সফটওয়্যার টেস্টিং

নতুনদের জন্য অনুপ্রবেশ পরীক্ষা

30 অক্টোবর, 2021

পেনিট্রেশন টেস্টিং হল একটি কম্পিউটার সিস্টেম, ওয়েব অ্যাপ্লিকেশন এবং নেটওয়ার্কের নিরাপত্তার দুর্বলতা খুঁজে বের করার পরীক্ষা যা একজন আক্রমণকারী ব্যবহার করতে পারে। এই ধরনের পরীক্ষা হতে পারে স্বয়ংক্রিয় বা ম্যানুয়ালি সঞ্চালিত। প্রক্রিয়াটির মধ্যে রয়েছে পরীক্ষার আগে লক্ষ্য সম্পর্কে তথ্য সংগ্রহ করা, সম্ভাব্য এন্ট্রি পয়েন্টগুলি চিহ্নিত করা, ভার্চুয়াল বা বাস্তবের জন্য ব্রেক করার চেষ্টা করা এবং ফলাফলগুলিকে রিপোর্ট করা।

একটি কলম পরীক্ষার মূল লক্ষ্য হল একটি সংস্থার নিরাপত্তা ভঙ্গিতে দুর্বল দাগ চিহ্নিত করা, সেইসাথে নিরাপত্তা নীতির গ্রহণযোগ্যতা পরিমাপ করা, নিরাপত্তার সচেতনতা পরীক্ষা করা এবং সংস্থাটি নিরাপত্তা বিপর্যয়ের শিকার হবে কিনা তা নির্ধারণ করা।

প্রতি অনুপ্রবেশ পরীক্ষা একটি কোম্পানির দুর্বলতাগুলিও তুলে ধরে নিরাপত্তা নীতি।

একটি অনুপ্রবেশ পরীক্ষা দ্বারা উত্পন্ন রিপোর্ট প্রতিক্রিয়া প্রদান করে. প্রতিবেদনগুলি অ্যাপ্লিকেশন বিকাশকারীদের আরও সুরক্ষিত অ্যাপ্লিকেশন তৈরি করতে সহায়তা করে।

সুচিপত্র

অনুপ্রবেশ পরীক্ষা শুরু করার পদক্ষেপ

ধাপ 1) পরিকল্পনা পর্ব

  1. একটি অ্যাসাইনমেন্টের সুযোগ এবং কৌশল নির্ধারণ করা হয়।
  2. নিরাপত্তা নীতি, মান সুযোগ সংজ্ঞায়িত করার জন্য ব্যবহার করা হয়.

ধাপ 2) আবিষ্কার পর্ব।

  1. নকশা, ব্যবহারকারীর নাম এবং এমনকি পাসওয়ার্ডের ডেটা সহ সিস্টেম সম্পর্কে তথ্য সংগ্রহ করুন।
  2. পোর্টগুলিতে স্ক্যান এবং অনুসন্ধান করুন
  3. সিস্টেমের দুর্বলতা পরীক্ষা করুন

ধাপ 3) আক্রমণের পর্যায়

  1. বিভিন্ন দুর্বলতার জন্য শোষণ খুঁজুন। সিস্টেমটি কাজে লাগাতে আপনি প্রয়োজনীয় নিরাপত্তা সুবিধা পাবেন না

ধাপ 4) রিপোর্টিং ফেজ

  1. প্রতিবেদনে অবশ্যই বিস্তারিত তথ্য থাকতে হবে।
  2. দুর্বলতার ঝুঁকি এবং ব্যবসায় তাদের প্রভাব।
  3. সুপারিশ এবং সমাধান.

অনুপ্রবেশ পরীক্ষা পদ্ধতি

বাহ্যিক পরীক্ষা

এটি ইন্টারনেটে দৃশ্যমান কোম্পানির সম্পদকে লক্ষ্য করে, উদাহরণস্বরূপ, ইমেল এবং ডোমেইন নাম সার্ভার (DNS) এবং ওয়েব অ্যাপ্লিকেশন নিজেই, কোম্পানির ওয়েবসাইট। মূল লক্ষ্য হল অ্যাক্সেস লাভ করা এবং মূল্যবান ডেটা বের করা।

অভ্যন্তরীণ পরীক্ষা

ফায়ারওয়ালের পিছনে একটি অ্যাপ্লিকেশন অ্যাক্সেস সহ একটি পরীক্ষক একটি অভ্যন্তরীণ দ্বারা একটি আক্রমণ অনুকরণ করে৷ এটি অগত্যা একজন দুর্বৃত্ত কর্মচারীকে প্রভাবিত করছে না। একটি সাধারণ পরিস্থিতি এমন একজন কর্মচারী হতে পারে যার প্রমাণপত্র চুরি হয়ে গেছে।

অন্ধ পরীক্ষা

একজন পরীক্ষককে শুধুমাত্র সেই এন্টারপ্রাইজের নাম দেওয়া হয় যা লক্ষ্য করা হচ্ছে। এটি নিরাপত্তা কর্মীদের একটি বাস্তব আবেদন কিভাবে ঘটবে তা দেখার প্রস্তাব দেয়।

ডাবল-ব্লাইন্ড টেস্টিং

হামলার বিষয়টি নিরাপত্তাকর্মীরা জানেন না। একটি লঙ্ঘনের আগে তাদের রক্ষণাবেক্ষণের জন্য তাদের কোন সময় থাকবে না।

টার্গেটেড টেস্টিং

পরীক্ষক এবং নিরাপত্তা কর্মী উভয়ই একসাথে কাজ করে এবং একে অপরকে তাদের গতিবিধি সম্পর্কে অবহিত রাখে। এটি একটি প্রশিক্ষণ অনুশীলন যা নিরাপত্তা দলকে হ্যাকারের দৃষ্টিকোণ থেকে রিয়েল-টাইম প্রতিক্রিয়া প্রদান করে।

PROS

  • পরীক্ষা একটি সাহসী নিরাপত্তা পদ্ধতি সক্ষম করে।
  • এটি প্রকৃত ঝুঁকি অধ্যয়ন এবং নির্দিষ্ট সময়ে একটি কোম্পানির আইটি অবকাঠামো নিরাপত্তা ভঙ্গির সঠিক উপস্থাপনা করার অনুমতি দেয়।
  • এটি ডেটা ফাঁস বা বৌদ্ধিক সম্পত্তি চুরির কোনও কারণ আবিষ্কার করতে ডেটা লঙ্ঘন বা নেটওয়ার্ক অনুপ্রবেশের তদন্ত করতে সহায়তা করে।
  • এটি সিস্টেম সম্পর্কে তথ্য সংগ্রহের অনুমতি দেয় এবং সম্ভবত সক্রিয় হ্যাকারদের উপর কিছু অভ্যন্তরীণ রিপোর্ট জুড়ে আসতে পারে।
  • এটি অজানা এবং পরিচিত উভয় ত্রুটিগুলি খুঁজে পেতে পারে এবং সুরক্ষা দুর্বলতাগুলিকে কাজে লাগাতে পারে, যেগুলি স্বয়ংক্রিয় সরঞ্জামগুলির সাথে আরও কার্যকর উপায়ে ব্যবহার করার আগে চিহ্নিত এবং সংশোধন করা যেতে পারে।
  • এটি দুর্বলতা সনাক্তকরণে একটি দুর্বলতা মূল্যায়ন দ্বারা প্রদত্ত বিশ্লেষণের বাইরে প্রতিরক্ষামূলক প্রক্রিয়াগুলির কার্যকারিতা যাচাই করতে পারে।
  • এটি এমন আক্রমণ সহ একটি সিস্টেমকে পরীক্ষা করার সম্ভাব্য উপায় দেয় যা বাস্তব-বিশ্বের ঘটনাগুলির যতটা সম্ভব কাছাকাছি থাকে এমন পেশাদারদের কাজের জন্য ধন্যবাদ যারা সবচেয়ে দূষিত হ্যাকারদের মতো মনে করে এবং আঘাত করে।

কনস

  • এটি একটি অনুপ্রবেশ সন্দেহজনক পরীক্ষা সব নিরাপত্তা খুঁজে পাবেন দুর্বলতাগুলির জন্য স্ক্যান করার সময় এবং একটি স্বয়ংক্রিয় প্রতিবেদন তৈরি করার সময় সমস্যাগুলি বা সমস্ত সমস্যার সমাধান করবে।
  • দুর্বলতা মূল্যায়ন করার চেয়ে আক্রমণ শনাক্ত করতে সিস্টেম পরিদর্শন করতে একজন পরীক্ষকের বেশি সময় লাগে; পরীক্ষার সুযোগ হচ্ছে আরও তাৎপর্যপূর্ণ। তার/তার কর্মগুলি ব্যবসায়িক ক্রিয়াকলাপের জন্যও বিঘ্নিত হতে পারে কারণ তারা একটি বাস্তব আক্রমণ অনুকরণ করে।
  • এটি উচ্চ-শ্রম নিবিড়, এবং এটি একটি বর্ধিত খরচ প্রতিনিধিত্ব করতে পারে, এবং কয়েকটি সংস্থা এর জন্য বাজেট বরাদ্দ করতে সক্ষম নাও হতে পারে। এটি সত্য যখন একটি ফার্মকে কাজটি চালানোর জন্য নিয়োগ করা হয়।
  • এটা নিরাপত্তা একটি মিথ্যা অনুভূতি দেয়. বেশিরভাগ ক্ষেত্রে, পরীক্ষাটি কোম্পানির নিরাপত্তা দলগুলির কাছে পরিচিত যারা হুমকির সন্ধান করতে প্রস্তুত এবং রক্ষা করার জন্য প্রস্তুত। প্রকৃত আক্রমণ অঘোষিত এবং সর্বোপরি অপ্রত্যাশিত।

অনুপ্রবেশ পরীক্ষার প্রকার

অনুপ্রবেশ পরীক্ষার অপরিহার্য ধরনের নিম্নলিখিত:

    হোয়াইট বক্স অনুপ্রবেশ পরীক্ষা ব্ল্যাক বক্স পেনিট্রেশন টেস্টিং গ্রে বক্স অনুপ্রবেশ পরীক্ষা

হোয়াইট বক্স অনুপ্রবেশ পরীক্ষা

এটি ব্যাপক পরীক্ষা, যেখানে একজন পরীক্ষককে সিস্টেম এবং নেটওয়ার্ক সম্পর্কে অনেক তথ্য প্রদান করা হয় যেমন সোর্স কোড, স্কিমা, OS বিশদ বিবরণ, IP ঠিকানা ইত্যাদি। এটি অভ্যন্তরীণ উত্স দ্বারা আক্রমণের একটি অনুকরণ হিসাবে বিবেচিত হয়। একে স্ট্রাকচারাল, গ্লাস বক্স, ক্লিয়ার বক্স এবং ওপেন বক্স টেস্টিংও বলা হয়।

হোয়াইট বক্স পেনিট্রেশন টেস্টিং কোড কভারেজ পরীক্ষা করে এবং ডাটা ফ্লো টেস্টিং, পাথ টেস্টিং, লুপ টেস্টিং করে।

PROS

  • এটি নিশ্চিত করে যে একটি মডিউলের স্বাধীন পথ ব্যবহার করা হয়েছে।
  • এটি সমস্ত যৌক্তিক সিদ্ধান্ত প্রদান করে যা তাদের সত্য এবং মিথ্যা মান সহ যাচাই করা হয়।
  • এটি ত্রুটিগুলি আবিষ্কার করে এবং সিনট্যাক্স পরীক্ষা করে।
  • এটি প্রোগ্রামের যৌক্তিক প্রবাহ এবং প্রকৃত সম্পাদনের মধ্যে পার্থক্যের কারণে ডিজাইনের ত্রুটিগুলি খুঁজে পায়।

কনস

  • আক্রমণে বাস্তবতার অভাব রয়েছে।
  • পরীক্ষক একজন অজ্ঞাত আক্রমণকারীর চেয়ে ভিন্নভাবে চিন্তা করেন।

ব্ল্যাক বক্স পেনিট্রেশন টেস্টিং

এই পরীক্ষায়, তিনি যে সিস্টেমটি পরীক্ষা করতে চলেছেন সে সম্পর্কে পরীক্ষকের কোন ধারণা নেই। তিনি নেটওয়ার্ক বা সিস্টেম সম্পর্কে তথ্য সংগ্রহ করতে আগ্রহী। উদাহরণস্বরূপ, এই ধরনের পরীক্ষায়, একজন পরীক্ষক শুধুমাত্র জানেন যে প্রত্যাশিত আউটপুট কী হওয়া উচিত এবং তিনি জানেন না যে ফলাফলটি কীভাবে হতে চলেছে। তিনি কোনো প্রোগ্রামিং কোড পরীক্ষা করেন না।

PROS

  • এটি কোনো নির্দিষ্ট প্রোগ্রামিং ভাষার জ্ঞানের দাবি রাখে না।
  • পরীক্ষক বিদ্যমান সিস্টেমে দ্বন্দ্ব যাচাই করে।
  • পরীক্ষাটি সাধারণত ব্যবহারকারীর দৃষ্টিকোণ থেকে পরিচালিত হয়, ডিজাইনার নয়।

কনস

  • পরীক্ষার ক্ষেত্রে ডিজাইন করা কঠিন।
  • এটি সবকিছু পরিচালনা করে না।

গ্রে বক্স অনুপ্রবেশ পরীক্ষা

গ্রে বক্স পেনিট্রেশন টেস্টিং-এ, একজন পরীক্ষক সাধারণত একটি সিস্টেমের প্রোগ্রাম সম্পর্কে আংশিক বা সীমিত তথ্য প্রদান করে। এটি একটি বহিরাগত হ্যাকার দ্বারা আক্রমণ হিসাবে বিবেচিত হয় যিনি একটি সংস্থার নেটওয়ার্কে অবৈধ অ্যাক্সেস অর্জন করেছিলেন।

PROS

  • পরীক্ষকের সোর্স কোড অ্যাক্সেসের প্রয়োজন নেই।
  • একজন বিকাশকারী এবং একজন পরীক্ষকের মধ্যে একটি স্পষ্ট পার্থক্য রয়েছে, তাই ব্যক্তিগত দ্বন্দ্বের ঝুঁকি কম।
  • আপনাকে প্রোগ্রাম ফাংশন এবং অন্যান্য অপারেশন সম্পর্কে অভ্যন্তরীণ তথ্য অফার করতে হবে না।

কনস

  • পরীক্ষকদের কোড দেখার অ্যাক্সেস নেই।
  • অ্যাপ্লিকেশান ডেভেলপার যদি একই ধরনের টেস্ট কেস চালায় তাহলে গ্রে বক্স টেস্টিং অপ্রয়োজনীয়৷
  • গ্রে বক্স টেস্টিং অ্যালগরিদম পরীক্ষার জন্য আদর্শ নয়।

অনুপ্রবেশ পরীক্ষার জন্য সরঞ্জাম

নেটওয়ার্ক ম্যাপার (এনএমএপি নামেও পরিচিত)

এটি একটি ব্যবসা বা কর্পোরেশনের নেটওয়ার্ক পরিবেশে দুর্বলতার ধরন আবিষ্কারের জন্য ব্যবহৃত হয়। এটি নিরীক্ষার উদ্দেশ্যেও ব্যবহার করা যেতে পারে। NMAP তৈরি করা হয় যা কাঁচা ডেটা প্যাকেট নেয়

  • একটি নির্দিষ্ট নেটওয়ার্ক ট্রাঙ্ক বা সেগমেন্টে কি ধরনের হোস্ট পাওয়া যায়
  • এই হোস্ট সেবা সম্পর্কে তথ্য প্রদান
  • কোনো নির্দিষ্ট হোস্ট সংস্করণ এবং ডেটা প্যাকেট ফিল্টার/ফায়ারওয়ালের ধরন ব্যবহার করছে

আপনি নেটওয়ার্কের একটি মানচিত্র তৈরি করতে পারেন এবং সেখান থেকে, সাইবার আক্রমণকারীর মাধ্যমে প্রবেশ করতে পারে এমন দুর্বলতার উল্লেখযোগ্য ক্ষেত্রগুলি নির্দেশ করুন৷

img 617dd209ddbd1

ওয়্যারশার্ক

এই টুল একটি প্রকৃত ডাটা প্যাকেট বিশ্লেষক এবং নেটওয়ার্ক প্রোটোকল যা নিরাপত্তা বিশ্লেষণ করে রিয়েল-টাইমে ট্রাফিকের দুর্বলতা। তথ্য এবং তথ্য সংগ্রহ করা যেতে পারে:

  • ব্লুটুথ
  • IEEE 802.11
  • আইপিসেক
  • রিং নাও
  • ফ্রেম রিলে
  • কেরবেরোস
  • SNMPv3
  • SSL/TLS
  • WEP
  • যেকোনো ইথারনেট-ভিত্তিক সংযোগ
img 617dd20a27ffd

W3AF

দ্য সফটওয়্যার ডেভেলপার এই স্যুটটি তৈরি করুন, এবং মূল লক্ষ্য হল ওয়েব-ভিত্তিক অ্যাপ্লিকেশনগুলিতে উপস্থিত যেকোনো নিরাপত্তা দুর্বলতা খুঁজে বের করা এবং কাজে লাগানো। এটিতে অনেকগুলি সরঞ্জাম রয়েছে যা হুমকিগুলিকে রুট করতে পারে যেমন:

  • ব্যবহারকারী-এজেন্ট জালিয়াতি
  • অনুরোধ কাস্টম শিরোনাম
  • ডিএনএস ক্যাশে বিষক্রিয়া
img 617dd20aa10c4

অনুপ্রবেশ পরীক্ষার জন্য সেরা কোম্পানি

সায়েন্সসফট

এটি একটি সাইবার নিরাপত্তা সেবা প্রদানকারী এবং একটি সফটওয়্যার ডেভেলপমেন্ট কোম্পানি। এটি তাদের ক্লায়েন্টদের ব্যাংকিং, স্বাস্থ্যসেবা, উত্পাদন এবং অন্যান্য শিল্পে কাজ করে তাদের আইটি পরিবেশের জন্য সবচেয়ে প্রাসঙ্গিক প্রতিরক্ষা ডিজাইন এবং বাস্তবায়নে সহায়তা করে।

img 617dd20ae7785

netsparker

একটি সঠিক স্বয়ংক্রিয় স্ক্যানার যা দুর্বলতা সনাক্ত করে ওয়েব অ্যাপ্লিকেশন এবং ওয়েব API . এটি অনন্যভাবে দুর্বলতা যাচাই করে প্রমাণ করে যে তারা বাস্তব এবং মিথ্যা ইতিবাচক নয়।

এটি একটি উইন্ডো সফ্টওয়্যার এবং একটি অনলাইন পরিষেবা হিসাবে উপলব্ধ।

img 617dd20b464c0

Indusface WAS

এটি একটি স্বয়ংক্রিয় ওয়েব অ্যাপ্লিকেশন দুর্বলতা স্ক্যানার সহ বান্ডিল করা ম্যানুয়াল পেনিট্রেশন টেস্টিং প্রদান করে যা OWASP শীর্ষ 10 এর উপর ভিত্তি করে দুর্বলতা সনাক্ত করে এবং রিপোর্ট করে।

কোম্পানিটি মুম্বাই, বেঙ্গালুরু, ভাদোদরা, দিল্লি এবং সান ফ্রান্সিসকোতে অন্যান্য অফিসের সাথে ভারতে অবস্থিত এবং পরিষেবাগুলি বিশ্বব্যাপী 25+ দেশে 1100+ গ্রাহকরা ব্যবহার করেন।

img 617dd20c1f727

একজন অনুপ্রবেশকারী

এটা সাইবার নিরাপত্তা কোম্পানি যা তাদের ক্লায়েন্টদের জন্য একটি স্বয়ংক্রিয় SaaS সমাধান প্রদান করে। শক্তিশালী স্ক্যানিং টুলটি অত্যন্ত কার্যকরী ফলাফল প্রদানের জন্য ডিজাইন করা হয়েছে, যা সত্যিই গুরুত্বপূর্ণ বিষয়গুলিতে ব্যস্ত দলগুলিকে ফোকাস করতে সহায়তা করে৷

অনুপ্রবেশকারী বড় ব্যাঙ্কগুলির মতো একই ইঞ্জিন ব্যবহার করে যাতে আপনি জটিলতা ছাড়াই উচ্চ-মানের নিরাপত্তা পরীক্ষা উপভোগ করতে পারেন। অনুপ্রবেশকারী হাইব্রিড অনুপ্রবেশ পরীক্ষার পরিষেবাও অফার করে, যার মধ্যে স্বয়ংক্রিয় স্ক্যানগুলির ক্ষমতার বাইরে সমস্যাগুলি সনাক্ত করতে সহায়তা করার জন্য ম্যানুয়াল পরীক্ষা অন্তর্ভুক্ত রয়েছে।

অনুপ্রবেশ পরীক্ষা

FAQs

কত ঘন ঘন আমাদের একটি অনুপ্রবেশ পরীক্ষা পরিচালনা করা উচিত?

এটি বিভিন্ন কারণের উপর নির্ভর করে যা অনুপ্রবেশ পরীক্ষা পরিচালনা করার ফ্রিকোয়েন্সি বিবেচনা করার সময় চিন্তা করা উচিত। নিম্নলিখিত বিষয়গুলি আপনার মনে রাখা উচিত
পরিবেশ কত ঘন ঘন পরিবর্তন হয়: পরীক্ষাগুলি প্রায়শই পরিবর্তনের জন্য নির্ধারিত হয় কারণ সেগুলি উত্পাদন-প্রস্তুত অবস্থার কাছাকাছি থাকে৷
পরিবেশ কত বড়: আরও বিস্তৃত সেটিংস পর্যায়ক্রমে পরীক্ষা করা হয় পরীক্ষার প্রচেষ্টা এবং মাটিতে রাখা লোডকে সমান করতে।

একটি অনুপ্রবেশ পরীক্ষার জন্য সাধারণ খরচ কি কি?

অনুপ্রবেশ পরীক্ষার খরচ ব্যাপকভাবে পরিবর্তিত হয়।
কলম পরীক্ষার মূল্য নির্ধারণের জন্য বেশ কয়েকটি কারণ ব্যবহার করা হয়, সহ। প্রয়োজনীয়তা সম্পর্কে একটি পরিষ্কার বোঝার জন্য একটি বিশদ স্কোপিং মিটিং থাকা অপরিহার্য এবং যেকোনো অনুপ্রবেশ পরীক্ষায় জড়িত হওয়ার আগে কাজের একটি বিবৃতি তৈরি করা। আদর্শভাবে, কোনো অপরিকল্পিত ব্যয় নির্মূল করার জন্য একটি নির্দিষ্ট ফি ভিত্তিতে একটি অনুপ্রবেশ পরীক্ষা করা উচিত। উদ্ধৃত ফি সমস্ত শ্রম এবং প্রয়োজনীয় পরীক্ষার সরঞ্জাম অন্তর্ভুক্ত করা উচিত.

অনুপ্রবেশ পরীক্ষার প্রক্রিয়া থেকে কি আশা করা উচিত?

অনুপ্রবেশ পরীক্ষা একটি সুশৃঙ্খল প্রক্রিয়া। একটি পরীক্ষাকারী সংস্থার উচিত প্রক্রিয়ার প্রতিটি জটিল পর্যায়ে সমস্ত স্টেকহোল্ডারদের ভালভাবে অবহিত রাখা। অনুপ্রবেশ পরীক্ষার পরিষেবা খুঁজছেন একটি কোম্পানি হিসাবে, একটি মনে অনুসরণ করা উচিত:
কী ঘটছে এবং কখন ঘটছে তা জানার জন্য একটি পরিকল্পিত, নথিভুক্ত এবং যোগাযোগের পদ্ধতি।
একটি সুশৃঙ্খল, পুনরাবৃত্তিযোগ্য পদ্ধতি অনুসরণ করা উচিত।
ব্যবসার পরিবেশ অনুসারে সিস্টেমটি অবশ্যই কাস্টমাইজ করা উচিত।
একটি সংজ্ঞায়িত সূচনা প্রক্রিয়া, পরিকল্পনা প্রক্রিয়া, সমন্বিত পরীক্ষা, এবং সঠিক ফলাফল এবং প্রতিকারের একটি পরিষ্কার বোঝা নিশ্চিত করার জন্য একটি সহযোগিতামূলক বিতরণ প্রক্রিয়া।