Тестирование на проникновение. Легальный хакинг.


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
PENTESTIT
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Тестирование на
проникновение:
легальный хакинг
Сафонов Лука
luka@pentestit.ru
www.pentestit.ru
info@pentestit.ru
Сафонов Лука, технический директор
PENTESTIT.
Демонстрируя
высокий уровень квалификации, специалисты
«PENTEST=T» производят поиск уязвимостей на самых
защищенных
Интернет
-
ресурсах,
выступают с докладами на
международных форумах, разрабатывают уникальные
пентест
-
лаборатории, в которых принимают участие эксперты со всего
мира.
Комплексный
подход при оказании услуг позволяет избавить
клиентов от всех вопросов, связанных с информационной
безопасностью. Среди наших клиентов

крупнейшие компании
из ИТ, телекоммуникационной, банковской, финансовой сфер,
а также компании, специализирующиеся в области
электронной коммерции.
Тестирование на проникновение
www.pentestit.ru
info@pentestit.ru
Тестирование на проникновение

метод оценки безопасности компьютерных
систем или сетей средствами моделирования атаки злоумышленника. Процесс
включает в себя активный анализ системы на наличие потенциальных уязвимостей,
которые могут спровоцировать некорректную работу целевой
системы
.
Анализ ведется с позиции потенциального атакующего и может включать в себя
активное использование уязвимостей системы. Результатом работы является отчет,
содержащий в себе все найденные уязвимости системы безопасности, а также
может содержать рекомендации по их устранению.
Обычно является
частью аудита
безопасности
.
Тестирования на проникновение принято делить на
BlackBox
,
WhiteBox
и
GreyBox
.
Тестирование на проникновение
www.pentestit.ru
info@pentestit.ru
BlackBox
-
«черный ящик».
Специалист
располагает только общедоступной информацией о цели исследования,
её сети и параметрах. Данный вариант максимально приближен к реальной
ситуации. В качестве исходных данных для тестирования исполнителю сообщается
только имя компании или ее сайт, а всю остальную информацию, такую
как
используемые компанией =P
-
адреса, сайты, точки выхода офисов и филиалов
компании в сеть Интернет, исполнителю придётся выяснять самому.
Виды
www.pentestit.ru
info@pentestit.ru
WhiteBox
-
«белый
ящик».
WhiteBox

полная противоположность
BlackBox
. В данном случае, специалисту
предоставляется максимум необходимой для него информации, вплоть до
административного доступа на любые сервера. Данный способ позволяет получить
наиболее полное исследование уязвимости объекта. При
WhiteBox
исполнителю не
придётся тратить время на сбор информации, составления карты сети, и другие
действия перед началом тестирования, а так же сократит время самого
тестирования, т.к. часть проверок просто не придется делать. Плюс данного метода
в более полном и комплексном подходе к исследованию. Минус в том, что это
менее приближено к ситуации реальной атаки злоумышленника.
Виды
www.pentestit.ru
info@pentestit.ru
GrayBox
-
«серый
ящик».
GrayBox

это средний вариант
между
WhiteBox
и
BlackBox
, когда исполнитель
действует
ближе к
варианту
BlackBox
. Команда аудиторов может получать часть
информации
о тестируемой системе, для того чтобы сократить время исследования
или более эффективно приложить свои усилия. Такой вариант самый популярный,
так как позволяет провести тестирование без траты лишнего времени на сбор
информации, и больше времени уделить поиску уязвимостей, при этом данный
вариант остается достаточно близким к реальной ситуации действия
злоумышленника
.
Виды
www.pentestit.ru
info@pentestit.ru
Основные этапы
-
определение целей аудита͖
-
определение границ аудита͖
-
определение объектов аудита͖
-
разведка и сбор информации͖
-
выявление уязвимостей͖
-
определение векторов атак͖
-
анализ информации и составление сценариев атак͖
-
фиксация и подтверждение векторов͖
-
отчетность.
www.pentestit.ru
info@pentestit.ru
Тестирование на проникновение
www.pentestit.ru
info@pentestit.ru
Название
:
Open Source Security Testing Methodology Manual (OSSTMM)
Версия
:
3.0
Дата выпуска
:
2010
Авторы
:
ISECOM (Institute for Security and Open Methodologies
)
Описание:
Методология является достаточно формализованным и хорошо
структурированным документом для тестирования сети, правда, без привязки
к конкретным инструментам и командам. В документе описываются
следующие области для тестирования: информационная безопасность,
безопасность веб
-
технологий, безопасность каналов связи, беспроводная
безопасность и физическая безопасность.
URL:
http://
www.isecom.org/research
Методология
www.pentestit.ru
info@pentestit.ru
Методология
Название
:
Дата
выпуска:
30 апреля 2012 года
Описание
:
стандарт разработан сообществом экспертов в области ИБ.
Материал разделен на теоретическую и практическую части с
детальным поэтапным описанием тестирования на проникновение
сетевой инфраструктуры и веб
-
приложений, куда входят такие этапы
как сбор информации, анализ уязвимостей, эксплуатация,
постэкстплуатация
и отчет. В практической части даются ссылки на
сервисы и утилиты с
детальным
описанием использования последних
.
URL:
http://
www.pentest
-
standard.org
www.pentestit.ru
info@pentestit.ru
Название
:
OWASP
Версия
:
4
Дата выпуска
:
феврале
2013
года
Авторы
:
The Open Web Application Security Project (OWASP
)
Описание:
Методика включает «лучшие практики» по проведению
тестирования на проникновение веб
-
приложений, дается подробнейшее
описание, как проводить и с помощью каких утилит. Четвертая версия
взаимосвязана с двумя другими документами: OWASP
Developer
Guide
и
OWASP
Code
Review
Guide
. Документ постоянно пересматривается и на
сегодняшний день является самой актуальной методикой
.
URL:
https://www.owasp.org/index.php/Main_Page
Методология
www.pentestit.ru
info@pentestit.ru
OWASP TOP 10 2013
Тип уязвимости: внедрение кода

OWASP A1 (
injection
).
Как выявляется: ошибки в теле страницы, время отклика.
Чем грозит: компрометация пользовательских данных, заражение сайта.
Тип уязвимости: некорректная аутентификация и управление сессией

OWASP A2 (
broken
authentication
and
session
management
).
Как выявляется: передача сессии в URL, отсутствие шифрования.
Чем грозит: утечка чужой сессии может привести к перехвату управления аккаунтом.
Тип уязвимости: межсайтовый
скриптинг

OWASP A3 XSS (
cross
-
site
scripting
).
Как выявляется: наличие ответа на специально сформированный запрос в коде страницы.
Чем грозит: атака производится непосредственно на пользователя, манипуляция данными.
Тип уязвимости: небезопасные прямые ссылки на объекты

OWASP A4 (
insecure
direct
object
references
).
Как выявляется: перебор значения параметров.
Чем грозит: возможна утечка критичных данных.
Тип уязвимости: небезопасная конфигурация

OWASP A5 (
security
misconfiguration
).
Как выявляется: выявление настроек по умолчанию, стандартных паролей, сообщений об ошибках.
Чем грозит: компрометация пользовательских данных, заражение сайта.
www.pentestit.ru
info@pentestit.ru
OWASP TOP 10 2013
Тип уязвимости: утечка чувствительных данных

OWASP A6 (
sensitive
data
exposure
).
Как выявляется: корректная установка и настройка сертификатов, выявление критичных данных.
Чем грозит: возможна утечка критичных данных.
Тип уязвимости: отсутствие контроля доступа к функциональному уровню

OWASP A7 (
missing
function
level
access
control
).
Как выявляется: манипуляция данными для получения доступа.
Чем грозит: возможна утечка критичных данных.
Тип уязвимости: подделка межсайтовых запросов

OWASP A8 CSRF (
cross
-
site
request
forgery
).
Как выявляется: отсутствие проверки адреса запроса (
токена
).
Чем грозит: манипуляция данными.
Тип уязвимости: использование компонентов с известными уязвимостями

OWASP A9 (
using
components
with
known
vulnerabilities
).
Как выявляется: наличие общедоступных
уявивмостей
для данной версии приложения.
Чем грозит: компрометация пользовательских данных, заражение сайта.
Тип уязвимости:
невалидируемые
редиректы

OWASP A10 (
unvalidated
redirects
and
forwards
).
Как выявляется: манипуляция параметрами URL.
Чем грозит: компрометация пользовательских данных, возможна утечка критичных данных.
www.pentestit.ru
info@pentestit.ru
Пентестер
vs
злоумышленник
Легитимность, морально
-
этические принципы, регламент.
www.pentestit.ru
info@pentestit.ru
Kali
Linux
http://kali.org
Kali
Linux
(
бывш
.
BackTrack
) содержит одну из самых богатых подборок
программ, связанных с безопасностью: от средств для тестирования
web
-
приложений и проникновения в беспроводные сети, до программ для
считывания данных с идентификационных RF=D
-
чипов. В комплект входит
коллекция
эксплоитов
и более 400 специализированных утилит для проверки
безопасности, таких как
Aircrack
,
Maltego
, Metasploit, SAINT,
,
Bluebugger
,
Btcrack
,
Btscanner
, Nmap, p0f. Помимо этого, в дистрибутив
включены средства для акселерации подбора паролей (
Multihash
CUDA
Brute
Forcer
) и WPA
-
ключей (
Pyrit
) через задействование технологий CUDA и AT=
Stream
, позволяющих использовать GPU видеокарт
NVidia
и AT= для
выполнения вычислительных операций. В отличие от
BackTrack
, в
Kali
проведена значительная чистка набора инструментов, из которого
исключены дублирующие друг друга пакеты и проблемные компоненты.
Инструментарий
www.pentestit.ru
info@pentestit.ru
BlackArch
linux
http://blackarch.org/
BlackArch
Linux
создан специально для
пентестеров
и специалистов по
безопасности. Он поддерживает архитектуры i686 и x86_64. В комплект
установки сейчас входит свыше 1000 хакерских программ и утилит, и их
число постоянно увеличивается. Одна из них

программа
sploitctl
для
скачивания и поиска в архивах
эксплоитов
. С ее помощью можно получать
обновления самых свежих уязвимостей. Исходный код этой программы, а
также скриптов установки
BlackArch
и других инструментов можно
посмотреть в
репозитории
Github
.
Инструментарий
www.pentestit.ru
info@pentestit.ru
WiFiSlax
http://www.wifislax.com/
WiFiSlax
является простым в использовании пакетом программ для
новичков и экспертов, который включает в себя ряд передовых
хакерских утилит для взлома беспроводных сетей.
Предназначен
для тестирования и устранения уязвимостей в
безопасности Вашей Беспроводной сети. Поставляется в виде
LiveUSB
и
liveCD
, от пользователя требуется только загрузиться с носителя
содержащего
WifiSlax
.
Инструментарий
www.pentestit.ru
info@pentestit.ru
PentestBox
https://
pentestbox.com
Простой для использования набор приложений для использования в
Windows
среде.
Не
такой требовательный к ресурсам, как
инстанс
виртуальной
машины. Нет зависимостей, все утилиты,
стандартые
команды

все
установлено. Также, установлен браузер
Mozilla
Firefox
с самыми
популярными
аддонами
для аудита веб
-
приложений.
Инструментарий
www.pentestit.ru
info@pentestit.ru
Вопросы?
www.pentestit.ru
vk.com/
pentestit
habrahabr.ru/company/
pentestit

Приложенные файлы

  • pdf 5549136
    Размер файла: 1 MB Загрузок: 0

Добавить комментарий