OnWorks Linux ve Windows Çevrimiçi İş İstasyonları

Logo

İş İstasyonları için Çevrimiçi Ücretsiz Barındırma

<Önceki | İçerik | Sonraki>

Giriş

Güvenlik Değerlendirmeleri

bölüm

görüntü

görüntü

11


İçerik


görüntü


Bir Değerlendirmede Kali Linux 281 Değerlendirme Türleri 283 Değerlendirmenin Resmileştirilmesi 293

Saldırı Türleri 294 Özet 297


görüntü

Bu noktaya kadar Kali Linux'a özgü birçok özelliği ele aldık, bu nedenle Kali'yi neyin özel kıldığı ve bir dizi karmaşık görevi nasıl gerçekleştireceğiniz konusunda güçlü bir anlayışa sahip olmalısınız.‌

Kali'yi kullanmaya başlamadan önce, güvenlik değerlendirmeleriyle ilgili anlamanız gereken birkaç kavram var. Bu bölümde, başlamanıza yardımcı olması için bu kavramları tanıtacağız ve bir güvenlik değerlendirmesi yapmak için Kali'yi kullanmanız gerekiyorsa yardımcı olacak referanslar sağlayacağız.

Başlangıç ​​olarak, bilgi sistemleriyle uğraşırken “güvenliğin” tam olarak ne anlama geldiğini keşfetmek için biraz zaman ayırmaya değer. Bir bilgi sistemini güvence altına almaya çalışırken, sistemin üç ana özelliğine odaklanırsınız:


Gizlilik: Sisteme veya bilgiye erişimi olmaması gereken aktörler sistem veya bilgilere erişebilir mi?

Bütünlük: veriler veya sistem amaçlanmayan bir şekilde değiştirilebilir mi?


Uygunluk: Verilere veya sisteme ne zaman ve nasıl olması amaçlanıyor?


Birlikte, bu kavramlar CIA (Gizlilik, Bütünlük, Kullanılabilirlik) üçlüsünü oluşturur ve büyük ölçüde standart dağıtım, bakım veya değerlendirmenin bir parçası olarak bir sistemi güvence altına alırken odaklanacağınız birincil öğelerdir.

Ayrıca, bazı durumlarda CIA üçlüsünün bir yönü ile diğerlerinden çok daha fazla ilgilenebileceğinizi belirtmek önemlidir. Örneğin, en gizli düşüncelerinizi içeren kişisel bir günlüğünüz varsa, derginin gizliliği sizin için bütünlüğünden veya kullanılabilirliğinden çok daha önemli olabilir. Başka bir deyişle, birinin dergiye yazıp yazamayacağı (okumanın aksine) veya dergiye her zaman erişilebilir olup olmadığı konusunda endişe duymayabilirsiniz. Öte yandan, tıbbi reçeteleri takip eden bir sistemi güvence altına alıyorsanız, verilerin bütünlüğü çok kritik olacaktır. Başkalarının hangi ilaçları kullandığını okumasını önlemek ve bu ilaçlar listesine erişebilmeniz önemli olsa da, birisi sistemin içeriğini değiştirebilseydi (bütünlüğünü değiştirerek), hayatı tehdit eden sonuçlar.

Bir sistemi güvenceye alırken ve bir sorun keşfedildiğinde, sorunun bu üç kavramdan hangisine veya hangi kombinasyonuna girdiğini düşünmek zorunda kalacaksınız. Bu, sorunu daha kapsamlı bir şekilde anlamanıza yardımcı olur ve sorunları kategorilere ayırmanıza ve buna göre yanıt vermenize olanak tanır. CIA üçlüsünden bir veya birden fazla öğeyi etkileyen güvenlik açıklarını belirlemek mümkündür. Örnek olarak SQL ekleme güvenlik açığı olan bir web uygulamasını kullanmak için:


Gizlilik: bir saldırganın web uygulamasının tüm içeriğini çıkarmasına, tüm verileri okumak için tam erişime sahip olmasına izin veren, ancak bilgileri değiştirme veya veritabanına erişimi devre dışı bırakma yeteneğine sahip olmayan bir SQL enjeksiyon güvenlik açığı.

Bütünlük: bir saldırganın veritabanındaki mevcut bilgileri değiştirmesine izin veren bir SQL enjeksiyon güvenlik açığı. Saldırgan verileri okuyamaz veya başkalarının veritabanına erişmesini engelleyemez.

Uygunluk: uzun süredir devam eden bir sorgu başlatan ve sunucuda büyük miktarda kaynak tüketen bir SQL enjeksiyon güvenlik açığı. Bu sorgu, birden çok kez başlatıldığında, bir hizmet reddi (DoS) durumuna yol açar. Saldırganın verilere erişme veya verileri değiştirme yeteneği yoktur, ancak meşru kullanıcıların web uygulamasına erişmesini engelleyebilir.

çoklu: bir SQL enjeksiyon güvenlik açığı, web uygulamasını çalıştıran ana bilgisayar işletim sistemine tam etkileşimli kabuk erişimine yol açar. Bu erişimle, saldırgan verilere istediği gibi erişerek sistemin gizliliğini ihlal edebilir, verileri değiştirerek sistemin bütünlüğünü tehlikeye atabilir ve eğer seçerse, web uygulamasını yok edebilir ve bu da erişilebilirliğin tehlikeye girmesine yol açabilir. sistem.

CIA üçlüsünün arkasındaki kavramlar aşırı karmaşık değildir ve gerçekçi olarak, farkında olmasanız bile sezgisel olarak üzerinde çalıştığınız öğelerdir. Bununla birlikte, çabalarınızı nereye yönlendireceğinizi anlamanıza yardımcı olabileceğinden, konseptle dikkatli bir şekilde etkileşimde bulunmak önemlidir. Bu kavramsal temel, sistemlerinizin kritik bileşenlerinin belirlenmesinde ve belirlenen sorunları düzeltmek için harcanmaya değer çaba ve kaynakların miktarında size yardımcı olacaktır.

Ayrıntılı olarak ele alacağımız bir diğer kavram ise riskve nasıl oluşur tehditler ve güvenlik açıkları. Bu kavramlar çok karmaşık değildir, ancak yanılmaları kolaydır. Bu kavramları daha sonra ayrıntılı olarak ele alacağız, ancak üst düzeyde düşünmek en iyisidir. risk olmasını engellemeye çalıştığınız şey olarak, tehdit bunu sana kimin yapacağını ve güvenlik açığı yapmalarına izin veren şey olarak. Riski azaltmak amacıyla tehdit veya güvenlik açığını ele almak için kontroller uygulanabilir.

Örneğin, dünyanın bazı bölgelerini ziyaret ederken önemli bir yerde olabilirsiniz. risk sıtmaya yakalanmaktan. Bunun nedeni, tehdit Bazı bölgelerde sivrisinek sayısı çok yüksektir ve sıtmaya karşı bağışıklığınızın olmadığı neredeyse kesindir. Neyse ki, kontrol edebilirsiniz güvenlik açığı ilaçla ve kontrol etmeye çalışmak tehdit böcek kovucu ve cibinlik kullanımı ile. Her ikisini de adresleyen yerinde kontroller ile tehdit ve güvenlik açığısağlanmasına yardımcı olabilirsiniz. risk gerçekleştirmez.


 

Bir Değerlendirmede Kali LinuxDeğerlendirme TürleriGüvenlik Açığı DeğerlendirmesiGerçekleşme OlasılığıdarbeGenel RiskÖzetleUygunluk Penetrasyon TestiGeleneksel Penetrasyon TestiUygulama DeğerlendirmesiDeğerlendirmenin ResmileştirilmesiSaldırı TürleriHizmet ReddiBellek BozulmasıWeb Güvenlik AçıklarıParola Saldırılarıİstemci Tarafı SaldırılarıÖzet

  

 

<Önceki | İçerik | Sonraki>

  

OnWorks'te En İyi OS Bulut Bilişimi: