Date post: | 26-May-2015 |
Category: |
Technology |
Upload: | lodqa |
View: | 142 times |
Download: | 1 times |
DO WE REALLY NEED A STRATEGY ??
INTRODUCTION TO PENETRATION TESTING
M. SZYBALSKI 2014 2
PLAN PREZENTACJI
1. Wstęp
2. Przedstawienie przykładowych faz strategii pen testów
3. Omówienie poszczególnych faz
4. Pokazanie strategii OWASP Web Application Penetration Testing
5. Pytania
M. SZYBALSKI 2014 3
TEST PENETRACYJNY A AUDYT BEZPIECZEŃSTWA
• TEST polegający na przeprowadzeniu kontrolowanego ataku na system informatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń
• NIE jest to audyt – nie oparty na formalnej specyfikacji stanu pożądanego (normie, akcie prawnym), nie prowadzi do jednoznacznego określenia stopnia zgodności audytowanego obiektu ze specyfikacją
M. SZYBALSKI 2014 4
ETAPY PODEJŚCIA DO TESTÓW PENETRACYJNYCH
Penetration Testing Phases
Target Scoping
Information Gathering / Reconnaissa
nce
Vulnerability Mapping
Target Exploitation
Maintaining Access
Documentation &
Reporting
M. SZYBALSKI 2014 5
TARGET SCOPING
• Definiowanie wymagań klienta
• Zasięg
• Czas
• Zasoby
• Cena
• Rules of Engagement (RoE)
• Non - disclosure Agreement (NDA)
M. SZYBALSKI 2014 6
INFORMATION GATHERING / RECONNAISSANCE
• Passive Information Gathering – publiczne zasoby (whois)
• Semi - Passive Information Gathering – fingerprinting (xprobe)
• Active Information Gathering – nmap, dirbuster, skipfish
M. SZYBALSKI 2014 7
VULNERABILITY MAPPING
• Określamy, czy dany element systemu można wykorzystać w niebezpieczny sposób
• Przeprowadzenie różnego rodzaju testów – whitebox, blackbox
• Przeglądanie już znalezionych bugów – Jira, bugzilla, QC
• Stosowane narzędzia – OWASP ZAP, Burp, nmap, sqlmap, xsser, nikto, w3af, skipfish, arachni
M. SZYBALSKI 2014 8
TARGET EXPLOITATION
• Wykonanie penetracji wybranego systemu poprzez stworzenie wektora ataku, który ominie kolejne elementy zabezpieczeń
• Celem jest zdobycie jakiegokolwiek zysku z przeprowadzonego testu
• Narzędzia – framework Metasploit, hashcat, aircrack, jack the ripper, narzędzia proxy, soapUI
M. SZYBALSKI 2014 9
MAINTAINING ACCESS
• Backdoory, rootkity
• Można przyśpieszyć testy !!!
• Skrócenie czasu dostępu do skompromitowanego systemu w przyszłości
• Narzędzia - ustanowienie połączenia zwrotnego (netcat / cryptcat) lub poprzez użycie tzw. webshelli
M. SZYBALSKI 2014 10
DOCUMENTATION & REPORTING
• Kluczowy element testów penetracyjnych !!!
• Znalezione podatności i problemy oraz ich eskalacja
• Dostarczenie informacji jak zweryfikować wykryte błędy
• Propozycje eliminacji / naprawy błędów
• Informacja dla biznesu o ryzyku prowadzonego projektu
M. SZYBALSKI 2014 11
OWASP WEB APPLICATION PENETRATION TESTING
• Zawiera Testing Guide
• Dokument ten opisuje metodologię OWASP Web Application Penetration Testing oraz sposoby testowania zabezpieczeń
• Dostarcza informacji jak zweryfikować wykryte błędy
• Testy mają charakter blackbox
• Definiuje podział na dwie fazy: pasywną oraz aktywną
M. SZYBALSKI 2014 12
FAZA PASYWNA
• Poznanie logiki aplikacji
• Zebranie informacji o badanym systemie
• Zrozumienie metody działania aplikacji oraz enumeracja, jak największej liczby punktów wejścia (access points)
M. SZYBALSKI 2014 13
FAZA AKTYWNA
• Przeprowadzenie właściwych testów podzielonych na kategorie:
• Configuration Management Testing,
• Business Logic Testing,
• Authentication Testing,
• Authorization Testing,
• Session Management Testing,
• Data Validation Testing,
• Denial of Service Testing,
• Web Services Testing,
• Ajax Testing.
M. SZYBALSKI 2014 14
PODSUMOWANIE
ZALETY
• Prostota
• Duża swoboda
• Rozpoznawalna
• Ilość testów, opisów
WADY
• Blackbox
• Tylko aplikacje webowe
• Wolny rozwój poszczególnych wersji Testing Guide`a
M. SZYBALSKI 2014 15
BIBLIOGRAFIA
• OWASP Testing Guide - https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
• The Basics of Hacking and Penetration Testing - Patrick Engebretson
• Hacking Exposed Web Applications - Joel Scambray, Vincent Liu, Caleb Sima
• The Web Application Hackers Handbook - Dafydd Stuttard, Marcus Pinto
16
DZIĘKUJĘ????????