Penetration Testing.

සාමාන්‍යයෙන් මේ සම්පූර්ණ ක්‍රියාවලිය ප්‍රදාන කොටස් කීපයකට බෙදෙල අපිට කතාකරන්න පුළුවන්....

1.Information Gathering.
 මම කලින් උදාහරණෙදි කිව්ව වගේ මෙතනදි අපි කරන්නෙ අපේ () එක ගැන    අවබොධයක් ගන්න එක,අපිට පුළුවන් තරම් තොරතුරු නිවැරදි මාර්ග වලින් එකතු      කරගන්න එක,මෙතනදි අපිට අන්තර්ජාලය හරි මොකකරි සමාගමක එක පරිඝණයක්    හරි මේ වගේ මොකක් හො තොරතුරු මූලාශ්‍රයක් පාව්චි කරන්න පුලුවන්.ඒ වගේම    පොර්ට් ස්කැනර්ස් වගේ ටූල් ඒවත් පාව්චි කරන්න පුලුවන්.

2.Threat Modeling.
 දැන් අපි කලින් පියවරේදි එකතු කරගත්ත විස්තර වල හැටියට,අදාල පරිගණකයට  එහෙම නැත්තම් පද්ධතියට ඇතුල් වෙන්නෙ කොහොමද කියන එක සැලසුම් කරන්න  ඔන.
 කලින් උදාහරණෙ එක්ක බැලුවොත් අපි පනින්න යන්නෙ ස්ලැබ් එකක් දාපු ගේකට නම්  වහල ගලවන්න ඔන කලමනා අරන් ගියාට වැඩක් වෙන්නෙ නැහැනෙ අන්න ඒ වගේ  තමයි.දැන් ඒ ගෙදර සීසීටීවී කැමරා තියේ නම් ඒව මග අරින්න ඔන එහෙම නැත්තම්  අක්‍රිය කරන්න ක්‍රමයක් හොයාගන්න ඔන,
 මේ වගේමයි පද්දතියක් එහෙම නැත්තම් පරිගණකයක් ගත්තත්,
 අපි ඔ.එස් එක මොකදද කියල හොයාගත්ත කියල හිතමු ඒ පරිගණකයෙ තියෙන  එතකොට අපිට පුළුවන් ඒකෙ තියෙන (Vulnerabilities)ආරක්ෂක දුර්වලතා මොනවද  කියල හොයල  ඒව පාවිච්චි කරන්න ක්‍රමයක් හදාගන්න.
 ඒක නිසා තමයි  මුලින් අපි හොයාගන්න තොරතුරු ගොඩක් වටින්නෙ.

3.Vulnerability Analysis
 දැන් අපි කරන්න යන්නෙ,හොයාගත්ත තොරතුරු වල හැටියට අදාල පද්ධතියෙ එහෙම  නැත්තම් පරිගණකයෙ තියෙන මෘදුකාංග එහෙම නැත්තම් මෙහෙයුම් පද්ධතියෙ  තියෙන ආරක්ෂක දොශ මොනවද කියල විශ්ලේෂණය කරන එක,මේක අපිටම   කරන්නත් පුළුවන් සෙව්ම් යන්ත්‍ර ඒ වගේම අදාල මෘදුකාංග සමාගමේ වෙබ් අඩවි වල  තියෙන තොරතුරු හොයල,ලගදි අප්ඩේට් එහෙම ආවනම් ඒකෙන් හරිගස්සපු දොශ  හොයාගන්න පුළුවන්,එතකොට සමරවිට අපි ඇතුල් වෙන්න හදන පරිගණකය  යාවත්කාලීන නොකරපු එකක් නම් අපිට ඒ Vulnerability එක පාවිච්චි කරන්නත් පුළුවන් වෙන්න  ඉඩක් තියෙනවනෙ....
 ඒ වගේම Vulnerability Scanner වගේ ටූල්ස් නුත් පාවිච්චි කරන්න පුලුවන්.

3.Exploitation.
 කලින් පියවරේදි අපි හොයාගත්ත Vulnerabilities පාව්චි කරල අදාල පරිගණකයට හරි  පද්ධතියට හරි ඇතුල් වෙන්න උත්සාහ කරන එක තමයි මෙතනදි  කරන්නෙ.මෙටාස්ප්ලොයිට් වගේ මෘදුකාංග අපිට පාවිච්චි කරන්න පුලුවන්.

4.Post Exploitation.
මේ පරිගණකය ජාල ගත එකක් නම් අදාල ජාලයෙ තියෙන මුද්‍රණ යන්ත්‍ර,වෙන පරිගණක වලටත් ඇතුල් වෙන්න පුළුවන් වෙන්න පුළුවන්,ඒ වගේම පරිගණකයට අපිට ආයෙ ලෙසියෙන් ඇතුල් වෙන්න පුළුවන් වෙන්න Backdoor හදල තියන්න,එහෙම නැත්තම් ෆ්යිල්ස් බාගන්න හො මකන්න මේ ඔනම දෙයක් මෙ පියවරේදි වෙන්න පුළුවන්.

5.Reporting.

 අපි එක එක පියවරේදි හොයාගත්ත තොරතුරු,අදාල පද්ධතියෙ තියෙන දුර්වලතා,අපිට  ඇතුල් වෙන්න පුළුවන් උනානම් ඒ කොහොමද,අපි පාවිච්චි කරපු Vulnerabilities  මොනවද,ඒකෙන් ඇතුල් උනාම කරන්න පුළුවන් මොනවද, ඒ දුර්වලතා වලට කෙටි  කාලීන වගේන දිගුකාලීන පිලියම් මොනවද,අදාල සමාගමේ එහෙම නැතිනම් පද්ධතියෙ  හරි පරිගණකය හරි ආරක්ෂාව මොනවගේ මට්ටමකද තියෙන්නෙ.මේ හැම දෙයක්ම  පිලිවෙලකට වාර්තාවක් හදල අදාල සමාගමය එහෙම නැතිනම් පද්ධතියෙ අයිතිකාර  පුද්ගලයන්ට භාර දෙන එක.


මන් හිතනව ඔයාල මේ ගැන පොඩි හරි දැනුමක් මේ ලිපියෙන් ගන්න ඇති කියල,මේ එක එක පියවර ගැන ඉදිරි ලිපි වලින් විස්තර ඇතුව කතා කරමු.
වැරදි අඩුපාඩු තියෙනවනම් කියල යන්න අමතක කරන්නත් එපා.