Pentester

Oq xakerlar — pentester kim? U nega har qanday tashkilot uchun suv va havodek muhim?

"Pentester Dasturdasturingizni buzib bermaydi, balki qanday buzish mumkinligini ko'rsatib beradi"

Pentest nima?[tahrir | manbasini tahrirlash]

Pentest — tarmoq yoki dasturga xakerlik hujumiga o’xshash jarayonlarni amalga oshiruvchi test tizimi hisoblanadi. Pentestning maqsadi tizim yoki dasturni qanday himoyalanganini o’rganish.

Pentest nomi "penetratsion testing" degan so'zdan olingan bo'lib, u ingliz tilidan "kirish testi" deb tarjima qilinadi.

Pentest amalga oshirilayotgan jarayonda mutaxassislar tizimni buzish yoki tajovuzkorlarga maxfiy ma'lumotlarga kirish imkonini beradigan muammolarni qidiradi va tahlil qiladi. Ular shuningdek, haqiqiy tajovuzkor pozitsiyasidan turib, tizimni turli yo'llar bilan buzishga harakat qilib ko'rishadi. Shu orqali siz o'z biznes yoki kompaniyangizni kutilmagan tashqi hujumlardan asrash choralari ko'radi.

Pentestingni kim amalga oshiradi?[tahrir | manbasini tahrirlash]

Pentest bo'yicha mutaxassislar ^[1] pentester deb atalib, ularning "oq shlyapa" xakerlari yoki "oq" xakerlar degan ikkinchi nomlari ham mavjud.

Pentest nima uchun kerak?[tahrir | manbasini tahrirlash]

tizimlar va tarmoqlardagi zaif tomonlarni aniqlash;^[2]
hujum qanday va qayerdan amalga oshirilishi mumkinligini aniqlash;
turli xakerlik hujumlarida himoyalanish qanday ishlashini aniqlash;
vaziyatni yaxshilash bo'yicha tavsiyalar berish;
tizimlarga haqiqiy xakerlik hujumlarining oldini olish uchun;
ma'lumotlar va tarmoq salomatligi xavfsizligi va maxfiyligini ta'minlash.

Pentestni amalga oshirish qanday bosqichlardan iborat?[tahrir | manbasini tahrirlash]

1.^[3] Ma'lumot to'plash — ochiq manbalarda, ijtimoiy tarmoqlarda, forumlarda va bloglarda tashkilot va xodimlar haqidagi ma'lumotlarni qidirish.

2. Texnik bazani izlash — korxona uchun mavjud resurslar, ilovalar va texnik vositalarni aniqlash.

3. Kamchiliklar va tahdidlarni tahlil qilish — pentesterlar tomonidan ishlab chiqilgan vositalar va yordamchi dasturlar to'plamidan foydalangan holda xavfsizlik tizimlari hamda ilovalardagi kamchiliklarni aniqlash.

4.^[4] Operatsion va ma'lumotlarni qayta ishlash — keyingi tahlil bilan har qanday zaifliklar haqida ma'lumot olish uchun haqiqiy kiberhujumga taqlid qilish;

5. Hisobotni yaratish — mavjud xavfsizlik tizimini takomillashtirish bo'yicha takliflar bilan yakunlangan pentest natijalarini loyihalash va taqdim etish.

Qanday qilib ko'nikmalarsiz pentest qilishni o'rganish mumkin?[tahrir | manbasini tahrirlash]

^[5] Asosiy ko'nikmalarni rivojlantirish uchun ko'plab amaliy yechimlar mavjud. Veb-xizmatlar va zaifliklarga ega tayyor ilovalar ko'rinishida.

1. HackThisSite!

Mahoratni sinash va tizimda test o'tkazish uchun mo'ljallangan yuridik sayt.

2. Google Gruyere

Bu asosan kompyuter xavfsizligi bo'yicha interaktiv mini-kurs bo'lib, pentest bo'yicha boshlang'ich bilim va yanada rivojlangan algoritmlarni o'rgatadi.

3. HackTheBox

Pentest qilishni o'rganish uchun mo'ljallangan o'yin maydonchasi bo'lib, eng mashhur platformalardan biri hisoblanadi.

Manbalar[tahrir | manbasini tahrirlash]

[1] ttps://www.sonarqube.org/features/security/sast/?gads_campaign=ROW-1-Generic&gads_ad_group=SAST&gads_keyword=security%20testing&gclid=Cj0KCQjwspKUBhCvARIsAB2IYuukRVe1-pA_vou4xyYvNoKlIgM0UAAK7zV3cLB9dyAoqQBcF0yXp9AaAqQfEALw_wcB

[2] ttps://www.sonarqube.org/features/security/sast/?gads_campaign=ROW-1-Generic&gads_ad_group=SAST&gads_keyword=security%20testing&gclid=Cj0KCQjwspKUBhCvARIsAB2IYuslDhuZ4muCze5nrjKeuzi8mHMJyrEHX8Q2dxyoIH-7WFQGgyKYKicaAvauEALw_wcB

[3] ttps://www.coursera.org/lecture/detect-mitigate-ethical-risks/penetration-testing-2eEjd

[4] ttps://en-int.seekweb.com/ws?q=penetration%20security&asid=sw_ws_gc1_11&mt=b&nw=g&de=c&ap=&ac=17844&cid=13703616390&aid=124393103019&locale=en_US&gclid=Cj0KCQjwspKUBhCvARIsAB2IYusRG01rq2XMb9Y-U5mp1Dm78TVey-1AexuLTzezWxD5vRhPNe0BU4gaAvtGEALw_wcB

[5] ttps://www.quora.com/How-can-I-start-to-learn-penetration-testing-I-dont-have-programming-skills-Is-it-needed

[1]

[2]

[3]

[4]

[5]