Unetway

Тестирование проникновения - Типы испытаний

Тип тестирования проникновения обычно зависит от объема и организационных потребностей и требований.

Типы проверки пера

Ниже перечислены важные типы ручного тестирования -

  • Тестирование проникновения черного ящика
  • Тестирование проникновения белых коробок
  • Тестирование проникновения серых коробок

Тестирование проникновения черного ящика

В тестах на проникновение черного ящика тестер не имеет представления о тех системах, которые он собирается тестировать. Он заинтересован в сборе информации о целевой сети или системе. Например, в этом тесте тестер только знает, что должно быть ожидаемым результатом, и он не знает, как исходят результаты. Он не изучает программные коды.

Преимущества тестирования проникновения черного ящика

Он имеет следующие преимущества:

  • Тестер не обязательно должен быть экспертом, поскольку он не требует специальных знаний языка
  • Тестер проверяет противоречия в реальной системе и спецификациях
  • Тест обычно проводится с точки зрения пользователя, а не дизайнера

Недостатки тестирования проникновения черного ящика

Его недостатки:

  • В частности, эти типы тестов трудно разработать.
  • Возможно, это не стоит, если дизайнер уже проведет тест.
  • Он не проводит все.

Тестирование проникновения белых коробок

Это комплексное тестирование, так как тестер предоставил весь спектр информации о системах и / или сети, таких как схема, исходный код, сведения о ОС, IP-адрес и т. д. Обычно это рассматривается как симуляция атаки внутренний источник. Он также известен как структурный, стеклянный ящик, прозрачный ящик и открытая коробка.

Испытание на проникновение белого ящика проверяет охват кода и выполняет тестирование потока данных, тестирование пути, тестирование циклов и т. д.

Преимущества тестирования проникновения белого ящика

Он обладает следующими преимуществами:

  • Он обеспечивает выполнение всех независимых путей модуля.
  • Это гарантирует, что все логические решения будут проверены вместе с их истинным и ложным значением.
  • Он обнаруживает типографские ошибки и делает синтаксическую проверку.
  • Он находит ошибки проектирования, которые могли произойти из-за разницы между логическим потоком программы и фактическим исполнением.

Тестирование проникновения серых коробок

При таком типе тестирования тестер обычно предоставляет частичную или ограниченную информацию о внутренних деталях программы системы. Это можно рассматривать как атаку внешнего хакера, который получил незаконный доступ к документам сетевой инфраструктуры организации.

Преимущества тестирования проникновения серых коробок

Он имеет следующие преимущества:

  • Поскольку тестер не требует доступа к исходному коду, он не является навязчивым и непредвзятым
  • Поскольку существует четкая разница между разработчиком и тестировщиком, поэтому существует меньший риск личного конфликта
  • Вам не нужно предоставлять внутреннюю информацию о функциях программы и других операциях

Области испытаний на проникновение

Тесты на проникновение обычно выполняются в следующих трех областях:

  • Тестирование проникновения в сеть. В этом тестировании необходимо протестировать физическую структуру системы для выявления уязвимости и риска, обеспечивающих безопасность в сети. В сетевой среде тестер обнаруживает недостатки безопасности при проектировании, внедрении или работе соответствующей сети компании / организации. Устройствами, которые тестируются тестером, могут быть компьютеры, модемы или даже устройства удаленного доступа и т. д.
  • Тестирование проникновения приложений. В этом тестировании необходимо протестировать логическую структуру системы. Это симуляция атаки, предназначенная для выявления эффективности элементов управления безопасностью приложения путем выявления уязвимости и риска. Брандмауэр и другие системы мониторинга используются для защиты системы безопасности, но когда-то это требует целенаправленного тестирования, особенно когда трафик разрешается проходить через брандмауэр.
  • Реакция или рабочий процесс системы. Это третья область, которую необходимо протестировать. Социальная инженерия собирает информацию о взаимодействии человека для получения информации об организации и ее компьютерах. Целесообразно проверить способность соответствующей организации предотвращать несанкционированный доступ к своим информационным системам. Аналогично, этот тест предназначен исключительно для рабочего процесса организации / компании.