অনুপ্রবেশ পরীক্ষা [বন্ধ]

আমরা একটি নতুন ওয়েবসাইট স্থাপন করছি, নিজেরাই হোস্ট করেছি। হোয়াইট টুপিগুলিতে প্রবেশের সংক্ষিপ্ততা কীভাবে আপনি নেটওয়ার্কের বাইরে থেকে অনুপ্রবেশ পরীক্ষা করতে যাবেন?

আমি দেখেছি যে হোয়াইটহ্যাট পরামর্শদাতারা এসেছেন এবং এই সরঞ্জামটি ব্যবহার করুন তারপরে আপনাকে একটি বিশাল বিল পাঠান।

কটাক্ষপাত OWASP (ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রকল্প) তারা খুব তথ্যপূর্ণ ও স্বাধীন! তাদের একটি খুব বিশদ কলম-পরীক্ষা গাইড রয়েছে যা আপনাকে অবশ্যই দেখতে হবে।

সরঞ্জামগুলি যা আমি ব্যবহার করব

Nmap সিস্টার টুল এসকিউএলএ্যাপ

এবং নেসাস

এক্সএসএস এবং এইচটিএমএল ইনজেকশন জন্য দ্রুত স্ক্যানিং http://www.seoegghead.com/tools/scan-for-html-inication.seo এছাড়াও http://www.cirt.net/nikto2

আপনার বিকাশের সময় আপনি এটি দেখেছেন তা নিশ্চিত করুন OWASP

আপনার এমএস উইন্ডোজ সার্ভার 2008 সুরক্ষা গাইড থেকে সুরক্ষা গাইড পরীক্ষা করা দরকার

ম্যাকাফি সিকিউর একটি সুন্দর শালীন স্ক্যানিং পরিষেবা সরবরাহ করে যা ওয়েব সার্ভার, নেটওয়ার্ক এবং ওয়েব সাইট নিজেই একটি স্বয়ংক্রিয়, অন-চাহিদা পদ্ধতিতে দেখবে। তাদের স্ক্যানারটি পিসিআই স্ক্যানগুলির জন্য প্রত্যয়িত, তাই এটি বেশ বিস্তৃত।

অন্য বিকল্প Qualys । মনে রাখবেন যে কোয়ালিজ এবং এমসিএফি সিকিউর সলিউশন দুর্বলতা স্ক্যানার। পেন-টেস্টিং স্ক্যানগুলির সাথে সম্মিলিতভাবে স্বয়ংক্রিয় করা যেতে পারে এবং এর কিছুটি এক্সএসএস এবং এসকিউএল ইনজেকশন আক্রমণগুলির জন্য স্বয়ংক্রিয় করা যেতে পারে, তবে শেষ পর্যন্ত, আপনি সিস্টেমটি পরীক্ষা করে একটি নামী পেন্টেসার চান।

প্রথম জিনিসটি একটি নেটওয়ার্ক স্ক্যান হবে । আপনি যেহেতু উইন্ডোজ স্ট্যাকের উপরে রয়েছেন , তাই জেনম্যাপটি ব্যবহার করুন এবং ওয়েবসার্ভার এবং উভয়ই এসকিএল সার্ভার স্ক্যান করুন। এটি আপনাকে খোলা পোর্ট এবং পরিষেবা চলমান সম্পর্কে বলবে। বিস্তৃত পরীক্ষায় জেনম্যাপ চালান। উন্মুক্ত হওয়া পোর্টগুলিকে ব্লক করতে আমি আপনার ফায়ারওয়ালটিকে টুইঙ্ক করতে এই তথ্যটি ব্যবহার করব।

আর একটি জিনিস যা আপনি করতে চান তা হ'ল এসকিউএল ইনজেকশন দুর্বলতাগুলি অনুসন্ধান করা ।

আপনার ওয়েব অ্যাপ্লিকেশনগুলিতে এসকিউএল ইঞ্জেকশন দুর্বলতাগুলি স্ক্যান করার জন্য স্ক্রোলার একটি বিনামূল্যে সফ্টওয়্যার।

এটি মাইক্রোসফ্ট সুরক্ষা প্রতিক্রিয়া কেন্দ্রের সাথে সমন্বয় করে এইচপি ওয়েব সুরক্ষা গবেষণা গ্রুপ দ্বারা তৈরি করা হয়েছে।

আমি তৈরি করা এই স্ক্রিনটোস্টার ভিডিওটি দেখুন । এটি এসকিউএল সার্ভার, বন্দর 1433 এবং একটি বেসিক এসকিউএল ইঞ্জেকশনের জন্য একটি সাধারণ নেটওয়ার্ক স্ক্যান প্রদর্শন করে।

ক্ষতিগ্রস্থতা স্ক্যানারগুলির শীর্ষ l0 তালিকা: HTTP: // sectools.org/vuln-scanners.html

মাইক্রোসফ্টের বেসলাইন সিকিউরিটি অ্যানালাইজার রয়েছে যা আপনার বেস সেটআপের অংশ হওয়া উচিত যদি এটির আগে আপনি সার্ভার স্থাপনের আগে না হয়: http: // www.microsoft.com/downloads/details.aspx?familyid=F32921AF-9DBE-4DCE- 889E-ECF997EB18E9 & displaylang = স্বীকারোক্তি

নিক্টো সুপরিচিত দুর্বলতার সন্ধান করার জন্য একটি দুর্দান্ত শুরু। উইন্ডোজ এবং লিনাক্স ইত্যাদিতে কাজ করে এমনকি আমার মতো নুবগুলিতেও যথেষ্ট সহজ :)

প্রযুক্তি যাই হোক না কেন আপনার হুমকিগুলি জানা দরকার। আপনার জানতে হবে যে ডেটা আপনি সুরক্ষার চেষ্টা করছেন? আপনার ওয়েবসাইট কীভাবে কাজ করে তা আপনার জানতে হবে। প্রথমে এই magন্দ্রজালিক সুরক্ষা বুলেট প্রযুক্তি পদ্ধতিগুলি ভুলে একটি হুমকি মডেল করুন। অনুপ্রবেশ পরীক্ষায় অযথা অর্থ ব্যয় করার আগে আপনাকে কোথায় রয়েছে তা খুঁজে বের করতে হবে।

ম্যাট পার্সনস সিআইএসএসপি mparsons1980 [at] gmail.com

প্রকৃতপক্ষে আমি একটি নতুন পেনটেস্ট লাইভসিডি ডিস্ট্রোর মূল স্রষ্টা, যা ব্যাকট্র্যাক is এর একটি কাঁটাচামচ good এর নাম ছায়ার চেনাশোনা, এবং আপনি এটি পরীক্ষা করে দেখতে পারেন @

www.shadowcircle.org।

আশা করি আপনি এটি পছন্দ করবেন;)

আপনার নিষ্পত্তি করার জন্য সেখানে বিভিন্ন ধরণের পাবলিক লাইসেন্স সরঞ্জাম রয়েছে, তবে আমি যেখানে পরিচালনা করি সেখানে আমরা ফায়ারফক্স এবং প্যারোস প্রক্সি ব্যবহার করে পোস্টগুলিতে হেরফের করি এবং অ্যাপ্লিকেশন দুর্বলতার প্রতিবেদনের জন্য ওয়েবআইএনস্পেক্ট এবং একটি ভাল পুরানো ফ্যাশনযুক্ত হোস্ট স্ক্যানের জন্য কোয়ালিজগার্ড এন্টারপ্রাইজ ফলাফল কী হবে তার উপর নির্ভর করে আমরা বাক্সের কনফিগারেশন এবং সুরক্ষা ভঙ্গিতে সামঞ্জস্য করি, যে জিনিসগুলিকে আমরা পরিবর্তন করতে পারি না তার জন্য ঝুঁকি গ্রহণযোগ্যতা ফর্ম তৈরি করি, বা কোনও অনুসন্ধান আসলে উদ্বেগের বিষয় কিনা তা নির্ধারণের জন্য অন্যান্য সরঞ্জামগুলিতে নিযুক্ত করি।

এই ওয়েবসাইট থেকে অনলাইনে বিনামূল্যে নিক্টো, এনম্যাপ, ওপেনভাস দুর্বলতার স্ক্যান