Tipos de teste de penetração

O tipo de teste de penetração normalmente depende do escopo e dos desejos e requisitos organizacionais. Este capítulo discute sobre os diferentes tipos de teste de penetração. Também é conhecido comoPen Testing.

Tipos de teste de caneta

A seguir estão os tipos importantes de teste de caneta -

  • Teste de penetração da caixa preta
  • Teste de penetração da caixa branca
  • Teste de penetração da caixa cinza

Para melhor compreensão, vamos discutir cada um deles em detalhes -

Teste de penetração da caixa preta

No teste de penetração da caixa preta, o testador não tem ideia sobre os sistemas que vai testar. Ele está interessado em reunir informações sobre a rede ou sistema de destino. Por exemplo, neste teste, um testador sabe apenas qual deve ser o resultado esperado e não sabe como os resultados chegam. Ele não examina nenhum código de programação.

Vantagens do teste de penetração da caixa preta

Tem as seguintes vantagens -

  • O testador não precisa ser necessariamente um especialista, pois não exige conhecimento específico do idioma

  • O testador verifica as contradições no sistema real e nas especificações

  • O teste é geralmente conduzido com a perspectiva de um usuário, não do designer

Desvantagens do teste de penetração da caixa preta

Suas desvantagens são -

  • Particularmente, esses tipos de casos de teste são difíceis de projetar.

  • Possivelmente, não vale a pena, o designer do caso já realizou um caso de teste.

  • Não conduz tudo.

Teste de penetração da caixa branca

Este é um teste abrangente, pois o testador recebeu toda uma gama de informações sobre os sistemas e / ou rede, como esquema, código-fonte, detalhes do sistema operacional, endereço IP, etc. É normalmente considerado como uma simulação de um ataque por um fonte interna. Também é conhecido como teste estrutural, caixa de vidro, caixa transparente e caixa aberta.

O teste de penetração da caixa branca examina a cobertura do código e faz testes de fluxo de dados, teste de caminho, teste de loop, etc.

Vantagens do teste de penetração da caixa branca

Ele traz as seguintes vantagens -

  • Ele garante que todos os caminhos independentes de um módulo foram exercidos.

  • Ele garante que todas as decisões lógicas foram verificadas junto com seus valores verdadeiro e falso.

  • Ele descobre os erros tipográficos e faz a verificação de sintaxe.

  • Ele encontra os erros de projeto que podem ter ocorrido devido à diferença entre o fluxo lógico do programa e a execução real.

Teste de penetração da caixa cinza

Nesse tipo de teste, um testador geralmente fornece informações parciais ou limitadas sobre os detalhes internos do programa de um sistema. Pode ser considerado um ataque de um hacker externo que obteve acesso ilegítimo aos documentos de infraestrutura de rede de uma organização.

Vantagens do teste de penetração da caixa cinza

Tem as seguintes vantagens -

  • Como o testador não requer acesso ao código-fonte, ele não é intrusivo e imparcial

  • Como há uma diferença clara entre um desenvolvedor e um testador, há menos risco de conflito pessoal

  • Você não precisa fornecer as informações internas sobre as funções do programa e outras operações

Áreas de teste de penetração

O teste de penetração é normalmente feito nas seguintes três áreas -

  • Network Penetration Testing- Neste teste, a estrutura física de um sistema precisa ser testada para identificar a vulnerabilidade e o risco que garante a segurança em uma rede. No ambiente de rede, um testador identifica falhas de segurança no design, implementação ou operação da rede da respectiva empresa / organização. Os dispositivos testados por um testador podem ser computadores, modems ou mesmo dispositivos de acesso remoto, etc.

  • Application Penetration Testing- Neste teste, a estrutura lógica do sistema precisa ser testada. É uma simulação de ataque projetada para expor a eficiência dos controles de segurança de um aplicativo, identificando vulnerabilidade e risco. O firewall e outros sistemas de monitoramento são usados ​​para proteger o sistema de segurança, mas, às vezes, ele precisa de testes específicos, especialmente quando o tráfego pode passar pelo firewall.

  • The response or workflow of the system- Esta é a terceira área que precisa ser testada. A engenharia social reúne informações sobre a interação humana para obter informações sobre uma organização e seus computadores. É benéfico testar a capacidade da respectiva organização de impedir o acesso não autorizado aos seus sistemas de informação. Da mesma forma, este teste é projetado exclusivamente para o fluxo de trabalho da organização / empresa.