เวิร์กสเตชันออนไลน์ของ OnWorks Linux และ Windows

โลโก้

ฟรีโฮสติ้งออนไลน์สำหรับเวิร์กสเตชัน

<ก่อนหน้านี้ | เนื้อหา | ถัดไป>

ข้อมูลเบื้องต้นเกี่ยวกับ‌

การประเมินความปลอดภัย

บท

ภาพ

ภาพ

11


เนื้อหา


ภาพ


Kali Linux ในการประเมิน 281 ประเภทของการประเมิน 283 การจัดรูปแบบการประเมิน 293

ประเภทของการโจมตี 294 สรุป 297


ภาพ

เราได้ครอบคลุมคุณลักษณะเฉพาะของ Kali Linux มาจนถึงจุดนี้ ดังนั้นคุณควรมีความเข้าใจอย่างถ่องแท้ว่าอะไรที่ทำให้ Kali มีความพิเศษและวิธีทำงานที่ซับซ้อนจำนวนหนึ่งให้สำเร็จ‌

ก่อนที่จะนำ Kali ไปใช้ มีแนวคิดบางประการเกี่ยวกับการประเมินความปลอดภัยที่คุณควรเข้าใจ ในบทนี้ เราจะแนะนำแนวคิดเหล่านี้เพื่อให้คุณเริ่มต้นและให้ข้อมูลอ้างอิงที่จะช่วยคุณได้หากคุณจำเป็นต้องใช้ Kali เพื่อดำเนินการประเมินความปลอดภัย

ในการเริ่มต้น ควรสละเวลาสักครู่เพื่อสำรวจว่า "ความปลอดภัย" หมายถึงอะไรเมื่อต้องจัดการกับระบบข้อมูล เมื่อพยายามรักษาความปลอดภัยระบบข้อมูล คุณต้องเน้นที่แอตทริบิวต์หลักสามประการของระบบ:


ความลับ: นักแสดงที่ไม่ควรมีการเข้าถึงระบบหรือข้อมูลสามารถเข้าถึงระบบหรือข้อมูลได้หรือไม่?

ความสมบูรณ์: ข้อมูลหรือระบบสามารถแก้ไขในลักษณะที่ไม่ตั้งใจได้หรือไม่ ?


ความพร้อมที่จะให้บริการ: ข้อมูลหรือระบบสามารถเข้าถึงได้เมื่อใดและอย่างไร ?


แนวคิดเหล่านี้รวมกันเป็นสามกลุ่มของ CIA (การรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน) และส่วนใหญ่เป็นรายการหลักที่คุณจะให้ความสำคัญเมื่อรักษาความปลอดภัยระบบโดยเป็นส่วนหนึ่งของการใช้งานมาตรฐาน การบำรุงรักษา หรือการประเมิน

สิ่งสำคัญคือต้องทราบด้วยว่าในบางกรณี คุณอาจกังวลเกี่ยวกับแง่มุมหนึ่งของ CIA triad มากกว่าด้านอื่นๆ ตัวอย่างเช่น หากคุณมีบันทึกส่วนตัวที่มีความคิดที่เป็นความลับที่สุด การรักษาความลับของวารสารอาจมีความสำคัญต่อคุณมากกว่าความซื่อสัตย์หรือความพร้อม กล่าวอีกนัยหนึ่ง คุณอาจไม่กังวลว่าจะมีบางคนเขียนถึงวารสารหรือไม่ (แทนที่จะอ่าน) หรือไม่ว่าวารสารจะเข้าถึงได้เสมอหรือไม่ ในทางกลับกัน หากคุณกำลังรักษาความปลอดภัยระบบที่ติดตามใบสั่งยา ความสมบูรณ์ของข้อมูลจะเป็นสิ่งสำคัญที่สุด แม้ว่าการป้องกันไม่ให้ผู้อื่นอ่านยาที่ผู้อื่นใช้เป็นสิ่งสำคัญ และคุณสามารถเข้าถึงรายการยานี้ได้ แต่หากใครบางคนสามารถเปลี่ยนแปลงเนื้อหาของระบบได้ (ทำให้ความสมบูรณ์ของยาเปลี่ยนแปลงไป) อาจทำให้ ผลลัพธ์ที่เป็นอันตรายถึงชีวิต

เมื่อคุณกำลังรักษาความปลอดภัยระบบและปัญหาถูกค้นพบ คุณจะต้องพิจารณาว่าแนวคิดใดจากสามแนวคิดนี้ หรือการผสมผสานกันของแนวคิดเหล่านี้ ปัญหาจะเข้าที่ ซึ่งจะช่วยให้คุณเข้าใจปัญหาในลักษณะที่ครอบคลุมมากขึ้น และช่วยให้คุณสามารถจัดหมวดหมู่ปัญหาและตอบสนองตามนั้น เป็นไปได้ที่จะระบุช่องโหว่ที่ส่งผลกระทบต่อรายการเดียวหรือหลายรายการจาก CIA Triad ในการใช้เว็บแอปพลิเคชันที่มีช่องโหว่ในการฉีด SQL เป็นตัวอย่าง:


ความลับ: ช่องโหว่ของการฉีด SQL ที่ทำให้ผู้โจมตีสามารถดึงเนื้อหาทั้งหมดของเว็บแอปพลิเคชัน ทำให้เข้าถึงได้อย่างเต็มที่เพื่ออ่านข้อมูลทั้งหมด แต่ไม่มีความสามารถในการเปลี่ยนแปลงข้อมูลหรือปิดการเข้าถึงฐานข้อมูล

ความสมบูรณ์: ช่องโหว่ของการฉีด SQL ที่อนุญาตให้ผู้โจมตีเปลี่ยนข้อมูลที่มีอยู่ในฐานข้อมูล ผู้โจมตีไม่สามารถอ่านข้อมูลหรือป้องกันไม่ให้ผู้อื่นเข้าถึงฐานข้อมูลได้

ความพร้อมที่จะให้บริการ: ช่องโหว่ของการฉีด SQL ที่เริ่มต้นการสืบค้นที่ใช้เวลานาน โดยใช้ทรัพยากรจำนวนมากบนเซิร์ฟเวอร์ แบบสอบถามนี้ เมื่อเริ่มต้นหลายครั้ง จะนำไปสู่สถานการณ์การปฏิเสธบริการ (DoS) ผู้โจมตีไม่มีความสามารถในการเข้าถึงหรือเปลี่ยนแปลงข้อมูล แต่สามารถป้องกันผู้ใช้ที่ถูกกฎหมายไม่ให้เข้าถึงเว็บแอปพลิเคชันได้

แพลตฟอร์มที่หลากหลาย: ช่องโหว่ของการฉีด SQL นำไปสู่การเข้าถึงเชลล์แบบโต้ตอบเต็มรูปแบบไปยังระบบปฏิบัติการโฮสต์ที่รันเว็บแอปพลิเคชัน ด้วยการเข้าถึงนี้ ผู้โจมตีสามารถละเมิดความลับของระบบโดยการเข้าถึงข้อมูลตามที่ต้องการ ประนีประนอมความสมบูรณ์ของระบบโดยการเปลี่ยนแปลงข้อมูล และหากพวกเขาเลือก ทำลายเว็บแอปพลิเคชัน นำไปสู่การประนีประนอมความพร้อมใช้งานของ ระบบ.

แนวคิดเบื้องหลัง CIA Triad ไม่ได้ซับซ้อนเกินไป และตามความเป็นจริงคือสิ่งที่คุณกำลังทำงานด้วยสัญชาตญาณ แม้ว่าคุณจะไม่รู้จักก็ตาม อย่างไรก็ตาม สิ่งสำคัญคือต้องมีปฏิสัมพันธ์กับแนวคิดอย่างมีสติ เนื่องจากจะช่วยให้คุณรู้ว่าควรชี้นำความพยายามของคุณไปที่ใด รากฐานทางความคิดนี้จะช่วยคุณในการระบุส่วนประกอบสำคัญของระบบของคุณ รวมถึงจำนวนความพยายามและทรัพยากรที่คุ้มค่าที่จะลงทุนในการแก้ไขปัญหาที่ระบุ

แนวคิดอื่นที่เราจะกล่าวถึงในรายละเอียดก็คือ ความเสี่ยงและประกอบขึ้นจาก . อย่างไร ภัยคุกคาม และ ช่องโหว่ - ความสามารถ. แนวคิดเหล่านี้ไม่ซับซ้อนเกินไป แต่ง่ายต่อการเข้าใจผิด เราจะกล่าวถึงรายละเอียดเกี่ยวกับแนวคิดเหล่านี้ในภายหลัง แต่ในระดับสูง เป็นการดีที่สุดที่จะนึกถึง ความเสี่ยง สิ่งที่คุณพยายามจะป้องกันไม่ให้เกิดขึ้น การคุกคาม อย่างที่ใครจะทำกับคุณและ ความอ่อนแอ เป็นสิ่งที่ทำให้พวกเขาทำได้ สามารถใช้การควบคุมเพื่อจัดการกับภัยคุกคามหรือจุดอ่อน โดยมีเป้าหมายเพื่อลดความเสี่ยง

ตัวอย่างเช่น เมื่อไปเที่ยวที่บางส่วนของโลก คุณอาจจะอยู่เป็นจำนวนมาก ความเสี่ยง ของการจับไข้มาลาเรีย ทั้งนี้เป็นเพราะ การคุกคาม ยุงมีมากในบางพื้นที่ และคุณแทบไม่มีภูมิต้านทานต่อโรคมาลาเรียอย่างแน่นอน โชคดีที่คุณสามารถควบคุม ความอ่อนแอ ด้วยยาและพยายามควบคุม การคุกคาม ด้วยการใช้ยากันแมลงและมุ้งกันยุง ด้วยการควบคุมในสถานที่ที่อยู่ทั้ง การคุกคาม และ ความอ่อนแอคุณสามารถช่วยให้ ensure ความเสี่ยง ไม่ได้เกิดขึ้นจริง


 

Kali Linux ในการประเมินประเภทของการประเมินการประเมินความเสี่ยงความน่าจะเป็นส่งผลกระทบความเสี่ยงโดยรวมสรุปการทดสอบการเจาะการปฏิบัติตามข้อกำหนดการทดสอบการรุกแบบเดิมการประเมินใบสมัครการจัดรูปแบบการประเมินประเภทของการโจมตีDenial of Serviceหน่วยความจำเสียหายช่องโหว่ของเว็บการโจมตีรหัสผ่านการโจมตีฝั่งไคลเอ็นต์สรุป

  

 

<ก่อนหน้านี้ | เนื้อหา | ถัดไป>

  

ระบบปฏิบัติการคลาวด์คอมพิวติ้งยอดนิยมที่ OnWorks: