Penetration Testing

Penetration Testing (Pentesting) - bu tizim, tarmoq yoki veb-ilovaning xavfsizligini sinash uchun ruxsat etilgan "etik hujum". Maqsad - zaifliklarni topish va ularni tuzatish.

Qonuniy vs Noqonuniy

Ethical Hacking (Qonuniy)

  • Yozma ruxsat bilan
  • Belgilangan doirada
  • Hisobot va tavsiyalar
  • Xavfsizlikni yaxshilash maqsadi
  • Professional pentesterlar

Black Hat Hacking (Noqonuniy)

  • Ruxsatsiz kirish
  • Zarar yetkazish maqsadi
  • Ma'lumot o'g'irlash
  • Jinoyat faoliyati
  • Qamoq jazosi mumkin

Pentesting bosqichlari

1

Reconnaissance (Razvedka)

Ma'lumot yig'ish: domen nomlari, IP manzillar, email'lar, server ma'lumotlari.

Vositalar: Google Dorking, WHOIS, theHarvester
2

Scanning (Skanerlash)

Ochiq portlar, xizmatlar va zaifliklarni topish.

Vositalar: Nmap, Nessus, OpenVAS
3

Gaining Access (Kirish)

Zaifliklardan foydalanib tizimga kirish.

Vositalar: Metasploit, SQLmap, Burp Suite
4

Maintaining Access (Nazoratni saqlash)

Backdoor o'rnatish va uzoq muddatli kirishni ta'minlash.

Maqsad: Haqiqiy tajovuzkor qanday harakat qilishini ko'rsatish
5

Reporting (Hisobot)

Topilgan zaifliklar, ta'sir va tuzatish tavsiyalari haqida batafsil hisobot.

Muhim: Bu eng muhim bosqich - mijoz nima qilishi kerakligini bilishi kerak

Pentesting turlari

Black Box

Pentester hech qanday ma'lumotga ega emas. Tashqi tajovuzkorga o'xshash.

Eng qiyin, eng realistik

White Box

Pentester to'liq ma'lumotga ega: kod, arxitektura, credentials.

Eng to'liq, ichki zaifliklarni topadi

Gray Box

Qisman ma'lumot. Ichki foydalanuvchi kabi.

Muvozanatli yondashuv

Pentesting vositalari

Mashhur platformalar:

  • Kali Linux: Eng mashhur pentesting OS
  • Parrot Security OS: Yengil va tez
  • BlackArch: 2000+ vosita

Asosiy vositalar:

  • Metasploit: Exploit framework
  • Burp Suite: Web app testing
  • Wireshark: Packet analyzer

Professional sertifikatlar

CEH - Certified Ethical Hacker

EC-Council tomonidan, boshlang'ich uchun

OSCP - Offensive Security Certified Professional

Eng qiyin va hurmatli, amaliy exam

GPEN - GIAC Penetration Tester

SANS Institute, keng qamrovli

Muhim ogohlantirish

Pentesting ko'nikmalari faqat qonuniy va etik maqsadlar uchun ishlatilishi kerak:

  • O'zingizning tizimlaringizda mashq qiling
  • HackTheBox, TryHackMe kabi qonuniy platformalarda
  • Faqat yozma ruxsat bilan
  • Hech qachon ruxsatsiz tizimlarni tekshirmang

Asosiy xulosalar

  • Pentesting - bu ruxsat etilgan, etik xavfsizlik testi
  • 5 bosqich: Razvedka, Skanerlash, Kirish, Nazorat, Hisobot
  • Black/White/Gray Box - turli yondashuvlar
  • Faqat qonuniy va yozma ruxsat bilan!
Parollar xavfsizligi Social Engineering