">

Vulnerability Assessment tutorial for beginners

Vulnerability Assessment tutorial for beginners | how to do vulnerability assessment

vulnerability assessment and penetration testing pdf
vulnerability assessment meaning in hindi

आज हम vulnerability assessment and penetration testing (VAPT) का एक series शुरू कर रहें है। यह आर्टिकल vapt series का पहला सीरीज है। इसमें हम आपको vulnerability assessment के बारे में बताये है। मैं आशा और उम्मीद करता हूँ आपको पसंद आएगा और आप कुछ नया सीखेंगे। इस आर्टिकल में जानेगे की vulnerability assessment meaning in hindi, how to do vulnerability assessment, vulnerability assessment free tools इत्यादि के बारें में। 
{tocify} $title={Table of Contents}

Vulnerability Assessment meaning in hindi

आज की दुनिया में, महत्वपूर्ण सूचनाओं की सुरक्षा के लिए संगठन information technology पर बहुत अधिक निर्भर हैं। यह जानकारी वित्त, अनुसंधान और विकास, कर्मियों, वैधता और सुरक्षा के क्षेत्रों से जुड़ी है। Vulnerability assessments scan, security weaknesses के लिए नेटवर्क को स्कैन करता है।

Attackers target organization's network, communications infrastructure और end systems में security loopholes की पहचान करने के लिए vulnerability analysis करते हैं। पहचानी गई vulnerabilities का उपयोग attackers द्वारा उस target network का और अधिक exploit करने के लिए किया जाता है।

विभिन्न internal और external threats से किसी भी संगठन के संसाधनों और बुनियादी ढांचे को सुरक्षा प्रदान करने में Vulnerability assessment एक प्रमुख भूमिका निभाता है। एक नेटवर्क को सुरक्षित करने के लिए, एक administrator को patch प्रबंधन करने, उचित एंटीवायरस सॉफ़्टवेयर स्थापित करने, कॉन्फ़िगरेशन की जाँच करने, third-party applications में ज्ञात समस्याओं को हल करने और डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ हार्डवेयर का troubleshoot करने की आवश्यकता होती है। ये सभी गतिविधियाँ एक साथ एक vulnerability assessment का गठन करती हैं।

यह Series vulnerability assessment concepts के परिचय के साथ शुरू किया हूँ। यह विभिन्न vulnerability scoring systems, vulnerability databases, vulnerability management life cycles, और vulnerability assessment करने के लिए उपयोग किए जाने वाले विभिन्न तरीकों और tools के बारें में हम आपको बताएंगे। 

यह vulnerability assessment and penetration testing (VAPT full form) Series गुणवत्ता vulnerability analysis करने के लिए attackers द्वारा उपयोग किए जाने वाले tools और techniques के बारे में बताएंगे। यह vulnerability assessment report के विश्लेषण के साथ समाप्त होता है जो एक ethical hacker को पहचानी गई vulnerabilities को ठीक करने में मदद करता है।

इस what is vapt Series के अंत में, आप निम्न में सक्षम होंगे:

1. Vulnerability research, vulnerability assessment और vulnerability scoring systems को आप समझने में आप सक्षम होंगे।

2. Vulnerability management life cycle (Vulnerability Assessment Phase) का वर्णन करने में और समझने में आप सक्षम होंगे।

3. विभिन्न प्रकार की vulnerabilities और vulnerability assessment techniques को समझने में आप सक्षम होंगे।

4. Vulnerability assessment solutions के विभिन्न तरीकों को समझने में आप सक्षम होंगे।

5. अच्छे vulnerability assessment solutions की विभिन्न विशेषताओं का वर्णन करने में और समझने में आप सक्षम होंगे।

6. विभिन्न प्रकार के vulnerability assessment tools और उन्हें select करने के लिए जो criteria है उसको वर्णन करने में और समझने में आप सक्षम होंगे।

7. विभिन्न vulnerability assessment free tools का उपयोग कैसे करें इसे समझने में आप सक्षम होंगे।

8. Vulnerability assessment reports sample तैयार और विश्लेषण करें करना है इसे समझने में आप सक्षम होंगे।

Vulnerability Assessment Concepts (भेद्यता आकलन अवधारणाएं)

नेटवर्क में कमजोर सिस्टम के लिए आम तौर पर दो मुख्य कारण होते हैं, सॉफ्टवेयर या हार्डवेयर गलत कॉन्फ़िगरेशन और खराब प्रोग्रामिंग। organizational resources पर विभिन्न प्रकार के attacks करने के लिए Attackers इन weaknesses का फायदा उठाते हैं। इस पहला सीरीज में vulnerability assessment, vulnerability scoring system, vulnerability database और vulnerability assessment life cycle के बारे में होगा।

Vulnerability Research (भेद्यता अनुसंधान)

Vulnerability Research, vulnerabilities और design flaws की खोज के लिए प्रोटोकॉल, सेवाओं और कॉन्फ़िगरेशन का विश्लेषण करने की प्रक्रिया है जो एक ऑपरेटिंग सिस्टम और उसके applications का exploit, attack या दुरुपयोग करने के लिए expose करने के लिए किया जाता है।

एक administrator को Vulnerability research की आवश्यकता क्यों होती है:

1. Security trends, newly discovered threats, attack surfaces, attack vectors और तकनीकों के बारे में जानकारी इकट्ठा करने के लिए।

2. OS और applications में vulnerabilities का पता लगाने के लिए और नेटवर्क attack से पहले नेटवर्क एडमिनिस्ट्रेटर को अलर्ट करने के लिए।

3. Security problems को रोकने में मदद करने वाली जानकारी को समझने के लिए।

4. यह जानने के लिए कि network attack से कैसे recover हों।

एक ethical hacker को सबसे हाल ही में खोजी गई vulnerabilities और vulnerability research के माध्यम से attackers से एक कदम आगे रहने के लिए exploit करने की जरूरत है, जिसमें शामिल हैं:

1. System design flaws और vulnerabilities की खोज करना जो attackers को सिस्टम से compromise करने की अनुमति दे सकते हैं।

2. New products और technologies के बारे में अद्यतन रहना और मौजूदा exploit से संबंधित समाचार पढ़ना।

3. नई खोजी गई vulnerabilities और exploit के लिए underground हैकिंग वेबसाइटों (deep and dark websites) की जाँच करना।

4. सुरक्षा प्रणालियों के लिए प्रासंगिक innovations और product improvements के संबंध में नए जारी किए गए अलर्ट की जाँच करना।

Security expert और vulnerability scanner, vulnerabilities को इस तरह classify करते हैं:

1. A severity level (low, medium, or high)।

2. Exploit range (local or remote)।

एथिकल हैकर्स को vulnerabilities का पता लगाने के लिए footprinting और scanning phases में प्राप्त जानकारी की मदद से intense research करने की आवश्यकता होती है।

Vulnerability Assessment क्या है? Vulnerability Assessment meaning in Hindi

Vulnerability Assessment एक system या application की क्षमता की in-depth examination है, जिसमें मौजूदा security procedures और controls को exploitation का सामना करने के लिए शामिल है। 

यह known security weaknesses के लिए नेटवर्क को स्कैन करता है, और कंप्यूटर सिस्टम, नेटवर्क और संचार चैनलों में security vulnerabilities को पहचानता है, मापता है और वर्गीकृत करता है। यह एक सिस्टम में threats के लिए possible vulnerabilities की identifies करता है, quantifies निर्धारित करता है और ranks करता है। 

इसके अतिरिक्त, यह security professionals को मौजूदा सुरक्षा तंत्र में security flaws या vulnerabilities की पहचान करके नेटवर्क को सुरक्षित करने में सहायता करता है, इससे पहले कि attackers उनका exploit कर सकें।

एक vulnerability assessment का उपयोग निम्न के लिए किया जा सकता है:

1. उन weaknesses की पहचान करने में जिनका exploit किया जा सकता है।

2. सूचना संसाधनों को attack से बचाने में अतिरिक्त security measures की प्रभावशीलता की भविष्यवाणी करना की ऐसा हो सकता है।

आमतौर पर, vulnerability-scanning tools IP-enabled devices के लिए नेटवर्क सेगमेंट खोजते हैं और सिस्टम या नेटवर्क administration गतिविधियों, या दिन-प्रतिदिन की गतिविधियों के परिणामस्वरूप vulnerabilities की पहचान करने के लिए सिस्टम, ऑपरेटिंग सिस्टम और अनुप्रयोगों की गणना करते हैं। 

Vulnerability-scanning software कंप्यूटर को सॉफ़्टवेयर विक्रेता द्वारा प्रदान किए गए Common Vulnerability and Exposure (CVE) index और security बुलेटिन के विरुद्ध स्कैन करता है।

Vulnerability scanners निम्नलिखित जानकारी की पहचान करने में सक्षम हैं:

1. कंप्यूटर या उपकरणों पर चलने वाला OS संस्करण।

2. आईपी ​​और ट्रांसमिशन कंट्रोल प्रोटोकॉल/यूजर डेटाग्राम प्रोटोकॉल (TCP/UDP) पोर्ट जो listenable हो सकता हैं।

3. कंप्यूटर पर एप्लिकेशन इंस्टॉल किए गए।

4. कमजोर पासवर्ड वाले खाते।

5. कमजोर अनुमतियों वाली फ़ाइलें और फ़ोल्डर।

6. डिफ़ॉल्ट सेवाएं और एप्लिकेशन जिन्हें अनइंस्टॉल करना पड़ सकता है।

7. सामान्य अनुप्रयोगों के security configuration में त्रुटियाँ।

8. कंप्यूटर ज्ञात या सार्वजनिक रूप से रिपोर्ट की गई vulnerabilities के संपर्क में हैं या नहीं।

9. ईओएल/ईओएस सॉफ्टवेयर जानकारी।

10. Missing patches और हॉट फिक्स।

11. कमजोर नेटवर्क कॉन्फ़िगरेशन और गलत कॉन्फ़िगर या जोखिम भरे पोर्ट।

12. नेटवर्क पर सभी उपकरणों की सूची को सत्यापित करने में मददगार साबित होता है।

Network Vulnerability Scanning के दो approaches होता हैं:

1. सक्रिय स्कैनिंग (Active Scanning): attacker vulnerabilities को खोजने के लिए सीधे target network के साथ interact करता है। Active Scanning, target network पर attack का अनुकरण करने में मदद करती है ताकि उन vulnerabilities को उजागर किया जा सके जिनका attacker द्वारा exploit किया जा सकता है।

उदाहरण: एक attacker जांच और विशेष रूप से तैयार किए गए अनुरोध को नेटवर्क में target hosts को vulnerabilities की पहचान करने के लिए भेजता है।

2. निष्क्रिय स्कैनिंग (Passive scanning): attacker target network के साथ सीधे interact किए बिना vulnerabilities को खोजने की कोशिश करता है। attacker सामान्य संचार के दौरान सिस्टम द्वारा उजागर की गई जानकारी के माध्यम से vulnerabilities की पहचान करता है। 

Passive scanning पूरे target network में सक्रिय ऑपरेटिंग सिस्टम, एप्लिकेशन और पोर्ट की पहचान करती है, इसकी vulnerabilities को निर्धारित करने के लिए गतिविधि की निगरानी करती है। यह दृष्टिकोण weaknesses के बारे में जानकारी प्रदान करता है लेकिन सीधे attacks का मुकाबला करने का मार्ग प्रदान नहीं करता है।

उदाहरण: एक attacker टीसीपी कनेक्शन सेटअप और टियरडाउन को देखकर ऑपरेटिंग सिस्टम की जानकारी, एप्लिकेशन और एप्लिकेशन और सेवा संस्करणों का अनुमान लगाता है।

vulnerability assessment free tools
Attackers Nessus, Qualys, GFI LanGuard और OpenVAS जैसे टूल का उपयोग करके vulnerabilities के लिए स्कैन करते हैं। Vulnerability scanning एक attacker को network vulnerabilities, open ports और चल रही सेवाओं, एप्लिकेशन और सेवाओं के कॉन्फ़िगरेशन त्रुटियों, एप्लिकेशन और सेवा कमजोरियों की पहचान करने में सक्षम बनाती है।

Limitations of Vulnerability Assessment

Vulnerability assessment की कुछ limitations निम्नलिखित हैं:
1. Vulnerability-scanning software किसी निश्चित समय पर vulnerabilities का पता लगाने की क्षमता में सीमित है।

2. नई कमजोरियों का पता चलने पर या उपयोग किए जा रहे सॉफ़्टवेयर में सुधार किए जाने पर Vulnerability-scanning software को अद्यतन किया जाना चाहिए।

3. सॉफ़्टवेयर केवल उतना ही प्रभावी है जितना कि सॉफ़्टवेयर विक्रेता और इसका उपयोग करने वाले व्यवस्थापक द्वारा उस पर किया गया रखरखाव।

4. Vulnerability assessment security controls की strength को नहीं मापता है।

5. Vulnerability-scanning software स्वयं software engineering flaws से प्रतिरक्षित नहीं है जिसके कारण इसमें serious vulnerabilities गायब हो सकती हैं।

6. झूठी सकारात्मक और झूठी नकारात्मकताओं को स्कैन करने और पहचानने के बाद डेटा का विश्लेषण करने के लिए मानवीय निर्णय की आवश्यकता होती है।

उपयोग की जाने वाली vulnerability assessment methodology का परीक्षण के परिणामों पर प्रभाव पड़ सकता है। उदाहरण के लिए, domain administrator के security संदर्भ में चलने वाला vulnerability-scanning software किसी प्रमाणीकृत या गैर-प्रमाणित उपयोगकर्ता के security संदर्भ में चलने वाले सॉफ़्टवेयर से भिन्न परिणाम देगा। 

इसी तरह, diverse vulnerability-scanning software पैकेज अलग-अलग security का आकलन करते हैं और इसमें अनूठी विशेषताएं होती हैं। यह assessment के परिणामों को प्रभावित कर सकता है।

Questions:

1. What is the difference between vulnerability assessment and penetration testing?

Vulnerability Assessment:
Vulnerability Assessment एक system या application की क्षमता की in-depth examination है, जिसमें मौजूदा security procedures और controls को exploitation का सामना करने के लिए शामिल है। 

एथिकल हैकिंग का एक उपवर्ग है; इसमें विधियों और प्रक्रियाओं का एक सेट शामिल है जिसका उद्देश्य किसी संगठन की सुरक्षा का परीक्षण/संरक्षण करना है। एक संगठन में कमजोरियों को खोजने में मददगार साबित होते हैं और यह जांचते हैं कि क्या कोई attacker किसी संपत्ति तक unauthorized access प्राप्त करने के लिए उनका फायदा उठाने में सक्षम होगा।

2. Which is better vulnerability assessment or penetration testing?

दोनों ही better है, अगर आप एक pentester बनना चाहते है तो आपको vulnerability assessment बहुत अच्छे से आना चाहिए। जब हम vulnerability ढूंढ लेते है तब उसके बाद penetration testing करते है। 

3. Why might you do a vulnerability assessment instead of a penetration test?

क्योंकि penetration testing से पहले vulnerability assessment करना जरुरी है। vulnerability assessment करने से ही हमें किसी सिस्टम या नेटवर्क में weakness या security flaws का पता चलता है। इसके बाद हम penetration testing करते है। 

4. Why do we do vulnerability assessment?

Vulnerability assessment इसलिए करते है क्योंकि किसी भी system और network में कोई security flaws है या नहीं यह पता करने के लिए करते है। 

एक टिप्पणी भेजें

और नया पुराने

Responsive Ad