Segurtasun iraingarrien ziurtagirien azterketa | I. zatia
Partekatu
Ziurtagiriek funtsezko zeregina dute zibersegurtasunaren munduan, bi funtzio nagusi betetzen baitituzte. Lehenik eta behin, zibersegurtasunaren hainbat arlotako ezagutzak eta trebetasunak eskuratzen laguntzen dizute, eta bigarrenik, ezagutza eta trebetasun horiek dituzula frogatzeko modua eskaintzen dute. Arazoa da, gaur egun eskuragarri dauden ziurtagiri kopuru handia dela eta, egokia aukeratzea zaila izan daitekeela.
Artikulu honetan, segurtasun iraingarriaren arloan espezializatu nahi dutenentzat aukera sendotzat jotzen ditugun ziurtagiri desberdinak aztertuko ditugu. Guztiak guztiz praktikoak dira eta haien azterketak hainbat aktibo konprometitu behar diren benetako eszenatoki bat simulatzen du, hori baita gaitasun teknikoak dituzula frogatzeko modurik onena.
eJPT (Junior Penetration Tester)
Deskribapena
Audientzia objektiboa
Edukia
- Ebaluazio-metodologiak: Bilatu sistemak sare batean, identifikatu portu irekiak, zerbitzuak eta iturri publikoetatik enpresa bati buruzko informazioa atera.
- Ostalarien eta Sareen Pentesting: Sistemen ahuleziak identifikatzea, kodea identifikatu eta ustiatzea, tresna desberdinak erabiltzea, hala nola metasploit-a, portuak birbidaltzearen bidez pivotatzea, indar gordinaren erasoak eta hash cracking-a egitea.
- Web Application Pentesting: Web aplikazioetako ahultasunak identifikatu, ezkutuko fitxategiak eta direktorioak zenbatu eta web ahulguneak ustiatu, hala nola Cross-Site Scripting (XSS) edo SQL injekzioa.
- Ostalariaren eta sarearen auditoretza: zerrendatu sarearen eta zerbitzuen informazioa xede sistemetan aurkitutako fitxategietan oinarrituta. Gainera, bildu helburu-sistemetan erabiltzailearen kontuaren informazioa eta bota hash-ak.
Azterketa formatua
Prezioa
eWPT (Web Penetration Tester)
Deskribapena
Audientzia objektiboa
Edukia
- Zehaztasunez ebaluatu web aplikazioak praktika metodologikoen eta industriako estandarren arabera, ahultasunak identifikatuz, OWASP web-segurtasuneko proba-gidaren arabera.
- Erauzi informazioa webguneetatik ezagutza pasiboa eta OSINT teknikak erabiliz, baita xede-erakunde baten domeinu, azpidomeinu eta IP helbideetatik ere.
- Aztertu web zerbitzariaren metadatuen fitxategiak informazioa erakusteko eta zehaztu web aplikazio batean erabiltzen diren mota, bertsioa, teknologiak edo esparruak.
- Aztertu web-aplikazioen egitura eraso-bektore potentzialak identifikatzeko eta arakatze normalaren bidez eskura ez diren ezkutuko fitxategiak eta direktorioak ezagutzeko.
- Identifikatu eta ustiatu HTTP metodoen ezarpen okertik eratorritako ahuleziak, baita web zerbitzarietako konfigurazio okerrak ere.
- Probatu web-aplikazioak kredentzial lehenetsiak eta pasahitz ahulak ikusteko, eta saihestu autentifikazio-mekanismo ahulak edo hautsiak.
- Saioen kudeaketan ahuleziak identifikatu eta ustiatu, baita web-aplikazioen osagai zaurgarriak eta zaharkituak ustiatzea.
- Egin indar gordinaren erasoak saio-hasiera-inprimakien aurka eta ustiatu komandoak injektatzeko ahultasunak urruneko kodea exekutatzeko.
- Identifikatu eta ustiatu islatutako, gordetako XSS eta SQL injekzio ahuleziak, baita eduki-kudeatzaileen ahultasunak, esate baterako, WordPress.