Software pro penetrační testování

Software pro penetrační testování je označení pro počítačové programy, které umožňují identifikaci, analýzu a exploitaci zranitelností v systémech, sítích a aplikacích. Používá se k simulaci reálných kybernetických útoků za účelem zlepšení bezpečnostních opatření a ochrany dat. Tento software zahrnuje různé typy nástrojů, včetně skenerů zranitelností, nástrojů pro analýzu sítě, exploitačních frameworků a nástrojů pro skenování webových aplikací. Zároveň je klíčový pro provedení penetračního testu.[1]

Typy softwaru pro penetrační testování

Skenery zranitelnost

Skenery zranitelností pracují s proaktivním přístupem, vyhledávají zranitelnosti, ideálně ještě předtím, než jsou zneužity. Soustředí se tak pouze je na už obecně známé problémy, což je zároveň i jejich limitem, jelikož existuje možnost, že v systému je přítomen specifický nedostatek, který tyto skenery nedokáží odhalit. [2]

Například Nessus[3] a OpenVAS[4] detekují známé zranitelnosti na základě databází CVE. Tyto nástroje jsou efektivní pro rychlou detekci široké škály běžnějších slabin.

Nástroje pro analýzu sítě

Použití nástroje Nmap

Při této technice se tester zaměřuje na identifikaci bezpečnostních nedostatků spojených s návrhem, implementací a provozem sítě cílové organizace. Tester analyzuje a kontroluje různé součásti sítě, jako jsou modemy, zařízení pro vzdálený přístup a další připojení, která mohou sloužit jako potenciální vstupní bod pro útočníka, aby se naboural do sítě cílové organizace.[5]

Mezi tyto nástroje patří mimo jiné Wireshark[6], který analyzuje síťový provoz, nebo Nmap[7], který mapuje síťovou infrastrukturu a hledá otevřené porty. Tyto nástroje jsou důležité pro odhalení anomálií na úrovni sítě.

Exploitační framework

Exploitační framework je soubor nástrojů a technik navržených pro identifikaci a využití zranitelností v počítačových systémech. Tyto rámce umožňují simulaci kybernetických útoků, a to jak na známé zranitelnosti, tak na ty, které ještě nebyly veřejně odhaleny. Cílem je nejen potvrdit existenci zranitelností, ale i ověřit jejich potenciální dopad na bezpečnost systémů.[8]

Například software Metasploit[9] umožňuje simulaci útoků na základě známých i neznámých zranitelností, a tím pomáhá testovat odolnost systémů.

Nástroje pro skenování webových aplikací

Nástroje pro skenování webových aplikací jsou nástroje používané penetračními testery. Slouží k vyhodnocování webových aplikací s primárním cílem identifikovat a zmírnit potenciální zranitelnosti, aby se zabránilo narušení bezpečnosti. Bezpečnostní opatření by měla být začleněna v průběhu celého životního cyklu vývoje webové aplikace, nikoliv přidávána a testována až v závěrečných fázích vývoje.[10]

Řadí se sem aplikace jako Burp Suite[11] a OWASP ZAP[12], jež detekují slabiny v aplikacích, jako je nedostatečná obrana vůči SQL injection či XSS a jsou důležité pro bezpečnost webových platforem.[13]

Reference

  1. ALMOMANI, Ammar; GUPTA, B. B.; ATAWNEH, Samer. A Survey of Phishing Email Filtering Techniques. IEEE Communications Surveys & Tutorials. 24/2013, roč. 15, čís. 4, s. 2070–2090. Dostupné online [cit. 2024-12-14]. ISSN 1553-877X. doi:10.1109/SURV.2013.030713.00020. (anglicky) 
  2. TUNDIS, Andrea; MAZURCZYK, Wojciech; MÜHLHÄUSER, Max. A review of network vulnerabilities scanning tools: types, capabilities and functioning. In: Proceedings of the 13th International Conference on Availability, Reliability and Security. New York, NY, USA: Association for Computing Machinery, 2018-08-27. Dostupné online. ISBN 978-1-4503-6448-5. doi:10.1145/3230833.3233287. S. 1–10. (anglicky)
  3. Comprehensive Cybersecurity and Exposure Management. Tenable® [online]. [cit. 2024-12-14]. Dostupné online. (anglicky) 
  4. OpenVAS - Open Vulnerability Assessment Scanner. www.openvas.org [online]. [cit. 2024-12-14]. Dostupné online. (anglicky) 
  5. SHAH, Sugandh; MEHTRE, B. M. An overview of vulnerability assessment and penetration testing techniques. Journal of Computer Virology and Hacking Techniques. 2015-02-01, roč. 11, čís. 1, s. 27–49. Dostupné online [cit. 2024-12-14]. ISSN 2263-8733. doi:10.1007/s11416-014-0231-x. (anglicky) 
  6. Wireshark · Go Deep. Wireshark [online]. [cit. 2024-12-14]. Dostupné online. (anglicky) 
  7. Nmap: the Network Mapper - Free Security Scanner. nmap.org [online]. [cit. 2024-12-14]. Dostupné online. (anglicky) 
  8. RAJ, Sudhanshu; WALIA, Navpreet Kaur. A Study on Metasploit Framework: A Pen-Testing Tool. 2020 International Conference on Computational Performance Evaluation (ComPE). 2020-07, s. 296–302. Dostupné online [cit. 2024-12-14]. doi:10.1109/ComPE49325.2020.9200028. (anglicky) 
  9. Metasploit | Penetration Testing Software, Pen Testing Security. Metasploit [online]. [cit. 2024-12-14]. Dostupné online. (anglicky) 
  10. ABDULGHAFFAR, Khaled; ELMRABIT, Nebrase; YOUSEFI, Mehdi. Enhancing Web Application Security through Automated Penetration Testing with Multiple Vulnerability Scanners. Computers. 2023-11, roč. 12, čís. 11, s. 235. Dostupné online [cit. 2024-12-14]. ISSN 2073-431X. doi:10.3390/computers12110235. (anglicky) 
  11. Burp Suite - Application Security Testing Software. portswigger.net [online]. [cit. 2024-12-14]. Dostupné v archivu pořízeném z originálu dne 2024-12-12. (anglicky) 
  12. The ZAP Homepage. ZAP [online]. [cit. 2024-12-14]. Dostupné online. (anglicky) 
  13. ZHANG, Bing; LI, Jingyue; REN, Jiadong. Efficiency and Effectiveness of Web Application Vulnerability Detection Approaches: A Review. ACM Comput. Surv.. 2021-10-08, roč. 54, čís. 9, s. 190:1–190:35. Dostupné online [cit. 2024-12-14]. ISSN 0360-0300. doi:10.1145/3474553. (anglicky) 

Média použitá na této stránce

Nmap screenshot.png
Autor: Původně soubor načetl Ojw na projektu Wikipedie v jazyce angličtina, Licence: GPL
Screenshot of nmap