בעולם אבטחת האינטרנט, לעתים קרובות יש הרבה מה לומר על הצורך בהאקרים אתיים או פשוט מומחי אבטחה בארגונים הזקוקים למיטב שיטות האבטחה וגילוי פגיעות שמצדיק קבוצה של כלים שמסוגלים לבצע את העבודה.
מערכות ייעודיות נוצרו עבור העבודה והן מבוססות ענן, קנייניות במהותן או קוד פתוח בפילוסופיה. גרסאות האינטרנט נוגדות למעשה מאמצים של שחקנים זדוניים בזמן אמת, אך אינן עושות את המיטב בגילוי או הפחתת פגיעות.
הקטגוריות האחרות של כלים קנייניים או קוד פתוח, לעומת זאת, יעשו עבודה טובה יותר במניעת פגיעויות של יום אפס בתנאי שהאקר אתי עושה את העבודה להקדים את מה שנקרא שחקנים זדוניים .
כפי שצוין להלן, הכלים המפורטים יבטיחו סביבה בטוחה ומאובטחת לחיזוק מנגנון האבטחה שלך בארגון הייעודי שלך. כפי שהוא מכונה לעתים קרובות, בדיקות חדירה יסייעו להגדלת WAF (חומת אש של אפליקציות אינטרנט) על ידי תזמורת התקפה מדומה עבור פגיעויות ניתנות לניצול.
בדרך כלל הזמן הוא המהות ובוחן עט טוב ישלב שיטות בדוקות בביצוע תקיפה מוצלחת. אלה כוללים בדיקות חיצוניות, בדיקות פנימיות, בדיקות עיוורות, בדיקות כפולות סמיות ובדיקות ממוקדות.
1. Burp Suite (PortSwigger)
עם שלוש חבילות ייחודיות של ארגונים, מקצוענים וקהילה, Burp Suite מדגישה את היתרון של גישה מכוונת קהילה עד למינימום ההכרחי לביצוע בדיקה.
הווריאציה הקהילתית של הפלטפורמה מעניקה למשתמשי קצה גישה ליסודות של בדיקות אבטחת אינטרנט על ידי סחרחורת איטית של משתמשים לתרבות של גישות אבטחת אינטרנט שמשפרת את יכולת האדם להשפיע על רמה הגונה של שליטה על צרכי אבטחה בסיסיים של יישום אינטרנט.
עם החבילות המקצועיות והארגוניות שלהם, אתה יכול לשפר עוד יותר את היכולת של חומת האש של יישום האינטרנט שלך.
BurpSuite – כלי לבדיקת אבטחת יישומים
2. Gobuster
ככלי קוד פתוח שניתן להתקין כמעט בכל מערכת הפעלה לינוקס, Gobuster הוא חביב הקהילה בהתחשב בשילוב עם Kali Linux(מערכת הפעלה המיועדת לבדיקה). זה יכול להקל על האכיפה הגסה של כתובות URL, ספריות אינטרנט, כולל תת-דומיינים של DNS ומכאן הפופולריות הפרועה שלו.
Gobuster – Brute Force Tool
3. Nikto
Nikto כפלטפורמת ניסוי היא מכונת אוטומציה תקפה לסריקה של שירותי אינטרנט עבור מערכות תוכנה מיושנות יחד עם היכולת לרחרח בעיות שעלולות להישאר מעינן.
הוא משמש לעתים קרובות בגילוי של הגדרות שגויות של תוכנה עם היכולת לזהות גם חוסר עקביות בשרת. Nikto הוא קוד פתוח עם התוספת הנוספת של צמצום פרצות אבטחה שאולי לא היית מודע להן מלכתחילה. למד עוד על Niko ב-Github הרשמי שלהם.
4. Nessus
עם יותר משני עשורים בקיום, נסוס הצליחה ליצור לעצמה נישה על ידי התמקדות בעיקר בהערכת פגיעות תוך גישה מכוונת לתרגול של סריקה מרחוק.
באמצעות מנגנון זיהוי יעיל, הוא מסיק מתקפה ששחקן זדוני עלול להשתמש בה ומזהיר אותך מיידית על נוכחות הפגיעות הזו.
Nessus זמין בשני פורמטים שונים Nessus Essents (מוגבל ל-16 כתובות IP) ו-Nessus Professional במיקוד הערכת הפגיעות שלה.
Nessus Vulnerabilities Scanner
5. Wireshark
לגיבור האבטחה הבלתי מוכר לעתים קרובות, ל-Wireshark יש את הכבוד להיחשב בדרך כלל כסטנדרט בתעשייה בכל הנוגע לחיזוק אבטחת האינטרנט. זה עושה זאת על ידי היותו בכל מקום בפונקציונליות.
כמנתח פרוטוקול רשת, Wireshark הוא מפלצת מוחלטת בידיים הנכונות. בהתחשב באופן שבו נעשה בו שימוש נרחב בכל התחומים במונחים של תעשיות, ארגונים ואפילו מוסדות ממשלתיים, זה לא יהיה מופרך עבורי לקרוא לזה האלוף הבלתי מעורער ברשימה זו.
אולי המקום בו הוא מדשדש קצת הוא בעקומת הלמידה התלולה שלו, ולעתים קרובות זו הסיבה לכך שהמצטרפים החדשים בנישת בדיקת העטים בדרך כלל יסטו לאפשרויות אחרות, אך אלו שמעיזות להיכנס לעומק בדיקות חדירה בהכרח יתקלו ב-Wireshark במסלול הקריירה שלהם.
Wireshark - מנתח מנות רשת.
6. Metasploit
כאחת מפלטפורמות הקוד הפתוח ברשימה זו, Metasploit מחזיקה מעמד בכל הנוגע למערך התכונות המאפשר דוחות עקביים על פגיעות בין צורות ייחודיות אחרות של שיפור אבטחה שיאפשרו את סוג המבנה אתה רוצה עבור שרת האינטרנט והאפליקציות שלך. היא משרתת את רוב הפלטפורמות בחוץ וניתן להתאים אותה לפי רצונך.
זה מספק באופן עקבי וזו הסיבה שהוא משמש לעתים קרובות הן על ידי פושעי רשת והן על ידי משתמשים אתיים כאחד.זה מספק את רוב מקרי השימוש עבור שני הנתונים הדמוגרפיים. נחשבת לאחת האפשרויות החמקניות יותר, היא מבטיחה את סוג הערכת הפגיעות ששחקנים אחרים בתעשיית ה-testing מפרסמים.
7. BruteX
עם כמות ניכרת של השפעה בתעשיית ה-pentesting, BruteX היא חיה מסוג אחר. הוא משלב את העוצמה של Hydra, Nmap ו-DNSenum, כולם כלים ייעודיים לבדיקה בפני עצמם, אבל עם BruteX אתה זוכה ליהנות מהטוב מכל העולמות האלה.
מובן מאליו שזה הופך את כל התהליך לאוטומטי באמצעות Nmap לסריקה תוך כפיית הזמינות של שירות FTP או שירות SSH להשפעה של כלי כוח גס רב תכליתי שמפחית באופן דרסטי את מחויבות הזמן שלך עם התוספת היתרון של להיות קוד פתוח לחלוטין גם כן. למידע נוסף כאן!
סיכום
להתרגל להשתמש ב-pentesting עבור השרת או אפליקציית האינטרנט הספציפית שלך או כל מקרה שימוש אתי אחר נחשב בדרך כלל כאחת משיטות האבטחה הטובות ביותר שאתה צריך לכלול בארסנל שלך.
זה לא רק מבטיח אבטחה חסינת תקלות עבור הרשת שלך, אלא נותן לך הזדמנות לגלות פרצות אבטחה במערכת שלך לפני ששחקן זדוני יעשה זאת, כך שייתכן שהן לא יהיו פגיעויות של יום אפס.
ארגונים גדולים יותר נוטים יותר להשתמש בכלי בדיקה, עם זאת, אין גבול למה שאתה יכול להשיג גם כשחקן קטן בתנאי שאתה מתחיל בקטן. להיות אבטחה היא בסופו של דבר המטרה כאן, ואתה לא צריך להקל ראש בלי קשר לגודל שלך כחברה.