Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.



Hasonló dokumentumok
Pánczél Zoltán / Lyukvadászok szabálykönyve

Írásjogtól Rootig AIX-on

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Tisztelettel köszöntöm a RITEK Zrt. Regionális Információtechnológiai Központ bemutatóján.

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Vállalati WIFI használata az OTP Banknál

Nagyméretű webes projektek a felhőben

Hálózati szolgáltatások biztosításának felügyeleti elemei

Silent Signal Kft. Webáruházak biztonsági vizsgálatainak lehetőségei és tapasztalatai Szabó Péter Veres-Szentkirályi András

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

Összefoglaló jelentés

Gyakorlati vizsgatevékenység B

Rubin SPIRIT TEST. Rubin firmware-ek és hardverek tesztelése esettanulmány V1.0. Készítette: Hajnali Krisztián Jóváhagyta: Varga József

OJOTE - Soron kívüli beutalhatóság vizsgálat

Gyakorlati vizsgatevékenység. Graf Iskola

WebService tesztelés. SOAPui Pro, GreenPepper és Confluence használatával. Verhás & Verhás Szoftver Manufaktúra KNOW-HOW


1. SZÁMÚ FÜGGELÉK MŰSZAKI LEÍRÁS

Klinikai audit standard. NEVES Fórum október 20.

Számítástechnikai kommunikációs lehetőségek a QB-Pharma rendszerrel. Előadó: Bagi Zoltán Quadro Byte Kft. ügyvezető

3 A hálózati kamera beállítása LAN hálózaton keresztül

Verifikáció és validáció Általános bevezető

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu>

AirPrint útmutató. 0 verzió HUN

Diákhitel igénylés folyamata

Hálózati alapismeretek

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Gyors felszerelési útmutató

Teszt terv Új funkció implementációja meglévı alkalmazásba

Advanced PT activity: Fejlesztési feladatok

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

Szakdolgozati, TDK témajavaslatok

Az internet az egész világot behálózó számítógép-hálózat.

Projekt és folyamat alapú dokumentum kezelés. az Alfresco rendszer használatával

AirPrint útmutató. 0 verzió HUN

Teljes körű weboldal, API és DDoS védelmi szolgáltatás

További részletes tájékoztatásért lásd: System Administration Guide (Rendszeradminisztrátori útmutató).

Informatikai biztonsági ellenőrzés

Az azonosító számú, Internetes alkalmazásfejlesztő megnevezésű elágazás szakmai követelménymoduljainak

Programrendszerek tanúsítása szoftverminőség mérése

Gyakorlati vizsgatevékenység A

m 3 /óra teljesítményű gázmérők távfelügyeletének telepítési és üzemeltetési tapasztalatai

Jogosultság igénylési folyamatok egységesítése a Magyar Telekom csoportnál. Magyar Telekom IAM rendszer Pálfy Zsolt Levente , 1.

Ez a Használati útmutató az alábbi modellekre vonatkozik:

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

Antenna Hungária Jövőbe mutató WiFi megoldások

GYAKRAN ISMÉTELT KÉRDÉSEK

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Előadók: Angyal Gergely (Raiffeisen), tesztelési csoportvezető Kováts Márton (KFKI), szenior rendszermérnök

Biztonsági auditálás

1. Bevezető. 2. Sérülékenységek

Megjegyzés vezeték nélküli LAN felhasználóknak

SZERVIZ 7. a kreatív rendszerprogram. Telepítési dokumentáció Szerviz7 DEMO alkalmazásokhoz. Verzió: 08/ 2010

1. Rendszerkövetelmények

SZÓBELI ÉRETTSÉGI TÉMAKÖRÖK

A Soproni Egyetem Neptun hallgatói kézikönyv első éves hallgatók számára

Ez a telepítési dokumentum segítséget nyújt abban, hogy szabályosan telepítse az Áfa átállító szoftvert Szerviz 7 programhoz.

Szolgáltatási szint megállapodás

Az előadási anyagot összeállította: dr. Váró György

Miskolci Egyetem Általános Informatikai Tanszék

A tesztelés feladata. Verifikáció

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ

MOBILTELEFONON keresztüli internet telefonálás

Kitöltési útmutató a csatlakozási dokumentumokhoz

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

MŰSZAKI KÖVETELMÉNYEK, A KÖRKERESŐ SZOFTVER SPECIFIKÁCIÓJA, KÖLTSÉGVETÉS. A) Műszaki követelmények

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

TELEPÍTÉSI ÉS FELHASZNÁLÓI ÚTMUTATÓ

Hogyan tudom soros eszközeimet pillanatok alatt hálózatba kötni?

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

Információ és kommunikáció

ALKALMAZÁS KERETRENDSZER

e-volúció Az elektronikus bankolás jelene és jövője Gyimesi István, fejlesztési vezető, Cardinal Kft.

COOKIE (SÜTI) SZABÁLYZAT

Sulidoc Iskolai dokumentum megosztó Dokumentáció

Megfelelés a PSD2 szabályozásnak, RTS ajánlásokkal Electra openapi

Gyakorlati vizsgatevékenység

Az azonosító számú, Webmester megnevezésű elágazás szakmai követelménymoduljainak azonosítója megnevezése Számítógép

AGRIA Bélapátfalva Takarékszövetkezet 3346 Bélapátfalva, Május 1. u. 2/a. 3/7. Elektronikus Számlavezetési Üzletszabályzat

hardver-szoftver integrált rendszer, amely Xwindow alapú terminálokat szervez egy hálózatba

WEB2GRID: Desktop Grid a Web 2.0 szolgálatában

Ez a felhasználói útmutató a következő modellekre vonatkozik:

FELNŐTTKÉPZÉSI SZAKMAI PROGRAMKÖVETELMÉNY

Wi - Fi hálózatok mérése (?) Tóth Tibor

Grayteq. Grayteq DLP Teljesítmény Benchmark. Grayteq DLP Benchmark. Sealar Corporate Proprietary Commercial-in-confidence

Projekt beszámoló. Könyvelési Szakértői Rendszer Kifejlesztése Repetitív Könyvelési Feladatok Szabályalapú Feldolgozására

Silent Signal Kft. WebShop Tuning. Bálint. Varga-Perke

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

(Teszt)automatizálás. Bevezető

A Népszámlálás infokommunikációs háttere (Miért érdekes a Népszámlálás?) Kópházi József Központi Statisztikai Hivatal

Gyakorlati vizsgatevékenység. Graf Iskola

Alkalmazások fejlesztése A D O K U M E N T Á C I Ó F E L É P Í T É S E

OSINT. Avagy az internet egy hacker szemszögéből

ELEKTRONIKUS MUNKABÉRJEGYZÉK MODUL

Szolgáltatás Orientált Architektúra a MAVIR-nál

Gyakorlati vizsgatevékenység A

.. számú Egyedi előfizetői szerződés.számú módosítása IP Complex Plusz szolgáltatás IPsound+ opció igénybevételére

Átírás:

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.hu. 1

Tartalom 1. BEVEZETŐ... 3 1.1 Architektúra (terv) felülvizsgálat... 3 1.2 Automatikus vizsgálat... 3 1.3 Behatolás tesztelés (penetration testing)... 3 1.4 Belső vizsgálat... 3 1.5 Black-box vizsgálat... 3 1.6 Etikus hackelés (ethical hacking)... 3 1.7 Forráskód analízis... 4 1.8 Gray-box vizsgálat... 4 1.9 Hálózati teszt... 4 1.10 Hardening... 4 1.11 Kliens oldali biztonsági teszt... 4 1.12 Konfiguráció vizsgálat... 4 1.13 Környezet vizsgálat (alkalmazás tesztnél)... 5 1.14 Külső vizsgálat... 5 1.15 Sérülékenység vizsgálat... 5 1.16 Social engineering... 5 1.17 Szerver vizsgálat... 5 1.18 Teszt felhasználó... 5 1.19 Teszt rendszer/éles rendszer... 5 1.20 Tesztelési módszertan... 5 1.21 Túlterheléses teszt... 5 1.22 Visszaellenőrzés... 6 1.23 Webalkalmazás teszt... 6 1.24 White-box vizsgálat... 6 1.25 Wi-Fi teszt... 6 2

1. BEVEZETŐ A fogalomtár célja, hogy az etikus hackelési projektek során tapasztalható definíciós zavarokat csökkentse, valamint elősegítse egy jól meghatározott, az ügyfél számára megfelelő vizsgálat elvégzését. 1.1 Architektúra (terv) felülvizsgálat A kialakításra váró vagy kialakított architektúra terv felülvizsgálata biztonsági szempontból, amely során a támadási felületek minimalizálása és az adott környezet maximális biztonsági szintjének elérése a cél. 1.2 Automatikus vizsgálat A szakértők egy sérülékenység azonosításra alkalmas szoftver segítségével megvizsgálják az adott rendszert, alkalmazást. A vizsgálat nem teljes körű, összetettebb hibákat nem képes detektálni, hamis pozitív, hamis negatív találatokat ki kell szűrni az eredményből. A vizsgálat alkalmazása speciális esetekben javasolt, és ilyenkor legyen része a találatok manuális ellenőrzése és az eredmények különálló, érthető dokumentálása. 1.3 Behatolás tesztelés (penetration testing) Írásos megbízás során a megbízó saját üzemeltetési hatáskörébe tartozó rendszerelemek (szerver, hálózat, alkalmazás, szolgáltatás stb.) biztonsági felülvizsgálatára ad engedélyt, felhatalmazást. A vizsgálat(ok) során a tesztelők feladata meghatározni, hogy a vizsgálat tárgyát képező rendszerbe be lehet-e hatolni az adott vizsgálati körülmények között, vagy nem. A vizsgálatok végén az elvégzett feladatok dokumentálása szükséges. 1.4 Belső vizsgálat A vizsgálat elvégzéséhez a megbízó egy belső hálózati hozzáférést biztosít a szakértőknek a munkavégzéshez. A vizsgálat szimulálhat akár egy munkavállalót, belső hálózatba jutott külső támadót is. 1.5 Black-box vizsgálat A vizsgálatok megkezdéséhez a megbízó csak minimális információkat szolgáltat (pl. IP cím, cégnév, weboldal, stb.) a tesztelő szakértők számára. Ilyen vizsgálatokat a nyilvános elérésű rendszerek esetén javasolt elvégezni (Internetes megjelenés (nem csak web!), Wi-Fi hálózat, stb.). 1.6 Etikus hackelés (ethical hacking) Írásos megbízás során a megbízó saját üzemeltetési hatáskörébe tartozó rendszerelemek (szerver, hálózat, alkalmazás, szolgáltatás stb.) biztonsági felülvizsgálatára ad engedélyt, felhatalmazást. A vizsgálat(ok) során a tesztelők feladata a lehető legtöbb hiba meghatározása, majd részletes dokumentálása az elvégzett feladatoknak. A humán és fizikai védelmi megoldások tesztelése - social engineering - is ebbe a fogalomkörbe tartozik. 3

1.7 Forráskód analízis A szakértők az alkalmazás forráskódjának birtokában azon biztonsági felülvizsgálatot végeznek. A teszt célja a legtöbb biztonsági szempontból kifogásolható megvalósítás azonosítása, kiszűrése. Javasolt, hogy az automatikus ellenőrzések mellett a vizsgálatoknak intuitív ellenőrzés is legyen része. Annak érdekében, hogy a feltárt problémák kihasználhatósága is ellenőrzésre kerüljön, javasolt tesztrendszert biztosítani a vizsgálathoz. 1.8 Gray-box vizsgálat A vizsgálatok megkezdéséhez a megbízó az adott rendszer elérésén túl még plusz információkat szolgáltat a tesztelést végző szakértők számára. A plusz információk lehetnek: hozzáférés a tesztelt rendszerhez, alkalmazáshoz; forráskód a könnyebb hibaazonosítás érdekében (nem kódaudit, csak plusz információ). Az ilyen típusú vizsgálatokat olyan rendszerelemeken javasolt elvégezni, ahol korlátozott, regisztrációval létrehozható felhasználói hozzáféréssel lehetséges műveleteket végezni (pl. Netbank). 1.9 Hálózati teszt A vizsgálat elvégzéséhez a megbízó egy belső hálózati hozzáférést biztosít a szakértőknek a munkavégzéshez. A szakértők feladata a hálózati eszközök és az alkalmazott hálózati protokollok biztonsági hiányosságainak meghatározása. 1.10 Hardening A vizsgálat során a szakértőknek a támadási felület csökkentése érdekében javaslatokat kell tenni a vizsgált rendszer biztonsági beállításaival kapcsolatosan. Általában konfiguráció elemzés és egyéb tesztek képezhetik részét a vizsgálatnak. Javasolt elvégezni kritikus rendszerek vagy üzletileg kritikus információkat kezelő rendszerek esetén. 1.11 Kliens oldali biztonsági teszt A megbízó által használt munkaállomások biztonsági felülvizsgálata. A teszt kiterjedhet konfiguráció vizsgálatra, kliens oldali alkalmazások biztonsági ellenőrzésére (böngészők, dokumentum olvasók, stb.). Javasolt elvégezni, amennyiben a vállalat egységes szoftverkörnyezetet használ. Egyéb esetekben az üzletileg kritikus információkat kezelő személyek munkaállomásának vizsgálata javasolt. 1.12 Konfiguráció vizsgálat A kijelölt rendszerelem konfigurációs beállításainak birtokában határozzák meg a szakértők a lehető legtöbb biztonsági problémát. Tipikusan hálózati eszközök, alkalmazás szerverek, operációs rendszerek beállításainak felülvizsgálatára szolgáló vizsgálat típus. 4

1.13 Környezet vizsgálat (alkalmazás tesztnél) Alkalmazás tesztelésnél architekturálisan szorosan összefüggő rendszerkomponensek biztonsági vizsgálata (pl. webalkalmazásnál a kiszolgáló szerver teljes körű vizsgálata). 1.14 Külső vizsgálat A vizsgálat elvégzése internet, DMZ, külső partner, wireless hálózat, egyéb hálózat irányából történik. A vizsgálat szimulálhat egy külső támadót. 1.15 Sérülékenység vizsgálat A vizsgálat során a lehető legtöbb biztonsági hiányosság meghatározása. A vizsgálatokat akkor is el kell végezni, ha az első vizsgálati pontnál teljes hozzáférést sikerült szerezni a vizsgálat tárgyát képező rendszer felett. 1.16 Social engineering Írásos megbízás során a megbízó saját munkavállalóinak biztonságtudatos viselkedésének felülvizsgálatára ad engedélyt, felhatalmazást. A vizsgálat(ok) során a tesztelők feladata meghatározni, hogy a vizsgált munkavállalókkal a szerződésben meghatározott módon (e-mail, telefon, stb.) felvéve a kapcsolatot rávehetők-e arra, hogy a szervezet IT rendszereinek biztonságát megsértsék, akár információ (jelszavak és egyéb érzékeny adat) átadásával, akár ehhez hozzásegítő műveletek elvégzésével. 1.17 Szerver vizsgálat A vizsgálat során a megbízó által kijelölt szervereken elérhető összes szolgáltatás biztonsági hiányosságainak meghatározása. Egyéb vizsgálati elemeket is magában foglalhat pl. webalkalmazás teszt. 1.18 Teszt felhasználó A vizsgálatok végrehajtásához szükséges jogosultsággal rendelkező felhasználó, amely üzletileg káros műveleteket nem tud elvégezni (nagy értékű utalás, vásárlás, egyebek...). 1.19 Teszt rendszer/éles rendszer Élesnek nevezünk minden, a felhasználók számára elérhető, üzleti logikát megvalósító alkalmazást. Tesztnek nevezzük az olyan rendszereket, melyek a felhasználók számára nem elérhetők, de a felhasználás céljától (integrációs, fejlesztői, stb.) függő mértékben az élessel megegyező módon valósítanak meg üzleti logikát. 1.20 Tesztelési módszertan A biztonsági vizsgálat fázisait, az ezek során elvégzendő vizsgálati lépéseket, valamint a lépések megvalósításához ajánlott módszereket és eszközöket nemzetközi ajánlások alapján meghatározó útmutató. 1.21 Túlterheléses teszt A vizsgálat során hálózati vagy alkalmazás szinten a cél rendszer erőforrásainak felhasználása, amely mellett a normális kérések kiszolgálása nem válik lehetővé. A 5

tesztelésnél megkülönböztetünk egy vonalról végzett (alacsony sávszélességű) és több vonalról végzett (elosztott, nagy sávszélességű) tesztelési eljárást. 1.22 Visszaellenőrzés Az elvégzett vizsgálatok során feltárt hiányosságok megfelelő javításának ellenőrzése. Nem új, teljes körű vizsgálat, csak a korábban feltárt hibák ellenőrzése a cél. 1.23 Webalkalmazás teszt A teszt során csak a kijelölt webalkalmazás biztonsági vizsgálatát kell elvégezni. Javasolt elvégezni minden dinamikus tartalommal, szenzitív információval rendelkező webalkalmazás estén. Bizonyos esetekben a környezet vizsgálata is javasolt. A leggyakoribb vizsgálatok közé tartozik. 1.24 White-box vizsgálat A vizsgálatok megkezdéséhez a megbízó teljes hozzáférést (privilegizált) biztosít a tesztelendő rendszerhez. A szakértők egy teljes körű auditot végeznek az adott környezeten (operációs rendszer és szolgáltatások biztonsági vizsgálata, hardening javaslatok, alkalmazás vizsgálatok, konfiguráció elemzés, stb.). Az ilyen típusú vizsgálatokat kritikus infrastruktúra elemeken javasolt elvégezni. 1.25 Wi-Fi teszt A vezeték nélküli hálózat biztonsági hiányosságait meghatározó vizsgálati típus. 6

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés