Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

CodeFest 2012 - Пентест на стероидах

157,985 views

Published on

codefest.ru/program/2012-03/pentest-on-steroids/

  • Dating direct: ♥♥♥ http://bit.ly/2Y8gKsI ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Follow the link, new dating source: ♥♥♥ http://bit.ly/2Y8gKsI ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

CodeFest 2012 - Пентест на стероидах

  1. 1. Пентест на стероидах.Автоматизируем процесс Белов Сергей Penetration tester
  2. 2. Тестирование на проникновение«Пентест» - оценка безопасности конечногоузла или ресурса средствами и методамизлоумышленников
  3. 3. ЦельАвтоматизировать тестирование напроникновение сетевого ресурсапо стратегии «черного ящика»,получив объективные результаты,не потратив ни цента на ПО
  4. 4. Этапы1. Тестирование сетевых сервисов2. Web – Эксплойты, уязвимости – «Слабые аккаунты» – Ошибки конфигурации – Халатность
  5. 5. Часть 1. Сетевые сервисы Armitage (nmap + msf)
  6. 6. Armitage
  7. 7. Уязвимых приложений не обнаруженоУязвимое приложение обнаружено, создана shell-сессия
  8. 8. Часть 2. Web• Nikto• Skipfish• Havij• 1337day.com, exploit-db.com
  9. 9. Nikto
  10. 10. Havij
  11. 11. Чем еще?• Монстрами для тестирования (shareware) –MaxPatrol / XSpider –Acuentix –Nessus (OpenVAS)
  12. 12. А еще...?
  13. 13. Идеальный случай - «Белый ящик»
  14. 14. Примеры
  15. 15. Armitage->Host->Login->ftp->check all credentials anonymous:anonymous - - - - > /var/www
  16. 16. Другой случайXSS, CSRF, phpmyadmin site/scripts/config.ini
  17. 17. Demo
  18. 18. pwn3d!Спасибо за внимание, вопросы? http://sergeybelove.ru sergeybelove@gmail.com belov_sv@bitworks-software.com

×