Различия пентеста инфраструктуры и пентеста веб-приложений

Тест на проникновение — это целенаправленная и разрешенная попытка проникновения в ИТ-системы с целью повышения уровня безопасности с помощью выявления существующих угроз.

В зависимости от того, что должно быть проверено, различают тест на проникновение в инфраструктуру и тест на проникновение в веб-приложения.

В способах тестирования различают три вида пентеста: «черный ящик», «белый ящик» и «серый ящик».

И, наконец, в зависимости от того, где (откуда) будет проводиться тест на проникновение, различают внешний тест на проникновение и внутренний тест на проникновение (и red-teaming).

Зачем проводить пентест

ИТ-безопасность — это состояние, при котором информация и ИТ-системы защищены с точки зрения конфиденциальности, доступности и целостности. Безопасность зависит от многих вещей, большинство из которых, к сожалению, не видны невооруженным глазом. Если дом защищен хорошим замком, это видно с первого взгляда. С ИТ-системами все не так просто. Пентестер действует на уровне IT-взломщиков (хакеров) и тестирует системы.

Без разрешения владельца тест на проникновение в ИТ является незаконным мероприятием. В зависимости от страны за это предусмотрено тюремное заключение сроком на несколько лет.

Пентестинг являются очень эффективной мерой для определения уровня безопасности. Именно поэтому его рекомендуют многие организации.

Тестирование на проникновение в ИТ-инфраструктуру

К этой категории относится тестирование, например, серверных систем, брандмауэров, сетей WLAN, VPN-доступа на наличие уязвимостей в системе безопасности.

Такие тесты были первыми пентестами, предложенными в истории ИТ-безопасности. Раньше пентестинг часто проводился бывшими хакерами. Однако проведение теста на проникновение силами бывших хакеров — не самая лучшая идея. Если бывший хакер все же имеет злой умысел, то ущерб будет очень велик. Риск просто слишком высок.

Сегодня тесты на проникновение в инфраструктуру по-прежнему являются важным фактором обеспечения ИТ-безопасности многих систем.

Тест на проникновение в веб-приложения

Веб-приложения — это интерактивные приложения, доступные через Интернет. В большинстве случаев с приложением можно работать через браузер. Примером классического веб-приложения является веб-магазин. Особенностью веб-приложения является то, что пользователи могут взаимодействовать с системой на разных платформах.

Существуют различия в том, может ли получить доступ к веб-приложению каждый (в большей степени это касается интернет-магазинов) или только ограниченная группа пользователей. Чем шире доступ, тем выше требования к ИТ-безопасности.

Другая специализация — тесты на проникновение для веб-услуг (сетевых услуг). Веб-службы используются для обмена сообщениями в формате XML и их не следует путать с классическими «сетевыми службами», такими как DHCP, DNS, Radius. Веб-сервисы описываются с помощью «Языка описания веб-сервисов» (WSDL) и управляются простым протоколом доступа к объектам (SOAP). Файл WSDL содержит определение того, что предлагает веб-сервис и как его использовать.

Вспомогательное программное обеспечение, помогающее пентестеру, необходимо. Однако в веб-приложениях нет возможности тестировать определенные классы ошибок только автоматически. Ручные процедуры тестирования незаменимы. Благодаря им выявляются:

• Ошибки в управлении доступом;
• Логические ошибки в процессе;
• Атаки, изменяющие различные входные параметры;
• Слабые места в разработке веб-обеспечения;
• Утечки информации.