DO WE REALLY NEED A STRATEGY ??

INTRODUCTION TO PENETRATION TESTING

M. SZYBALSKI 2014 2

PLAN PREZENTACJI

1. Wstęp

2. Przedstawienie przykładowych faz strategii pen testów

3. Omówienie poszczególnych faz

4. Pokazanie strategii OWASP Web Application Penetration Testing

5. Pytania

M. SZYBALSKI 2014 3

TEST PENETRACYJNY A AUDYT BEZPIECZEŃSTWA

• TEST polegający na przeprowadzeniu kontrolowanego ataku na system informatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń

• NIE jest to audyt – nie oparty na formalnej specyfikacji stanu pożądanego (normie, akcie prawnym), nie prowadzi do jednoznacznego określenia stopnia zgodności audytowanego obiektu ze specyfikacją

M. SZYBALSKI 2014 4

ETAPY PODEJŚCIA DO TESTÓW PENETRACYJNYCH

Penetration Testing Phases

Target Scoping

Information Gathering / Reconnaissa

nce

Vulnerability Mapping

Target Exploitation

Maintaining Access

Documentation &

Reporting

M. SZYBALSKI 2014 5

TARGET SCOPING

• Definiowanie wymagań klienta

• Zasięg

• Czas

• Zasoby

• Cena

• Rules of Engagement (RoE)

• Non - disclosure Agreement (NDA)

M. SZYBALSKI 2014 6

INFORMATION GATHERING / RECONNAISSANCE

• Passive Information Gathering – publiczne zasoby (whois)

• Semi - Passive Information Gathering – fingerprinting (xprobe)

• Active Information Gathering – nmap, dirbuster, skipfish

M. SZYBALSKI 2014 7

VULNERABILITY MAPPING

• Określamy, czy dany element systemu można wykorzystać w niebezpieczny sposób

• Przeprowadzenie różnego rodzaju testów – whitebox, blackbox

• Przeglądanie już znalezionych bugów – Jira, bugzilla, QC

• Stosowane narzędzia – OWASP ZAP, Burp, nmap, sqlmap, xsser, nikto, w3af, skipfish, arachni

M. SZYBALSKI 2014 8

TARGET EXPLOITATION

• Wykonanie penetracji wybranego systemu poprzez stworzenie wektora ataku, który ominie kolejne elementy zabezpieczeń

• Celem jest zdobycie jakiegokolwiek zysku z przeprowadzonego testu

• Narzędzia – framework Metasploit, hashcat, aircrack, jack the ripper, narzędzia proxy, soapUI

M. SZYBALSKI 2014 9

MAINTAINING ACCESS

• Backdoory, rootkity

• Można przyśpieszyć testy !!!

• Skrócenie czasu dostępu do skompromitowanego systemu w przyszłości

• Narzędzia - ustanowienie połączenia zwrotnego (netcat / cryptcat) lub poprzez użycie tzw. webshelli

M. SZYBALSKI 2014 10

DOCUMENTATION & REPORTING

• Kluczowy element testów penetracyjnych !!!

• Znalezione podatności i problemy oraz ich eskalacja

• Dostarczenie informacji jak zweryfikować wykryte błędy

• Propozycje eliminacji / naprawy błędów

• Informacja dla biznesu o ryzyku prowadzonego projektu

M. SZYBALSKI 2014 11

OWASP WEB APPLICATION PENETRATION TESTING

• Zawiera Testing Guide

• Dokument ten opisuje metodologię OWASP Web Application Penetration Testing oraz sposoby testowania zabezpieczeń

• Dostarcza informacji jak zweryfikować wykryte błędy

• Testy mają charakter blackbox

• Definiuje podział na dwie fazy: pasywną oraz aktywną

M. SZYBALSKI 2014 12

FAZA PASYWNA

• Poznanie logiki aplikacji

• Zebranie informacji o badanym systemie

• Zrozumienie metody działania aplikacji oraz enumeracja, jak największej liczby punktów wejścia (access points)

M. SZYBALSKI 2014 13

FAZA AKTYWNA

• Przeprowadzenie właściwych testów podzielonych na kategorie:

• Configuration Management Testing,

• Business Logic Testing,

• Authentication Testing,

• Authorization Testing,

• Session Management Testing,

• Data Validation Testing,

• Denial of Service Testing,

• Web Services Testing,

• Ajax Testing.

M. SZYBALSKI 2014 14

PODSUMOWANIE

ZALETY

• Prostota

• Duża swoboda

• Rozpoznawalna

• Ilość testów, opisów

WADY

• Blackbox

• Tylko aplikacje webowe

• Wolny rozwój poszczególnych wersji Testing Guide`a

M. SZYBALSKI 2014 15

BIBLIOGRAFIA

• OWASP Testing Guide - https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents

• The Basics of Hacking and Penetration Testing - Patrick Engebretson

• Hacking Exposed Web Applications - Joel Scambray, Vincent Liu, Caleb Sima

• The Web Application Hackers Handbook - Dafydd Stuttard, Marcus Pinto

16

DZIĘKUJĘ????????