OnWorks Linux dan Windows Online Workstations

logo

Pengehosan Dalam Talian Percuma untuk Workstation

<Sebelum | Contents [show] | Seterusnya>

11.2. Jenis-jenis Penilaian


Memandangkan anda telah memastikan persekitaran Kali anda sudah sedia, langkah seterusnya ialah menentukan jenis penilaian yang anda jalankan dengan tepat. Pada peringkat tertinggi, kami boleh menerangkan empat jenis penilaian: a penilaian kerentanan, ujian pematuhan, ujian penembusan tradisional, Dan penilaian aplikasi. Penglibatan mungkin melibatkan pelbagai elemen bagi setiap jenis penilaian tetapi ia patut diterangkan secara terperinci dan menerangkan kaitannya dengan binaan dan persekitaran Kali Linux anda.

Sebelum mendalami pelbagai jenis penilaian, adalah penting untuk mengambil perhatian terlebih dahulu perbezaan antara kelemahan dan eksploitasi.

A kelemahan ditakrifkan sebagai kecacatan yang, apabila diambil kesempatan, akan menjejaskan kerahsiaan, integriti, atau ketersediaan sistem maklumat. Terdapat pelbagai jenis kelemahan yang boleh dihadapi, termasuk:

• Kemasukan Fail: Kelemahan pemasukan fail1 dalam aplikasi web membolehkan anda termasuk kandungan fail tempatan atau jauh ke dalam pengiraan program. Sebagai contoh, aplikasi web mungkin mempunyai fungsi "Mesej hari ini" yang membaca kandungan fail dan memasukkannya ke dalam halaman web untuk memaparkannya kepada pengguna. Apabila jenis ciri ini diprogramkan secara salah, ia boleh membenarkan penyerang mengubah suai permintaan web mereka untuk memaksa tapak tersebut memasukkan kandungan fail yang mereka pilih.

• Suntikan SQL: Suntikan SQL2 serangan adalah satu di mana rutin pengesahan input untuk program dipintas, membenarkan penyerang menyediakan arahan SQL untuk program yang disasarkan untuk dilaksanakan. Ini adalah satu bentuk pelaksanaan perintah yang boleh membawa kepada potensi isu keselamatan.

• Limpahan Penampan: Limpahan penimbal3 ialah kelemahan yang memintas rutin pengesahan input untuk menulis data ke dalam memori bersebelahan penimbal. Dalam sesetengah kes, lokasi memori bersebelahan itu mungkin penting untuk operasi program yang disasarkan dan kawalan pelaksanaan kod boleh diperoleh melalui manipulasi berhati-hati terhadap data memori yang ditimpa.

• Syarat Perlumbaan: Keadaan perlumbaan4 adalah kelemahan yang mengambil kesempatan daripada kebergantungan masa dalam program. Dalam sesetengah kes, aliran kerja program bergantung pada urutan peristiwa tertentu yang akan berlaku. Jika anda boleh mengubah urutan peristiwa ini, ini mungkin membawa kepada kerentanan.

An mengeksploitasi, sebaliknya, ialah perisian yang, apabila digunakan, mengambil kesempatan daripada kelemahan tertentu, walaupun tidak semua kelemahan boleh dieksploitasi. Memandangkan eksploitasi mesti mengubah proses yang sedang berjalan, memaksanya membuat tindakan yang tidak diingini, penciptaan eksploitasi boleh menjadi rumit. Tambahan pula, terdapat beberapa teknologi anti-eksploitasi dalam platform pengkomputeran moden yang telah


gambar

1https://en.wikipedia.org/wiki/File_inclusion_vulnerability 2https://en.wikipedia.org/wiki/SQL_injection 3https://en.wikipedia.org/wiki/Buffer_overflow 4https://en.wikipedia.org/wiki/Race_condition‌‌‌

direka untuk menjadikannya lebih sukar untuk mengeksploitasi kelemahan, seperti Pencegahan Pelaksanaan Data5 (DEP) dan Rawak Susun Atur Ruang Alamat6 (ASLR). Walau bagaimanapun, hanya kerana tiada eksploitasi yang diketahui umum untuk kelemahan tertentu, itu tidak bermakna bahawa ia tidak wujud (atau ia tidak boleh dicipta). Contohnya, banyak organisasi menjual eksploitasi yang dikomersialkan yang tidak pernah didedahkan kepada umum, jadi semua kelemahan mesti dianggap sebagai berpotensi untuk dieksploitasi.


 

Penilaian KerentananKemungkinan BerlakuKesanRisiko KeseluruhanDalam RingkasanUjian Penembusan PematuhanUjian Penembusan TradisionalPenilaian Aplikasi

  

 

<Sebelum | Contents [show] | Seterusnya>

  

Pengkomputeran Awan OS teratas di OnWorks: