Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

CodeFest 2012 - Пентест на стероидах

157,857 views

Published on

codefest.ru/program/2012-03/pentest-on-steroids/

  • Be the first to comment

  • Be the first to like this

CodeFest 2012 - Пентест на стероидах

  1. 1. Пентест на стероидах.Автоматизируем процесс Белов Сергей Penetration tester
  2. 2. Тестирование на проникновение«Пентест» - оценка безопасности конечногоузла или ресурса средствами и методамизлоумышленников
  3. 3. ЦельАвтоматизировать тестирование напроникновение сетевого ресурсапо стратегии «черного ящика»,получив объективные результаты,не потратив ни цента на ПО
  4. 4. Этапы1. Тестирование сетевых сервисов2. Web – Эксплойты, уязвимости – «Слабые аккаунты» – Ошибки конфигурации – Халатность
  5. 5. Часть 1. Сетевые сервисы Armitage (nmap + msf)
  6. 6. Armitage
  7. 7. Уязвимых приложений не обнаруженоУязвимое приложение обнаружено, создана shell-сессия
  8. 8. Часть 2. Web• Nikto• Skipfish• Havij• 1337day.com, exploit-db.com
  9. 9. Nikto
  10. 10. Havij
  11. 11. Чем еще?• Монстрами для тестирования (shareware) –MaxPatrol / XSpider –Acuentix –Nessus (OpenVAS)
  12. 12. А еще...?
  13. 13. Идеальный случай - «Белый ящик»
  14. 14. Примеры
  15. 15. Armitage->Host->Login->ftp->check all credentials anonymous:anonymous - - - - > /var/www
  16. 16. Другой случайXSS, CSRF, phpmyadmin site/scripts/config.ini
  17. 17. Demo
  18. 18. pwn3d!Спасибо за внимание, вопросы? http://sergeybelove.ru sergeybelove@gmail.com belov_sv@bitworks-software.com

×