PLNOG 13: Piotr Wojciechowski: Security and Control Policy
ŁódQA - Michał Szybalski - Security strategy
1. DO WE REALLY NEED A
STRATEGY ??
INTRODUCTION TO PENETRATION TESTING
2. PLAN PREZENTACJI
1. Wstęp
2. Przedstawienie przykładowych faz strategii pen testów
3. Omówienie poszczególnych faz
4. Pokazanie strategii OWASP Web Application Penetration Testing
5. Pytania
M. SZYBALSKI 2014 2
3. TEST PENETRACYJNY A AUDYT
BEZPIECZEŃSTWA
• TEST polegający na przeprowadzeniu kontrolowanego ataku na
system informatyczny, mający na celu praktyczną ocenę bieżącego
stanu bezpieczeństwa tego systemu, w szczególności obecności
znanych podatności i odporności na próby przełamania zabezpieczeń
• NIE jest to audyt – nie oparty na formalnej specyfikacji stanu
pożądanego (normie, akcie prawnym), nie prowadzi do
jednoznacznego określenia stopnia zgodności audytowanego obiektu
ze specyfikacją
M. SZYBALSKI 2014 3
4. ETAPY PODEJŚCIA DO TESTÓW
PENETRACYJNYCH
Penetration Testing Phases
Target Scoping
Information
Gathering /
Reconnaissance
Vulnerability
Mapping
Target
Exploitation
Maintaining
Access
Documentation
& Reporting
M. SZYBALSKI 2014 4
5. TARGET SCOPING
• Definiowanie wymagań klienta
• Zasięg
• Czas
• Zasoby
• Cena
• Rules of Engagement (RoE)
• Non - disclosure Agreement (NDA)
M. SZYBALSKI 2014 5
6. INFORMATION GATHERING /
RECONNAISSANCE
• Passive Information Gathering – publiczne zasoby (whois)
• Semi - Passive Information Gathering – fingerprinting (xprobe)
• Active Information Gathering – nmap, dirbuster, skipfish
M. SZYBALSKI 2014 6
7. VULNERABILITY MAPPING
• Określamy, czy dany element systemu można wykorzystać w
niebezpieczny sposób
• Przeprowadzenie różnego rodzaju testów – whitebox, blackbox
• Przeglądanie już znalezionych bugów – Jira, bugzilla, QC
• Stosowane narzędzia – OWASP ZAP, Burp, nmap, sqlmap, xsser,
nikto, w3af, skipfish, arachni
M. SZYBALSKI 2014 7
8. TARGET EXPLOITATION
• Wykonanie penetracji wybranego systemu poprzez stworzenie
wektora ataku, który ominie kolejne elementy zabezpieczeń
• Celem jest zdobycie jakiegokolwiek zysku z przeprowadzonego testu
• Narzędzia – framework Metasploit, hashcat, aircrack, jack the ripper,
narzędzia proxy, soapUI
M. SZYBALSKI 2014 8
9. MAINTAINING ACCESS
• Backdoory, rootkity
• Można przyśpieszyć testy !!!
• Skrócenie czasu dostępu do skompromitowanego systemu w
przyszłości
• Narzędzia - ustanowienie połączenia zwrotnego (netcat / cryptcat) lub
poprzez użycie tzw. webshelli
M. SZYBALSKI 2014 9
10. DOCUMENTATION & REPORTING
• Kluczowy element testów penetracyjnych !!!
• Znalezione podatności i problemy oraz ich eskalacja
• Dostarczenie informacji jak zweryfikować wykryte błędy
• Propozycje eliminacji / naprawy błędów
• Informacja dla biznesu o ryzyku prowadzonego projektu
M. SZYBALSKI 2014 10
11. OWASP WEB APPLICATION PENETRATION
TESTING
• Zawiera Testing Guide
• Dokument ten opisuje metodologię OWASP Web Application Penetration
Testing oraz sposoby testowania zabezpieczeń
• Dostarcza informacji jak zweryfikować wykryte błędy
• Testy mają charakter blackbox
• Definiuje podział na dwie fazy: pasywną oraz aktywną
M. SZYBALSKI 2014 11
12. FAZA PASYWNA
• Poznanie logiki aplikacji
• Zebranie informacji o badanym systemie
• Zrozumienie metody działania aplikacji oraz enumeracja, jak
największej liczby punktów wejścia (access points)
M. SZYBALSKI 2014 12
13. FAZA AKTYWNA
• Przeprowadzenie właściwych testów podzielonych na kategorie:
• Configuration Management Testing,
• Business Logic Testing,
• Authentication Testing,
• Authorization Testing,
• Session Management Testing,
• Data Validation Testing,
• Denial of Service Testing,
• Web Services Testing,
• Ajax Testing.
M. SZYBALSKI 2014 13
14. PODSUMOWANIE
ZALETY
• Prostota
• Duża swoboda
• Rozpoznawalna
• Ilość testów, opisów
WADY
• Blackbox
• Tylko aplikacje webowe
• Wolny rozwój poszczególnych
wersji Testing Guide`a
M. SZYBALSKI 2014 14
15. BIBLIOGRAFIA
• OWASP Testing Guide -
https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_
of_Contents
• The Basics of Hacking and Penetration Testing - Patrick Engebretson
• Hacking Exposed Web Applications - Joel Scambray, Vincent Liu,
Caleb Sima
• The Web Application Hackers Handbook - Dafydd Stuttard, Marcus
PintoM. SZYBALSKI 2014 15