Criar padrões de teste para seus hacks éticos

Video: Descobrindo SENHAS WIFI AO VIVO pelo celular NOVO APP!!! SEM ROOT

Uma falha de comunicação ou deslize em seus padrões de teste pode enviar os sistemas quebrando durante seus testes de hacking ético. Ninguém quer que isso aconteça. Para evitar acidentes, desenvolver e padrões de teste documento. Estas normas devem incluir

  • Quando os testes são realizados, ao longo com a linha do tempo global

  • Que testes são realizados

  • Como conhecimento dos sistemas quanto você adquirir antecipadamente

  • Como os testes são realizados e de endereços IP que fonte

    Video: Criando backdoor em apk original

  • O que você faz quando um grande vulnerabilidade é descoberta

    Video: Testando hack privado de CrossFire

Tempo seus testes

Isto é especialmente verdadeiro quando se realiza testes de hacking ético. Certifique-se de que os testes que você executa minimizar a interrupção de processos de negócio, sistemas de informação e pessoas. Você quer evitar situações prejudiciais, tais como miscommunicating o tempo de testes e causando um ataque DoS contra um site de e-commerce de alto tráfego no meio do dia ou da realização de testes de quebra de senha no meio da noite.

Mesmo tendo pessoas em diferentes fusos horários pode criar problemas. Todos no projeto precisa concordar com um cronograma detalhado antes de começar. Tendo acordo dos membros da equipe coloca todos na mesma página e define expectativas corretas.

Seu cronograma de testes deve incluir datas específicas de curto prazo e os horários de cada teste, as datas de início e fim, e quaisquer metas específicas no meio. Você pode desenvolver e introduzir sua linha do tempo em uma simples planilha ou gráfico de Gantt, ou você pode incluir a linha do tempo como parte de sua proposta inicial do cliente e contrato. Sua linha do tempo também podem ser estruturas de divisão de trabalho em um plano de projeto maior.

Executar testes específicos

Você pode ter sido acusado de executar um general teste de penetração, ou você pode querer realizar testes específicos, como rachaduras senhas ou tentar obter acesso a um aplicativo web. Ou você pode estar realizando um teste de engenharia social ou avaliando o Windows na rede.

No entanto, você testar, você pode não querer revelar os detalhes do teste. Mesmo quando o seu gerente ou o cliente não necessita de registros detalhados de seus testes, documentar o que você está fazendo em um nível elevado. Documentando seu teste pode ajudar a eliminar qualquer mal-entendidos em potencial.

Você pode saber os testes gerais que você executa, mas se você usar ferramentas automatizadas, pode ser impossível entender todos os testes de executar completamente. Isto é especialmente verdadeiro quando o software que você está usando recebe atualizações de vulnerabilidade em tempo real e correções do fornecedor cada vez que você executá-lo. O potencial para atualizações freqüentes ressalta a importância de ler a documentação e arquivos que vêm com as ferramentas que você usa.

Cega contra avaliações de conhecimento

Ter algum conhecimento dos sistemas que você está testando pode ser uma boa idéia, mas não é necessário. Mas, uma compreensão básica dos sistemas que você cortar pode proteger você e outros. A obtenção desse conhecimento não deve ser difícil se você está cortando seus próprios sistemas internos.

Se você cortar sistemas de um cliente, você pode ter que cavar um pouco mais sobre como os sistemas funcionam de modo que você está familiarizado com eles. Isso não significa que as avaliações cegas não são valiosos, mas o tipo de avaliação você realizar depende de suas necessidades específicas.



A melhor abordagem é planejar em ilimitado ataques, em que qualquer teste é possível, possivelmente, até mesmo, incluindo testes DOS.

Considere se os testes devem ser realizados de modo a que eles estão sem ser detectado por administradores de rede e quaisquer fornecedores de serviços de segurança gerenciados. Embora não seja necessário, esta prática deve ser considerada, especialmente para a engenharia social e testes de segurança física.

Localização

Os testes que você executa ditar onde você deve executá-los a partir. Seu objetivo é testar seus sistemas de locais acessíveis por hackers mal-intencionados ou empregados. Você não pode prever se você vai ser atacado por alguém dentro ou fora de sua rede, de modo cobrir todas as suas bases. Combinar testes externos e testes internos.

Você pode realizar alguns testes, tais como avaliações de quebra de senha e de rede de infra-estrutura, a partir de seu escritório. Para hacks externos que exigem conectividade de rede, você pode ter que ir fora do local ou utilizar um servidor proxy externo. scanners de vulnerabilidade de alguns fornecedores de segurança são executados a partir da nuvem, de modo que iria funcionar tão bem.

Melhor ainda, se você pode atribuir um endereço de IP público disponível para o seu computador, basta conectar-se à rede do lado de fora do firewall para uma vista dos hackers de olhos de seus sistemas. Os testes internos são fáceis porque você só precisa de acesso físico ao prédio ea rede. Você pode ser capaz de usar uma linha DSL ou modem a cabo já em vigor para os visitantes e usuários semelhantes.

Responder a vulnerabilidades que você encontrar

Determinar antecipadamente se vai parar ou continuar quando você encontrar uma falha de segurança crítica. Você não precisa manter hackers para sempre ou até que você falhar todos os sistemas. Basta seguir o caminho que você está até que você simplesmente não pode cortá-lo por mais tempo. Em caso de dúvida, a melhor coisa a fazer é ter um objetivo específico em mente e, em seguida, parar quando essa meta foi cumprida.

Se você descobrir um grande buraco, entre em contato com as pessoas certas mais rapidamente possível para que eles possam começar a corrigir o problema imediatamente. As pessoas certas pode ser desenvolvedores de software, gerentes de produto ou projeto, ou mesmo CIOs. Se você esperar alguns dias ou semanas, alguém poderia explorar o dano vulnerabilidade e causa que poderia ter sido evitado.

suposições tolas

Você já ouviu falar sobre o que você faz de si mesmo quando você assumir as coisas. Mesmo assim, você fazer suposições quando você cortar um sistema. Aqui estão alguns exemplos dessas premissas:

  • Computadores, redes e pessoas estão disponíveis quando você está testando.

  • Você tem todas as ferramentas de testes adequados.

    Video: Como desenvolver Cracks para Softwares (Cracking) - Engenharia Reversa

  • As ferramentas de teste que você usa irá minimizar as chances de bater os sistemas que você testar.

  • Você entende a probabilidade de que as vulnerabilidades existentes não foram encontrados ou que você usou suas ferramentas de teste de forma inadequada.

  • Você sabe os riscos de seus testes.

Documento todas as premissas e ter uma gestão ou seu cliente assinar-los como parte de seu processo de aprovação geral.


Publicações relacionadas