ওয়েব পেনটেস্টিং বা পেনেট্রেশন টেস্টিং হচ্ছে যে পথ গুলো দিয়ে একজন এটাকার কম্পানীর সিস্টেমে ঢুকতে পারে সেই পথ গুলো খুজে বের করা। The Penetration Testing Execution Standard বা PTES মূলত কয়েকটা ভাগে ডিজাইন করা।
১. Pre-engagement Interactions
২. Intelligence Gathering
৩. Threat Modeling
৪. Vulnerability Analysis
৫. Exploitation
৬. Post Exploitation
৭. Reporting
পেনেট্রেশন বা পেনটেস্টিং Execution Standard বা PTES
PRE-ENGAGEMENT INTERACTIONS :
এটা হচ্ছে যখন আপনি আপনার ক্লায়েন্টের সাথে পেনটেস্টিং নিয়ে তার সিস্টেমের সুযোগ-সুবিধা নিয়ে বস্তারিত আলোচনা করে থাকেন। এই স্টেজকে আপনি একটা সুযোগ হিসেবে বিবেচিত করতে পারেন। যেখানে আপনি আপনার ক্লায়েন্টকে বিস্তারিত ভাবে তার সিস্টেমের পেনটেস্টিং করার ধাপ গুলো বুঝাতে পারবেন। কিংবা সিস্টেম সম্পর্কে সম্পূর্ণ ধারণা নেওয়া।
INTELLIGENCE GATHERING :
এই সেকশনে আপনার কাজ হচ্ছে সিস্টেম সম্পর্কে যত সম্ভব তথ্য যোগাড় করা। সেই সিস্টেমের ফুটপ্রিন্টিং, রেকোনাইসেন্স, নেটওয়ার্কের ভিতর ও বাইরের সকল তথ্য গুলো যোগাড় করা। পরবর্তীতে এই সেকশন সম্পর্কে অনেক আলোচনা করা হবে। একটা জিনিস মনে রাখবেন এই সেকশনটাই হচ্ছে সবচেয়ে গুরুত্বপূর্ণ। কারণ আপনি যত বেশী তথ্য যোগাড় করতে পারবেন সিস্টেম সম্পর্কে আপনি তত ভাল পেন্টেস্ট করতে পারবেন।
THREAT MODELING :
এই সেকশনে টেস্টার Intelligence Gathering এ যেই তথ্য গুলো পেয়েছে সেগুলোর উপর ভিত্তি করে চেক করে যে কোনো জানা(Existing) ভুলনারেবিলিটি আছে নাকি সেই সিস্টেমে। যখন আপনি Threat Modeling করবেন তখন আপনি সবচেয়ে কার্যকারী পথটি সহজেই খুজে পেতে পারেন আপনার তথ্য গুলোর দ্বারা। কিভাবে সেই সিস্টেমে এটাক হতে পারে, কোন পদ্ধতিতে ইত্যাদি।
VULNERABILITY ANALYSIS :
এটাকের সবচেয়ে কার্যকরী পথটা বের করার পর আপনার এখন ভাবতে হবে কিভাবে আপনি সিস্টেমে একসেস পাবেন। Vulnerability Analysis এ আপনাকে আগের সকল সেকশন থেকে প্রাপ্ত তথ্য গুলো একত্রিত করে বুঝতে হবে সিস্টেমে ঐ ভুলনারাবিলিটিটা সঠিক এবং সেই পথ দিয়েই সহজে সিস্টেমে ঢুকতে পারবেন।
EXPLOITATION :
এটি হচ্ছে পেনটেস্টিং এ সবচেয়ে মজার অংশ। Vulnerability Analysis থেকে প্রাপ্ত তথ্যের মাধ্যমেই এখানে পদ্ধতি গুলো অনুসরণ করা হয়। যেমণ কোথাও SQL vulnerable থাকলে সেখানে SQL injection করতে হয় কিংবা LFI থাকলে LFI।
POST EXPLOITATION:
Post Exploitation হচ্ছে পেনটেস্টিং এ সবচেয়ে জটিল বিষয়। এখানে নিজেকে অন্যভাবে দেখতে হবে সব কিছু। এখানে টার্গেট করা হয় সিস্টেমের কোনো একটা নির্দিষ্ট সেকশন। যেখানে সব জটিল তথ্য ও জটিল ভুলনেরাবিলিটি গুলো থাকে; যেগুলো কম্পানীর গুরুত্বপূর্ণ অনেকাংশে।
REPORTING:
এটা হচ্ছে সবচেয়ে গুরুত্বপূর্ণ জিনিস। আপনি সিস্টেমের কোথায় ভুল পেয়েছেন। কিভাবে সেটা পেয়েছেন। কি ভুল পেয়েছেন। কিভাবে এক্সপ্লয়েট করেছেন। কিভাবে সেটা ফিক্স করা যায়। সব কিছু একত্রিত করে যেই প্রতিষ্ঠানের জন্য পেন্টেস্টিং করছেন তাদের কাছে প্রদান করা।
©hackerbdweb
