प्रवेश परीक्षण को इन प्रणालियों की सुरक्षा में सुधार करने के लिए कंप्यूटर सिस्टम में सुरक्षा कमजोरियों को खोजने और उनका फायदा उठानेके लिए एक वैध और अधिकृत प्रयास के रूप में परिभाषित किया जा सकता है। इस प्रक्रिया में परीक्षण कमजोरियों के साथ-साथ तथाकथित "भेद्यता" हमले का पूरा सबूत प्रदान करना शामिल है। POC (अवधारणा का सबूत) । यह पुष्टि करने के लिए है कि रिपोर्ट की गई सुरक्षा त्रुटियां इसकी तरह हैं। इसके अलावा, प्रवेश परीक्षण विशिष्ट सिफारिशों के साथ समाप्त होता है। इनमें किसी परीक्षण के दौरान पाई गई त्रुटियों को ठीक करना शामिल है. संक्षेप में, इस प्रक्रिया को भविष्य के हमलों से कंप्यूटर और नेटवर्क की रक्षा में मदद करने के लिए डिज़ाइन किया गया है । पार्टिकेशन टेस्ट में पीएंटेस्टी, पीटी, हैकिंग,एथिकल हैकिंग,व्हाइट हैट हैकिंग जैसे नामों के तहत भी जाना जाता है। एक महत्वपूर्ण चयन प्रवेश परीक्षण और जोखिम मूल्यांकन या ऑडिट के बीच अंतर देखना है। लेखा परीक्षक पूछता है, "क्या आपके पास बैकअप है?" और पेनटेस्टर आपको सूचित करता है, "हमारे पास आपका बैकअप है" ????. सुरक्षा समुदाय में कई लोग (और व्यवसाय) इन धारणाओं का एक दूसरे के साथ उपयोग करते हैं।जोखिम आकलन संभावित सुरक्षा मुद्दों पर ध्यान केंद्रित करने वाली सेवाओं और प्रणालियों की समीक्षा करने की एक प्रक्रिया है, जबकि शोषण और वास्तविक हमलों के माध्यम से प्रवेश परीक्षण सुरक्षा त्रुटियों को इंगित करते हैं जो वास्तव में मौजूद हैं । प्रवेश परीक्षण का आयोजन हैकर गतिविधि का अनुकरण और तैयार हमले वैक्टर देने के द्वारा कमजोरियों का आकलन करने से परे चला जाता है । प्रवेश परीक्षणों को निम्नलिखित कारकों को ध्यान में रखते हुए कई श्रेणियों में विभाजित किया जा सकता है:
- उपलब्ध ज्ञान का स्तर;
- परीक्षण का दायरा;
- परीक्षण टीम की संरचना;
- परीक्षण कैसे किए जाते हैं;
- परीक्षणों का स्थान;
- एसडीएलसी चक्र(विकास जीवन चक्र) में स्थान;
निम्नलिखित उपरोक्त मानदंडों के आधार पर प्रवेश परीक्षणों का वर्गीकरण है: (क) उपलब्ध ज्ञान का स्तर:
- ब्लैकबॉक्स – एक विधि जिसमें परीक्षक के पास हमला प्रणाली के बारे में न्यूनतम जानकारी होती है। आमतौर पर, यह केवल परीक्षणों के दायरे के बारे में जानकारी है। यह बाहर से एक हैक हमले अनुकरण करने के लिए है (हमलावर एक प्रणाली है जिसके बारे में वह कुछ भी नहीं जानता है में हैक करने की कोशिश करता है);
- ग्रेबॉक्स – एक विधि जिसमें परीक्षक प्रणाली के बारे में ज्ञान का एक निश्चित स्तर है, लेकिन स्रोत कोड तक पहुंच के बिना। यह आम तौर पर डेटा संरचना में दृश्यता है, उदाहरण के लिए एक कम विशेषाधिकार उपयोगकर्ता खाते के माध्यम से है कि इसके साथ साझा किया जाता है । इस हमले का उद्देश्य कंपनी के भीतर से हैकिंग हमले का अनुकरण करना है (हमलावर कंपनी का एक कर्मचारी है, या सिस्टम में खाता है);
- व्हाइटबॉक्स – एक विधि जिसमें परीक्षण व्यक्ति के पास तकनीकी दस्तावेज तक पूरी पहुंच होती है। इस परीक्षण का मुख्य उद्देश्य स्रोत कोड की समीक्षा करना और इसमें सुरक्षा त्रुटियों का पता लगाना है;
(ख) परीक्षण का दायरा:
- आक्रामक परीक्षण, जिसमें वास्तविक हमले का अनुकरण करना शामिल है, उदाहरण के लिए डेटा को संशोधित करना या सेवा को अवरुद्ध करना। वे इस प्रकार प्रणाली के कामकाज को प्रभावित करते हैं;
- गैर-आक्रामक परीक्षण, जो आक्रामक परीक्षणों के विपरीत हैं, इसलिए वे सिस्टम के कामकाज को प्रभावित नहीं करते हैं। वे व्यावहारिक सत्यापन के बिना कमजोरियों को खोजने पर भरोसा करते हैं, उदाहरण के लिए स्रोत कोड की समीक्षा करके।
(ग) टेस्ट टीम की संरचना:
- कंपनी के आंतरिक कर्मचारियों द्वारा किए गए परीक्षण;
- तृतीय-पक्ष अनुसंधान;
- मिश्रित संरचना, यानी कंपनी के आंतरिक कर्मचारियों और किसी तीसरे पक्ष के कर्मचारियों द्वारा किए गए परीक्षण;
(घ) परीक्षण कैसे किए जाते हैं:
- विशेषज्ञ परीक्षण, मैन्युअल रूप से किए जाते हैं, यानी, मैन्युअल रूप से एक योग्य विशेषज्ञ द्वारा;
- समर्पित उपकरण जैसे नेटवर्क स्कैनर, स्रोत कोड एनालाइजर का उपयोग करके किए गए स्वचालित परीक्षण;
- मिश्रित परीक्षणों में मैनुअल और स्वचालित दोनों परीक्षण शामिल थे;
(ङ) परीक्षण स्थान:
- आंतरिक परीक्षण, फायरवॉल जैसी सुरक्षा को दरकिनार करते हुए कंपनी के भीतर से हमले का अनुकरण करना, अक्सर इंट्रानेट का उपयोग करके;
- बाहरी परीक्षण, एक बाहरी हमले पर सिमुलेशन से मिलकर बनता है, उदाहरण के लिए इंटरनेट के माध्यम से। इस मामले में, हमलावर फ़ायरवॉल तंत्र या आवेदन फिल्टर पर काबू पाने के लिए अपने रास्ते में है;
(च) प्रणाली विकास जीवनचक्र (एसडीएलसी):
- सॉफ्टवेयर विकास के दौरान परीक्षण। तथाकथित परीक्षण संचालित विकास;
- स्वीकृति परीक्षण, पहले से ही बनाए गए सॉफ्टवेयर पर प्रदर्शन किया।
