Xülasə Məqalədə kompüter şəbəkələrinin təhlükəsizliyi, kiber


“İnformasiya təhlükəsizliyinin aktual problemləri”



Yüklə 0,61 Mb.
Pdf görüntüsü
səhifə4/8
tarix07.04.2022
ölçüsü0,61 Mb.
#85131
növüXülasə
1   2   3   4   5   6   7   8
RS21 ETHICAL-HACKER-AND-PENETRATION-TEST-TOOLS

“İnformasiya təhlükəsizliyinin aktual problemləri” 

III respublika elmi-praktiki seminarı, 08 dekabr 2017-ci il 

93 


 

 

Etik 



hakerin 

qeyri-texniki 

bacarıqlarından  bəziləri 

aşağıdakılardır: 

 

Yeni texnologiyaları öyrənmə və uyğunlaşma 



bacarığı; 

 



Yüksək iş etikası, problem həll etmə və ünsiyyət 

bacarığı; 

 

Təşkilatın təhlükəsizlik siyasətinə riaət etməli; 



 

Standartlardan 



və 

qanunlardan 

xəbərdar 

olmalıdır. 

V.

 

KALİ LİNUX ƏMƏLİYYAT SİSTEMİ 



Kali Linux Debian əsaslı təhlükəsizliyin yoxlanılması üçün 

nəzərdə tutulmuş əməliyyat sistemidir. Kali Linux BackTrack 

tərtibatçıları  olan  Offensive  Security  tərəfindən  2013-cü  ildə 

yaradılmışdır. Hal-hazırda  da dəstəklənməkdədir. BackTrack- 

dəki bütün alətlər və sonradan əlavə olunanlarla birlikdə Kali 

Linux-da işləmək üçün 600-dən çox alət var. 

Offensive  Security  komandası  2007-ci  ildə  yaradılıb. 

Komanda  üzvləri  hücum  sistemləri  sahəsində  geniş  təcrübəsi 

olan  təhlükəsizlik  mütəxəssislərindən  ibarətdir.  Onlar  hücum 

ssitemləri  ilə  bağlı  informasiyaları,  təlimləri,  pulsuz  alətləri 

bölüşürlər.  Kali  linux  əməliyyat  sisteminin  yaradıcıları 

aşağıdakılardır. 



Mati  Aharoni 

(muts)  Kali  əməliyyat  sisteminin  əsas 

proqramçısı,  təlimçisi  və  Offesive  Security-nin  yaradıcısıdır. 

10  illik  peşəkər  nüfuzetmə  testeri  və  təhlükəsizlik  sahəsində 

kritik boşluqları aşkarlamışdır: 

Devon  Kearns 

(dookie)  Offensive  Security  təlimatçısı,  Kali 

Linux proqramçısı, Exploit bazası inzibatçısı, Metasploit (test 

hücumu  üçün  istifadə  edilən  alət)  proyektinin  ortaq 

yaradıcısıdır. 

Raphaël  Hertzog 

(buxy)  təcrübəli  Debian  proqramçısı  və 

məsləhətçi,  çox  tanınan  “Debian  Administrator’s  Handbook” 

kitabının müəllifidir. 

Kali  Linux  əməliyyat  sistemində  verilənlər  bazasının 

qiymətləndirilməsi, informasiyanın toplanması, exploit alətləri, 

skanerlər, şifrələrə hücum, stres test, snifinq, simsiz şəbəkələrə 

hücumlar, texnikanın hakinqi, backtrack xidmətləri və “reverse 

engineering”  kateqoriyalar  üzrə  yoxlamalar  aparmaq 

mümkündür [15]. 

 

VI.


 

NÜFUZETMƏ TESTLƏRİNİN METODOLOGİYASI 

Kompüter şəbəkələrinin təhlükəsizliyini qiymətləndirmək 

üçün  müxtəlif  üsullar  mövcuddur.  Bunlar  kompüter 

şəbəkələrinin 

təhlükəsizliyinin 

auditi, 

boşluqlarıının 

qiymətləndirilməsi  və  nüfuzetmə  testləridir.  Onlar  arasındakı 

fərqlər aşağıdakı kimi göstərmək olar: 



Təhlükəsizliyin  auditi 

–  təşkilatda  qəbul  edilmiş  standart, 

təhlükəsizlik siyasəti və proseduralarının yerinə yetirilməsinin 

uyğunluğunu yoxlayır [16]. 



Boşluqların  qiymətləndirilməsi  - 

əsas  hədəfi  informasiya 

sistemlərində boşluqların tapılmasına istiqamətlənmişdir lakin 

boşluqlardan  istifadə  zamanı  dəyə  biləcək  hər  hansı  zərərin 

indeksi göstərilmir. 

Nüfuzetmə  testləri  – 

kompüter  şəbəkələrinin  təhlükəsizliyinin 

qiymətləndirilməsinə metadoloji yanaşmadır, təhlükəsizliyin 

auditini  və  boşluqarın  qiymətləndirilməsini  əhatə  edərək 

hakerin  müvəffəqiyyətlə  boşluqlardan  istifadə  edərək  sistemə 

vura biləcəyi zərəri nümayiş etdirir. 

Nüfuzetmə 

testləri 

zamanı 

aşağıdakı 

test 

metodologiyalarından istifadə edilir [17]: 



OWASP 

– The Open Web Application Security Project (Açıq 

veb  aplikasiya  təhlükəsizlik  layihəsi)  açıq  mənbə  kodlu 

layihədir və veb aplikasiyalarının təhlükəsizliyi üçün proqram 

alətlərini  inkişaf  etdirir,  proqram  aplikasiyaları  və  məlumat 

bazasına əsaslanan sənədlərlə köməklik göstərir. 



OSSTMM 

–  Open  Source  Security  Testing  Methodology 

Manual (Açıq mənbə kodlu təhlükəsizlik test metadologiyası) – 

bu metadologiya yüksək səviyyəli təhlükəsizlik testləri aparır: 

məlumatların  idarə  edilməsi,  fırıldaqçılıq  və  sosial 

mühəndisliyə  nəzarət  səviyyəsi,  kompüter  şəbəkələri,  simsiz 

qurğular, fiziki təhlükəsizliyə nəzarət və müxtəlif təhlükəsizlik 

proseslərini əhatə edir. 



ISSAF 

– 

Information 

Systems 

Security 

Assessment, 

Framework



– 

İnformasiya  sistemlərinin  təhlükəsizliyinin 

qiymətləndirilməsi mühiti 

– 

açıq mənbə kodlu lyihədir və əsas 

hədəfi peşəkarlara köməklik göstərməkdir. 

EX-Council  LPT  Methodology  – 

LPT  metodologiyası 

informasiya  sistemlərinin  təhlükəsizlik  auditini  aparan  və 

sənaye sistemlərində qəbul edilmiş əsas metadologiyadır. 

 

VII.


 

VEB SAYTLARIN NÜFUZETMƏ TESTİ 

İstifadə edəcəyimiz əməliyyat sistemi Kali linux, alətlət isə 

NMAP,  NİKTO  və  WebSploit  olacaq.  İlk  olaraq  domenin 

hansı  İP  ünvana  bağlı  olduğunu  aydınlaşdıraq.  Bunun  üçün 

domenə ping əmri verməyimiz kifayət edir.(Şək.1) 

 

 

Şəkil 1. İP ünvanın müəyyənləşdirilməsi 



Şəkil1  –  dən  də  göründüyü  kimi  domeyn.com  saytının  İP 

ünvanı  müəyyənləşdirildi.  Bu  İP  ünvanına  brauzer  üzərindən 

giriş etsək əsasən aşağıdakı kimi səhifə açılacaq.(Şək.2) 

 

 



Şəkil 2. “LAMP stack” Veb platforması 

Şəkil  2  –  dən  göründüyü  kimi  açıq  mənbə  kodlu  “LAMP 

stack”  veb  platforması  istifadə  edilir.  Bu  Linux,  Apache, 

MySQL,  and  PHP/Python/Perl  dəstəkləyir.  Göstərilmiş 

platforma  SSL  sertifikatı  dəstəkləsədə  bu  ünvanda  SSL 

quraşdırılmayıb. SSL kompüter şəbəkələri üzərindən 





Yüklə 0,61 Mb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2022
rəhbərliyinə müraciət

    Ana səhifə