পেনেট্রেশন টেস্টিং হচ্ছে যে পথ গুলো দিয়ে একজন এটাকার কম্পানীর সিস্টেমে ঢুকতে পারে সেই পথ গুলো খুজে বের করা। The Penetration Testing Execution Standard বা PTES মূলত কয়েকটা ভাগে ডিজাইন করা।
১. Pre-engagement Interactions
২. Intelligence Gathering
৩. Threat Modeling
৪. Vulnerability Analysis
৫. Exploitation
৬. Post Exploitation
৭. Reporting
এটা হচ্ছে যখন আপনি আপনার ক্লায়েন্টের সাথে পেনটেস্টিং নিয়ে তার সিস্টেমের সুযোগ-সুবিধা নিয়ে বস্তারিত আলোচনা করে থাকেন। এই স্টেজকে আপনি একটা সুযোগ হিসেবে বিবেচিত করতে পারেন। যেখানে আপনি আপনার ক্লায়েন্টকে বিস্তারিত ভাবে তার সিস্টেমের পেনটেস্টিং করার ধাপ গুলো বুঝাতে পারবেন। কিংবা সিস্টেম সম্পর্কে সম্পূর্ণ ধারণা নেওয়া।
এই সেকশনে আপনার কাজ হচ্ছে সিস্টেম সম্পর্কে যত সম্ভব তথ্য যোগাড় করা। সেই সিস্টেমের ফুটপ্রিন্টিং, রেকোনাইসেন্স, নেটওয়ার্কের ভিতর ও বাইরের সকল তথ্য গুলো যোগাড় করা। পরবর্তীতে এই সেকশন সম্পর্কে অনেক আলোচনা করা হবে। একটা জিনিস মনে রাখবেন এই সেকশনটাই হচ্ছে সবচেয়ে গুরুত্বপূর্ণ। কারণ আপনি যত বেশী তথ্য যোগাড় করতে পারবেন সিস্টেম সম্পর্কে আপনি তত ভাল পেন্টেস্ট করতে পারবেন।
এই সেকশনে টেস্টার Intelligence Gathering এ যেই তথ্য গুলো পেয়েছে সেগুলোর উপর ভিত্তি করে চেক করে যে কোনো জানা(Existing) ভুলনারেবিলিটি আছে নাকি সেই সিস্টেমে। যখন আপনি Threat Modeling করবেন তখন আপনি সবচেয়ে কার্যকারী পথটি সহজেই খুজে পেতে পারেন আপনার তথ্য গুলোর দ্বারা। কিভাবে সেই সিস্টেমে এটাক হতে পারে, কোন পদ্ধতিতে ইত্যাদি।
এটাকের সবচেয়ে কার্যকরী পথটা বের করার পর আপনার এখন ভাবতে হবে কিভাবে আপনি সিস্টেমে একসেস পাবেন। Vulnerability Analysis এ আপনাকে আগের সকল সেকশন থেকে প্রাপ্ত তথ্য গুলো একত্রিত করে বুঝতে হবে সিস্টেমে ঐ ভুলনারাবিলিটিটা সঠিক এবং সেই পথ দিয়েই সহজে সিস্টেমে ঢুকতে পারবেন।
এটি হচ্ছে পেনটেস্টিং এ সবচেয়ে মজার অংশ। Vulnerability Analysis থেকে প্রাপ্ত তথ্যের মাধ্যমেই এখানে পদ্ধতি গুলো অনুসরণ করা হয়। যেমণ কোথাও SQL vulnerable থাকলে সেখানে SQL injection করতে হয় কিংবা LFI থাকলে LFI।
Post Exploitation হচ্ছে পেনটেস্টিং এ সবচেয়ে জটিল বিষয়। এখানে নিজেকে অন্যভাবে দেখতে হবে সব কিছু। এখানে টার্গেট করা হয় সিস্টেমের কোনো একটা নির্দিষ্ট সেকশন। যেখানে সব জটিল তথ্য ও জটিল ভুলনেরাবিলিটি গুলো থাকে; যেগুলো কম্পানীর গুরুত্বপূর্ণ অনেকাংশে।
এটা হচ্ছে সবচেয়ে গুরুত্বপূর্ণ জিনিস। আপনি সিস্টেমের কোথায় ভুল পেয়েছেন। কিভাবে সেটা পেয়েছেন। কি ভুল পেয়েছেন। কিভাবে এক্সপ্লয়েট করেছেন। কিভাবে সেটা ফিক্স করা যায়। সব কিছু একত্রিত করে যেই প্রতিষ্ঠানের জন্য পেন্টেস্টিং করছেন তাদের কাছে প্রদান করা।
লিখাটি এখান থেকে নেওয়া
আমি মাহমুদুল হাসান। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 11 বছর 6 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 44 টি টিউন ও 25 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 0 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
