ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

តើអ្វីទៅដែលហៅថា Penetration Testing

Penetration Testing គឺជាដំណើរការនៃការធ្វើការវាយតម្លៃ ឬធ្វើសវនកម្មទៅលើប្រព័ន្ធសន្តិសុខព័ត៌មានរបស់អង្គភាព ។ វិធីសាស្ត្រនានារួមមាននូវការកំណត់នូវសំនុំនៃក្បួនខ្នាត ការអនុវត្តន៍ នីតិវិធី និងយុទ្ធវិធីដែលត្រូវអនុវត្តក្នុងកំឡុងពេលនៃការដំណើរការកម្មវិធីសនវកម្មសន្តិសុខព័ត៌មាន។ ហេតុដូច្នេះហើយ វិធីសាស្ត្រក្នុងការធ្វើ Penetration Testing បានកំណត់នូវផែនទីបង្ហាញផ្លូវ រួមផ្សំជាមួយនូវគំនិត និងការអនុវត្តដែលអ្នកគួរតែធ្វើតាមជាមួយនឹងការប្រុងប្រយ័ត្នខ្ពស់បំផុត ដើម្បីធ្វើការអាក់សេសទៅលើប្រព័ន្ធសន្តិសុខព័ត៌មានឲ្យបានត្រឹមត្រូវ ។ 

្របភេទនៃការធ្វើ Penentration Testing

Black-box penetration testing: យើងក៏អាចហៅម្យ៉ាងទៀតថា  external testing  នៅពេលដែលអ្នកដំណើរការនូវវិធីសាស្ត្រនេះ អ្នកធ្វើសវនកម្មសន្តិសុខ (security auditor)  នឹងធ្វើការវាយតម្លៃហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញចេញពីទីតាំងពីចម្ងាយ ហើយនឹងដឹងអ្វីឡើយអំពីបច្ចេកវិទ្យាផ្ទៃក្នុង ដែលអ្នកបានបំពាក់សម្រាប់អង្គភាព ។ 

+ White-box-penetration testing: យើងអាចហៅម្យ៉ាងទៀតថា internal testing ។ អ្នកធ្វើសវនកម្មសន្តិសុខ នឹងដឹងនូវរាល់បច្ចេកវិទ្យាផ្ទៃក្នុងទាំងអស់ ដែលអ្នកមាន និងកំពុងប្រើប្រាស់។

Grey-box penetration testing: វាគឺជាបូកផ្សំទាំងពីរករណីខាងលើ (black+white) ដែលនឹងផ្តល់ឲ្យអ្នកនូវការយល់ដឹងទូលំទូលាយមួយ ក្នុងន័យសន្តិសុខពីខាងក្រៅ និងខាងក្នុង ។ 

ដំណាក់កាលនៃការធ្វើ Penentration Testing

តើអ្នកមានដឹងទេថា នៅក្នងមឺនុយរបស់ Kali Linux គឺជាផ្អែកទៅលើដំណាក់កាលនៃការធ្វើ Penetration Testing?  តោះយើងចាប់ផ្តើមនិយាយលំអិតអំពីវា៖

Screenshot 2016-05-29 19.58.59

+Information gathering

នៅក្នុងជំពូកនេះ មាននូវកម្មវិធី (tools) តូចៗមួយចំនួន ដែលអ្នកអាចប្រើប្រាស់ដើម្បីប្រមូលព័ត៌មានទាក់ទងទៅនឹង DNS, routing, e-mail address, websites, mail server, និងចំនុចផ្សេងៗជាច្រើនទៀត។ ព័ត៌មានទាំងនេះគឺត្រូវបានប្រមូលមកប្រភពនានានៅតាមអិុនធឺណិត ដោយមិនធ្វើការប៉ៈពាល់ដល់ហេដ្ឋរចនាសម្ព័ន្ធរបស់គោលដៅឡើយ។ វាក៏ផ្ទុកទៅដោយកម្មវិធីតូចៗមួយចំនួនទៀតដែលអាចត្រូវបានប្រើប្រាស់ ក្នុងការត្រួតពិនិត្យទៅលើ live host, fingerprint operting system, applications និង port scanning ផងដែរ។

+ Vulnerability identification (include Web Application Analysis and Database Assessment)

នៅក្នុងជំពូកនេះ អ្នកនឹងមាននូវកូនកម្មវិធីតូចៗមួយចំនួនដើម្បីធ្វើការស្កេនរកនូវចំនុចខ្សោយ នៅក្នុងឧបករណ៍, វេបសាយ និងដាតាបេស ។ល។ និង ។ល។ វាក៍មានផងដែរនូវកម្មវិធីសម្រាប់ធ្វើការវិភាគនូវ Server Message Block (SMB) និង Simple Network Management Protocol (SNMP) ។

+ Exploitation

ជំពូកនេះផ្តល់ឲ្យអ្នកនូវកម្មវិធីដែលអាចត្រូវបានប្រើប្រាស់ដើម្បីធ្វើការវាយប្រហារ (exploit) ទៅលើចំនុចខ្សោយនានាដែលត្រូវបានរកឃើញនៅក្នុងប្រព័ន្ធរបស់គោលដៅ។ វារួមមានកម្មវិធីដូចជា Wireless Attack, Sniffing & Spoofing ។

+ Privilege escalation

បន្ទាប់ពីធ្វើការវាយប្រហារទៅលើចំនុចខ្សោយ និងចូលទៅដល់ក្នុងប្រព័ន្ធគោលដៅរួចហើយ អ្នកអាចប្រើប្រាស់នូវកម្មវិធីក្នុងជំពូក ដើម្បីពង្រីកវិសាលភាពនៃសិទ្ធរបស់ អ្នក ឲ្យបានខ្ពស់បំផុតតាមតែអាចធ្វើទៅបាន (ឧ. ពី user ទៅកាន់ administrator ជាដើម) ។

+ Maintaining Access

កម្មវិធីនៅក្នុងជំពូកនេះ គឺនឹងជួយអ្នកក្នុងការថែរក្សានូវការអាក់សេសទៅកាន់ប្រព័ន្ធគោលដៅ ។ ជាដំបូងអ្នកអាចត្រូវការនូវសិទ្ធិខ្ពស់បំផុត មុនពេលដែលអ្នកអាចបញ្ចូលកម្មវិធីនានា ក្នុងការថែរក្សានូវការអាក់សេស (access) ។

+ Digital Forensics

នៅក្នុងជំពូកនេះ អ្នកអាចរកបាននូវកម្មវិធីដែលអ្នកអាចប្រើប្រាស់ក្នុងការធ្វើកោសលវិច័យឌីជីថល (digital forensics) ដូចជាការធ្វើ hard disk image, carving files, និងការធ្វើ analyzing hard disk image ជាដើម។ 

+ Reverse engineering

ក្នុងជំពូកនេះគឺមានផ្ទុកទៅដោយកម្មវិធីដែលត្រូវបានប្រើប្រាស់ ក្នុងការ debug កម្មវិធី ឬបំបែក (disassemble) នូវឯកសារ executable file ។ 

ខាងក្រោមនេះគឺជាឯកសារ Kali Linux ដែលផ្ទុកទៅដោយពាក្យបញ្ជាទាំងអស់ ព្រមជាមួយនឹងការពន្យល់របស់ពាក្យបញ្ជានិមួយៗផងដែរ ។

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button