侵入テストソフトウェアの種類は何ですか?
侵入テストソフトウェアにはさまざまな種類があり、侵入テスト担当者は、一般の人々が広く利用できる特殊なアプリケーションとプログラムの両方を利用することがよくあります。 通常、侵入テストには多くの手順が関連付けられているため、各フェーズには異なる種類のソフトウェアが必要です。 ほとんどのタイプの侵入テストソフトウェアが該当する基本的なカテゴリは、ポート、脆弱性、およびアプリケーションスキャナーです。 これらのプログラムの中にはスキャンのみが可能なものもあれば、発見された脆弱性に対する攻撃を開始するために使用できるものもあります。 電子メールプログラムなどの基本的なソフトウェアツールも、侵入テストのソーシャルエンジニアリングの側面を実行するのに役立ちます。
侵入テストは、オンラインデータ、サーバー、およびアプリケーションのセキュリティ保護を支援することを目的とした、さまざまなアクティビティを網羅する包括的な用語です。 侵入テストの他の用語には、「ホワイトハット」および「倫理的」ハッキングが含まれます。これは、侵入テスターが悪意のあるハッカーが一般的に使用する同じツールの多くを使用するためです。 違いは、ペネトレーションテスターが弱点と脆弱性を識別するために雇われているため、実際の攻撃が発生する前にそれらを保護できることです。
侵入テストのプロセスには多くの異なるステップが含まれており、侵入テストが可能なテクノロジーとソフトウェアにはさまざまな種類があります。 つまり、侵入テストでは多くの異なる種類のソフトウェアを使用できるということです。 ポートスキャナーは、情報収集フェーズで一般的に使用される侵入テストソフトウェアの一種です。 このタイプのソフトウェアは、攻撃中に標的となる可能性のある開いているポートがないかリモートホストをスキャンするように設計されています。 通常、ポートスキャンソフトウェアを使用して、リモートホストで実行されているオペレーティングシステム(OS)を判別することもできます。
脆弱性スキャナーは、別の一般的に使用される侵入テストソフトウェアです。 このタイプのソフトウェアは通常、多くの既知の脆弱性でプログラムされています。 リモートホストにこれらの脆弱性がある場合、ソフトウェアは多くの潜在的なエクスプロイトと攻撃を実装するように設定できます。 このタイプのソフトウェアは、侵入テストのワークフローを合理化できるポートスキャナーと組み合わせることもあります。
他の状況では、アプリケーションスキャナーと呼ばれる侵入テストソフトウェアの種類も役立ちます。 このタイプのソフトウェアは、Webベースのアプリケーションをスキャンしてから、さまざまな攻撃を実行しようとします。 アプリケーションスキャナーで採用される一般的な攻撃には、Cookie操作、構造化照会言語(SQL)挿入、およびバッファーオーバーランが含まれます。
一部の侵入テストには、ソフトウェアを使用する場合と使用しない場合があるソーシャルエンジニアリングの側面もあります。 このタイプの侵入テストは、人間のセキュリティ上の弱点を効果的に特定することができ、テスターは多くの場合、欺information的な手法を使用して機密情報にアクセスします。 この種の侵入テストでは、貴重なデータにアクセスするために、電話での会話や物理的なやり取りを使用することもよくありますが、メールソフトウェアを使用して連絡を取ることもあります。