Тип тестирования проникновения обычно зависит от объема и организационных потребностей и требований.
Типы проверки пера
Ниже перечислены важные типы ручного тестирования -
- Тестирование проникновения черного ящика
- Тестирование проникновения белых коробок
- Тестирование проникновения серых коробок
Тестирование проникновения черного ящика
В тестах на проникновение черного ящика тестер не имеет представления о тех системах, которые он собирается тестировать. Он заинтересован в сборе информации о целевой сети или системе. Например, в этом тесте тестер только знает, что должно быть ожидаемым результатом, и он не знает, как исходят результаты. Он не изучает программные коды.
Преимущества тестирования проникновения черного ящика
Он имеет следующие преимущества:
- Тестер не обязательно должен быть экспертом, поскольку он не требует специальных знаний языка
- Тестер проверяет противоречия в реальной системе и спецификациях
- Тест обычно проводится с точки зрения пользователя, а не дизайнера
Недостатки тестирования проникновения черного ящика
Его недостатки:
- В частности, эти типы тестов трудно разработать.
- Возможно, это не стоит, если дизайнер уже проведет тест.
- Он не проводит все.
Тестирование проникновения белых коробок
Это комплексное тестирование, так как тестер предоставил весь спектр информации о системах и / или сети, таких как схема, исходный код, сведения о ОС, IP-адрес и т. д. Обычно это рассматривается как симуляция атаки внутренний источник. Он также известен как структурный, стеклянный ящик, прозрачный ящик и открытая коробка.
Испытание на проникновение белого ящика проверяет охват кода и выполняет тестирование потока данных, тестирование пути, тестирование циклов и т. д.
Преимущества тестирования проникновения белого ящика
Он обладает следующими преимуществами:
- Он обеспечивает выполнение всех независимых путей модуля.
- Это гарантирует, что все логические решения будут проверены вместе с их истинным и ложным значением.
- Он обнаруживает типографские ошибки и делает синтаксическую проверку.
- Он находит ошибки проектирования, которые могли произойти из-за разницы между логическим потоком программы и фактическим исполнением.
Тестирование проникновения серых коробок
При таком типе тестирования тестер обычно предоставляет частичную или ограниченную информацию о внутренних деталях программы системы. Это можно рассматривать как атаку внешнего хакера, который получил незаконный доступ к документам сетевой инфраструктуры организации.
Преимущества тестирования проникновения серых коробок
Он имеет следующие преимущества:
- Поскольку тестер не требует доступа к исходному коду, он не является навязчивым и непредвзятым
- Поскольку существует четкая разница между разработчиком и тестировщиком, поэтому существует меньший риск личного конфликта
- Вам не нужно предоставлять внутреннюю информацию о функциях программы и других операциях
Области испытаний на проникновение
Тесты на проникновение обычно выполняются в следующих трех областях:
- Тестирование проникновения в сеть. В этом тестировании необходимо протестировать физическую структуру системы для выявления уязвимости и риска, обеспечивающих безопасность в сети. В сетевой среде тестер обнаруживает недостатки безопасности при проектировании, внедрении или работе соответствующей сети компании / организации. Устройствами, которые тестируются тестером, могут быть компьютеры, модемы или даже устройства удаленного доступа и т. д.
- Тестирование проникновения приложений. В этом тестировании необходимо протестировать логическую структуру системы. Это симуляция атаки, предназначенная для выявления эффективности элементов управления безопасностью приложения путем выявления уязвимости и риска. Брандмауэр и другие системы мониторинга используются для защиты системы безопасности, но когда-то это требует целенаправленного тестирования, особенно когда трафик разрешается проходить через брандмауэр.
- Реакция или рабочий процесс системы. Это третья область, которую необходимо протестировать. Социальная инженерия собирает информацию о взаимодействии человека для получения информации об организации и ее компьютерах. Целесообразно проверить способность соответствующей организации предотвращать несанкционированный доступ к своим информационным системам. Аналогично, этот тест предназначен исключительно для рабочего процесса организации / компании.
0 комментариев