Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ŁódQA - Michał Szybalski - Security strategy

505 views

Published on

Published in: Technology
  • Login to see the comments

  • Be the first to like this

ŁódQA - Michał Szybalski - Security strategy

  1. 1. DO WE REALLY NEED A STRATEGY ?? INTRODUCTION TO PENETRATION TESTING
  2. 2. PLAN PREZENTACJI 1. Wstęp 2. Przedstawienie przykładowych faz strategii pen testów 3. Omówienie poszczególnych faz 4. Pokazanie strategii OWASP Web Application Penetration Testing 5. Pytania M. SZYBALSKI 2014 2
  3. 3. TEST PENETRACYJNY A AUDYT BEZPIECZEŃSTWA • TEST polegający na przeprowadzeniu kontrolowanego ataku na system informatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń • NIE jest to audyt – nie oparty na formalnej specyfikacji stanu pożądanego (normie, akcie prawnym), nie prowadzi do jednoznacznego określenia stopnia zgodności audytowanego obiektu ze specyfikacją M. SZYBALSKI 2014 3
  4. 4. ETAPY PODEJŚCIA DO TESTÓW PENETRACYJNYCH Penetration Testing Phases Target Scoping Information Gathering / Reconnaissance Vulnerability Mapping Target Exploitation Maintaining Access Documentation & Reporting M. SZYBALSKI 2014 4
  5. 5. TARGET SCOPING • Definiowanie wymagań klienta • Zasięg • Czas • Zasoby • Cena • Rules of Engagement (RoE) • Non - disclosure Agreement (NDA) M. SZYBALSKI 2014 5
  6. 6. INFORMATION GATHERING / RECONNAISSANCE • Passive Information Gathering – publiczne zasoby (whois) • Semi - Passive Information Gathering – fingerprinting (xprobe) • Active Information Gathering – nmap, dirbuster, skipfish M. SZYBALSKI 2014 6
  7. 7. VULNERABILITY MAPPING • Określamy, czy dany element systemu można wykorzystać w niebezpieczny sposób • Przeprowadzenie różnego rodzaju testów – whitebox, blackbox • Przeglądanie już znalezionych bugów – Jira, bugzilla, QC • Stosowane narzędzia – OWASP ZAP, Burp, nmap, sqlmap, xsser, nikto, w3af, skipfish, arachni M. SZYBALSKI 2014 7
  8. 8. TARGET EXPLOITATION • Wykonanie penetracji wybranego systemu poprzez stworzenie wektora ataku, który ominie kolejne elementy zabezpieczeń • Celem jest zdobycie jakiegokolwiek zysku z przeprowadzonego testu • Narzędzia – framework Metasploit, hashcat, aircrack, jack the ripper, narzędzia proxy, soapUI M. SZYBALSKI 2014 8
  9. 9. MAINTAINING ACCESS • Backdoory, rootkity • Można przyśpieszyć testy !!! • Skrócenie czasu dostępu do skompromitowanego systemu w przyszłości • Narzędzia - ustanowienie połączenia zwrotnego (netcat / cryptcat) lub poprzez użycie tzw. webshelli M. SZYBALSKI 2014 9
  10. 10. DOCUMENTATION & REPORTING • Kluczowy element testów penetracyjnych !!! • Znalezione podatności i problemy oraz ich eskalacja • Dostarczenie informacji jak zweryfikować wykryte błędy • Propozycje eliminacji / naprawy błędów • Informacja dla biznesu o ryzyku prowadzonego projektu M. SZYBALSKI 2014 10
  11. 11. OWASP WEB APPLICATION PENETRATION TESTING • Zawiera Testing Guide • Dokument ten opisuje metodologię OWASP Web Application Penetration Testing oraz sposoby testowania zabezpieczeń • Dostarcza informacji jak zweryfikować wykryte błędy • Testy mają charakter blackbox • Definiuje podział na dwie fazy: pasywną oraz aktywną M. SZYBALSKI 2014 11
  12. 12. FAZA PASYWNA • Poznanie logiki aplikacji • Zebranie informacji o badanym systemie • Zrozumienie metody działania aplikacji oraz enumeracja, jak największej liczby punktów wejścia (access points) M. SZYBALSKI 2014 12
  13. 13. FAZA AKTYWNA • Przeprowadzenie właściwych testów podzielonych na kategorie: • Configuration Management Testing, • Business Logic Testing, • Authentication Testing, • Authorization Testing, • Session Management Testing, • Data Validation Testing, • Denial of Service Testing, • Web Services Testing, • Ajax Testing. M. SZYBALSKI 2014 13
  14. 14. PODSUMOWANIE ZALETY • Prostota • Duża swoboda • Rozpoznawalna • Ilość testów, opisów WADY • Blackbox • Tylko aplikacje webowe • Wolny rozwój poszczególnych wersji Testing Guide`a M. SZYBALSKI 2014 14
  15. 15. BIBLIOGRAFIA • OWASP Testing Guide - https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_ of_Contents • The Basics of Hacking and Penetration Testing - Patrick Engebretson • Hacking Exposed Web Applications - Joel Scambray, Vincent Liu, Caleb Sima • The Web Application Hackers Handbook - Dafydd Stuttard, Marcus PintoM. SZYBALSKI 2014 15
  16. 16. DZIĘKUJĘ ???????? 16

×