Łódqa - michał szybalski - security strategy
TRANSCRIPT
![Page 1: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/1.jpg)
DO WE REALLY NEED A STRATEGY ??
INTRODUCTION TO PENETRATION TESTING
![Page 2: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/2.jpg)
M. SZYBALSKI 2014 2
PLAN PREZENTACJI
1. Wstęp
2. Przedstawienie przykładowych faz strategii pen testów
3. Omówienie poszczególnych faz
4. Pokazanie strategii OWASP Web Application Penetration Testing
5. Pytania
![Page 3: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/3.jpg)
M. SZYBALSKI 2014 3
TEST PENETRACYJNY A AUDYT BEZPIECZEŃSTWA
• TEST polegający na przeprowadzeniu kontrolowanego ataku na system informatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń
• NIE jest to audyt – nie oparty na formalnej specyfikacji stanu pożądanego (normie, akcie prawnym), nie prowadzi do jednoznacznego określenia stopnia zgodności audytowanego obiektu ze specyfikacją
![Page 4: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/4.jpg)
M. SZYBALSKI 2014 4
ETAPY PODEJŚCIA DO TESTÓW PENETRACYJNYCH
Penetration Testing Phases
Target Scoping
Information Gathering / Reconnaissa
nce
Vulnerability Mapping
Target Exploitation
Maintaining Access
Documentation &
Reporting
![Page 5: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/5.jpg)
M. SZYBALSKI 2014 5
TARGET SCOPING
• Definiowanie wymagań klienta
• Zasięg
• Czas
• Zasoby
• Cena
• Rules of Engagement (RoE)
• Non - disclosure Agreement (NDA)
![Page 6: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/6.jpg)
M. SZYBALSKI 2014 6
INFORMATION GATHERING / RECONNAISSANCE
• Passive Information Gathering – publiczne zasoby (whois)
• Semi - Passive Information Gathering – fingerprinting (xprobe)
• Active Information Gathering – nmap, dirbuster, skipfish
![Page 7: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/7.jpg)
M. SZYBALSKI 2014 7
VULNERABILITY MAPPING
• Określamy, czy dany element systemu można wykorzystać w niebezpieczny sposób
• Przeprowadzenie różnego rodzaju testów – whitebox, blackbox
• Przeglądanie już znalezionych bugów – Jira, bugzilla, QC
• Stosowane narzędzia – OWASP ZAP, Burp, nmap, sqlmap, xsser, nikto, w3af, skipfish, arachni
![Page 8: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/8.jpg)
M. SZYBALSKI 2014 8
TARGET EXPLOITATION
• Wykonanie penetracji wybranego systemu poprzez stworzenie wektora ataku, który ominie kolejne elementy zabezpieczeń
• Celem jest zdobycie jakiegokolwiek zysku z przeprowadzonego testu
• Narzędzia – framework Metasploit, hashcat, aircrack, jack the ripper, narzędzia proxy, soapUI
![Page 9: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/9.jpg)
M. SZYBALSKI 2014 9
MAINTAINING ACCESS
• Backdoory, rootkity
• Można przyśpieszyć testy !!!
• Skrócenie czasu dostępu do skompromitowanego systemu w przyszłości
• Narzędzia - ustanowienie połączenia zwrotnego (netcat / cryptcat) lub poprzez użycie tzw. webshelli
![Page 10: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/10.jpg)
M. SZYBALSKI 2014 10
DOCUMENTATION & REPORTING
• Kluczowy element testów penetracyjnych !!!
• Znalezione podatności i problemy oraz ich eskalacja
• Dostarczenie informacji jak zweryfikować wykryte błędy
• Propozycje eliminacji / naprawy błędów
• Informacja dla biznesu o ryzyku prowadzonego projektu
![Page 11: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/11.jpg)
M. SZYBALSKI 2014 11
OWASP WEB APPLICATION PENETRATION TESTING
• Zawiera Testing Guide
• Dokument ten opisuje metodologię OWASP Web Application Penetration Testing oraz sposoby testowania zabezpieczeń
• Dostarcza informacji jak zweryfikować wykryte błędy
• Testy mają charakter blackbox
• Definiuje podział na dwie fazy: pasywną oraz aktywną
![Page 12: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/12.jpg)
M. SZYBALSKI 2014 12
FAZA PASYWNA
• Poznanie logiki aplikacji
• Zebranie informacji o badanym systemie
• Zrozumienie metody działania aplikacji oraz enumeracja, jak największej liczby punktów wejścia (access points)
![Page 13: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/13.jpg)
M. SZYBALSKI 2014 13
FAZA AKTYWNA
• Przeprowadzenie właściwych testów podzielonych na kategorie:
• Configuration Management Testing,
• Business Logic Testing,
• Authentication Testing,
• Authorization Testing,
• Session Management Testing,
• Data Validation Testing,
• Denial of Service Testing,
• Web Services Testing,
• Ajax Testing.
![Page 14: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/14.jpg)
M. SZYBALSKI 2014 14
PODSUMOWANIE
ZALETY
• Prostota
• Duża swoboda
• Rozpoznawalna
• Ilość testów, opisów
WADY
• Blackbox
• Tylko aplikacje webowe
• Wolny rozwój poszczególnych wersji Testing Guide`a
![Page 15: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/15.jpg)
M. SZYBALSKI 2014 15
BIBLIOGRAFIA
• OWASP Testing Guide - https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
• The Basics of Hacking and Penetration Testing - Patrick Engebretson
• Hacking Exposed Web Applications - Joel Scambray, Vincent Liu, Caleb Sima
• The Web Application Hackers Handbook - Dafydd Stuttard, Marcus Pinto
![Page 16: ŁódQA - Michał Szybalski - Security strategy](https://reader035.vdocuments.us/reader035/viewer/2022081422/5563855ed8b42a20358b51d5/html5/thumbnails/16.jpg)
16
DZIĘKUJĘ????????