Її величність - українська книга презентація-огляд 2024.pptx
Testing stage
1. Will Your Scanner
Find A Hole?
Комп'ютерні системи створені людиною. І вразливості інформаційної безпеки - результат помилок зроблених людиною. Зазвичай вразливість дозволяє "обдурити"
інформаційну систему - змусити її виконати інструкції, які не повинні бути виконані на думку творця. З точки зору комп'ютера - дії атакуючого легітимні і коректні. Деякі
вразливості з'являються через недостатні перевірки і легко виявляються автоматизованими сканерами пошуку вразливостей. Інші ж знайти непросто і потрібні аналітичне
мислення, навички обходу найпростіших методів захисту, розуміння логіки роботи програми та комбінування недоліків системи для підтвердження наявності дірки.
Досвідчені інженери, а не набір популярних сканерів поки ще є ключовою ланкою при якісному тестуванні на проникнення.
Scanner Versus
Human Logic
2. 01.
02.
03. 04.
План
03. Як Сканери Помиляються
Основні етапи виконання проектів по пошуку вразливостей
04. Пошук Вразливостей Людиною
Що це та які завдання він виконує
01. Сканер Вразливостей
Швидкість, ретельність та можливість масштабуватися
відкривають нам нові можливості
02. Переваги Автоматизації
Пошуку Вразливостей
Декілька прикладів, коли за допомогою сканера нам не
вдасться знайти вразливість
2
3. Короленко
Сергій
• Більше 3-х років тестую на наявність вразливостей
додатки та інфраструктуру
• OWASP Kyiv chapter leader
• OSCP
4. Сканер
Вразливостей
Сканер вразливостей - це комп'ютерна програма, призначена для
виявлення відомих вразливостей комп'ютерних систем, мереж або
додатків. Їх використовуються для знаходження слабких місць та
недоліків, які можуть вплинути на стан захищеності інформації.
Недолік - це відхилення від норми, дефект.
Уразливість означає нездатність (системи або її частини) витримувати
впливи недружнього середовища
Пейлоад - боєзаряд
4 Швидкий
Паралельно сканує декілька
параметрів на різні вразливості,
швидкість може досягати 1000
перевірок за секунду
Масштабується
Однаково успішно сканує окремий
додаток і всю люкальну мережу,
Налаштовується швидкість і
кількість одночасних потоків
Ретельний
Перевіряє кожен параметр на всі
можливі види вразливостей, знає
всі відомі вразливості та має базу
вразливих версій компонентів
5. Сканери вразливостей на базі штучного інтелекту використовують машинне
навчання та вивчають легітимний трафік користувачів.
5
6. Проблеми
1/3
6
With Great Power Comes Great Responsibility.
У досвідчених інженерів правильно налаштований сканер
вразливостей стає заточеним самурайським мечем.
Не досвідчені ж можуть ‘ or 1=1; DROP DATABASE users; —
Бойове Середовище
Використання пейлоадів, що можуть
спричините проблеми в роботі систем не
припустимі на бойових середовищах
Рольова Модель
Немає розуміння, до якої інформації
користувач може мати доступ. Деталі про
користувачів можуть бути доступні
андімістраторам, але не іншим користувачам
Бекдори
Додатковий функціонал, що може вплинути
на стан захищеності, сприймається як
додатковий функціонал
7. Проблеми
2/3
7
Популярні відповіді на stackoverflow не завжди пропонують
наякращий варіант захисту. Типовий захист можна
спробувати обійти використавши bypass техніки.
Black List
Найдешевший і простий спосіб зробити звіт
зеленим - додати регулярні вирази, що
блокуватимуть конкретні пейлоади
Типовий Захист
IPS/IDS/NG-Firewalls створені для захисту від
сканерів.
Аутентифікація
Складність в аутентифікованому скануванні.
Визначення статусу сессії та її оновлення.
Завершення сессії після підозрілих пейлоадів
8. Проблеми
3/3
8
Більше $10m Bugbounty системи виплатили за минулий рік.
Це вразливості, що знайдені вайт-хет хакерами.
0-Day
Сканер шукає відомі вразливості.
Second Order
REST додатки відповідають ОК. Сканер
робить припущення аналізуючи відповіді.
Покриття
Складно охопити диманічно згенерований
контент, javascript. Об’єкти, що створюються в
процесі бізнес флоу.
9. Проблеми
4/3
9
False Positives можуть досягати більшу частину всіх знахідок.
Перед відкриттям тікетів всеодно потрібно пересвідчитися,
що вразливість присутня. Спроба виправити вразливість, якої
не існує може коштувати багато часу.
Оцінка Ризику
Відсутність розуміння критичності інформації,
реального впливу та складності експлуатації
вразливості
False Positives
Легко ошукати. Реагує на свої ж пейлоади.
Витрачання часу на опрацювання та
необхідність корегування звіту
Різні Технології
Унікальні запити і протоколи. Адаптація під
нові технології, мови, фреймворки.
11. Security QA
Penetration Test
це метод оцінювання захищеності комп'ютерної системи
чи мережі шляхом моделювання дій зовнішніх
зловмисників. Метою тесту на проникнення є виявлення
всіх вразливостей в інформаційній системі.
БІЗНЕС ЛОГІКА
11
РОЗВІДКА
OSINT
ЧУТЛИВА ІНФОРМАЦІЯ
КОМБІНУВАННЯ ВРАЗЛИВОСТЕЙ
МОДЕЛЮВАННЯ АТАК
CSRF / КАСТОМНИЙ ФАЗІНГ
АНАЛІЗ ШИФРУВАННЯ
ОБХІД ЗАХИСТУ
ВАЛІДАЦІЯ ВРАЗЛИВОСТЕЙ
ОЦІНКА РИЗИКУ
ЗВІТ
12. Sast
Dast
Pentest
Щоб бути впевненим у захищеності
додатку чи інфраструктури
12
DAST
SAST
CODE
SECURITY TEST
PRODUCTION
Нам Все Ще Потрібна Людина
STUDY