi telefonivõrk võivad olla andmete varguse kohad.