תוכן עניינים:
הגדרה - מה המשמעות של כלי בדיקת חדירה?
כלי לבדיקת חדירה הוא כלי המשמש לבדיקת האבטחה של יישום אינטרנט. כלים אלה מבצעים בדיקת אבטחה על ידי ביצוע התקפה על יישום האינטרנט הנבדק מבלי לאכוף עומס על יישום האינטרנט. כלומר, הם לא מוחקים את בסיס הנתונים או את אחד הרכיבים המשמשים את היישום.
הביצועים של אפליקציה נמדדים על פי מספר השליליות השקריות וחיוביות השווא. כמעט בכל כלי בדיקת החדירה משתמשים בטכניקה שנקראת בדיקת fuzz, הזרקת תקלות או fuzzing. Fuzzing מתייחס לטכניקת בדיקה שהיא אוטומטית ביותר, המכסה מספר מקרי גבול באמצעות נתונים לא חוקיים כקלט היישום כדי לוודא שנעדרות פגיעות ניתנות.
Techopedia מסביר כלי לבדיקת חדירה
ניתן לסווג כלים לבדיקת חדירה קונבנציונאלית למספר צורות על סמך סוג הבדיקה שהם מבצעים. הקטגוריות השונות הינן כדלקמן:
- כלים מבוססי מארח: כלי בדיקה מבוססי מארח לרוב מריצים שרשרת בדיקות במערכת ההפעלה המקומית כדי לגלות את חולשותיה וחוזקותיה הטכניות. הם יכולים גם לאמת טעויות תצורה רגילות אחרות כמו גם השמטות במערכת ההפעלה.
- כלים מבוססי רשת: כלי בדיקה מבוססי רשת נועדו לבדוק את תצורת האבטחה של מערכת הפעלה ממקומות מרוחקים ברחבי רשת. כלי בדיקה אלה עשויים להעריך את מצב התיקון של התוכנה לשירות רשת, לבדוק כל שירותי רשת לא רצויים ושירותי רשת חלשים המאפשרים וכן הלאה.
- שגיאות לבדיקת יישומים: כלי זה מאפשר לבוחן האבטחה להתרכז יותר בצד ממשק המשתמש הגרפי תוך בדיקת שירות אינטרנט או יישום אינטרנט.
- כלי סריקת יישומים: כלי זה הוא הערך האחרון בקטגוריית כלי בדיקת החדירה. כלים אלה עוזרים לבצע סריקות בדיקת חדירה של יישומי תוכנה המשמשים למטרות כלליות.
כלי בדיקת חדירה מספקים דרך מהירה ופשוטה לזהות פגיעויות אבטחה ספציפיות. הם אינטואיטיביים ביותר, ואפילו יכולים להיות מופעלים על ידי משתמשים מתחילים.