GoldenLine
Zaloguj się
Wojciech Zdeb

Wojciech Zdeb

Temat: testowanie bezpieczeństwa - narzędzia

Witajcie,
Piszę pracę o testowaniu bezpieczeństwa systemów webowych. Zabieram się za test penetracyjny pewnego systemu i szukam narzędzi. Jeśli chodzi o skanowanie portów, badanie urządzeń w sieci, przeprowadzenie prostego ataku (np. DOS) to tu problemu nie ma, natomiast szukam narzędzia (najlepiej freeware) do podglądu treści przechodzących przez router lub serwer webowy na porcie 80, narzędzia do uruchomienia na komputerze będącym w sieci lokalnej firmy.

Pozdrawiam
Wojt@s
Link do wypowiedziLink

konto usunięte

Temat: testowanie bezpieczeństwa - narzędzia

http://www.wireshark.org/

Tym zobaczysz dużo więcej :)
Link do wypowiedziLink

konto usunięte

Temat: testowanie bezpieczeństwa - narzędzia

polecam standardowo do takich testow live distro BackTrack (http://remote-exploit.org/backtrack.html). Jednak najlepiej do podgladania ruchu wiresharkiem zrobic mirror na switchu zeby podsylal wszystkie dane wychodzace z serwera www.
nie za bardzo wiem tylko czego chcesz szukac w tych pakietach? jawnej wtopy developera ktory wysyla za duzo danych lub dane w postaci jawnej a nie szyfrowane czy hashowane?Sławomir B. edytował(a) ten post dnia 24.05.09 o godzinie 20:44
Link do wypowiedziLink
Dominik Małowiecki

Dominik Małowiecki IT Security
Architect

Temat: testowanie bezpieczeństwa - narzędzia

wszelkie proxy typu Burp Proxy,
webscarab,
sqlmap

jesli chcesz testowac aplikacje sieciowe

do sniffingu tcpdump
Link do wypowiedziLink
Wilhelm W.

Wilhelm W. IT & Content
Security CISM CISSP

Temat: testowanie bezpieczeństwa - narzędzia

polecam Cain & Abel :)

a dedykowany do serwisow webowych jest Rational AppScan

milej zabawy
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: testowanie bezpieczeństwa - narzędzia

kilka przykladow typowo pod weba:
burp suite
webscarab
w3af
nikto
z komercyjnych - dosc sensowny cenowo acunetix
Link do wypowiedziLink

konto usunięte

Temat: testowanie bezpieczeństwa - narzędzia

No i http://www.owasp.org jako kopalnia wiedzy
Link do wypowiedziLink
Wojciech Zdeb

Wojciech Zdeb

Temat: testowanie bezpieczeństwa - narzędzia

Dzięki wielkie za zainteresowanie i taką dawkę wiedzy :)
Teraz moja kwestia spróbować narzędzi i przekonać się które będzie dla mnie odpowiednie.

Pozdrawiam
Link do wypowiedziLink
Marcin P.

Marcin P. Ceo w Trialo IT /
Partner w 3motion.pl

Temat: testowanie bezpieczeństwa - narzędzia

Moze nie darmowy ale na pewno skuteczne rozwiązanie:
http://www.sophos.pl/index.php/content/view/348/
Link do wypowiedziLink
Michał Jędryka

Michał Jędryka Inżynier ds. sieci i
ich zabezpieczenia

Temat: testowanie bezpieczeństwa - narzędzia

Proponuję narzędzie AppScan, widziełem go w działaniu i polecam.
Link do wypowiedziLink
Piotr Kościński

Piotr Kościński Administrator
Bezpieczeństwa

Temat: testowanie bezpieczeństwa - narzędzia

Michał Jędryka:
Proponuję narzędzie AppScan, widziełem go w działaniu i polecam.

AppScan to juz bardziej bezpośrednio do testowania aplikacji webowej - ale nie powiem sluszne i przydatne narzędzie (zaznajamiam się z nim coraz lepiej)
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: testowanie bezpieczeństwa - narzędzia

Piotr Kościński:
Michał Jędryka:
Proponuję narzędzie AppScan, widziełem go w działaniu i polecam.

AppScan to juz bardziej bezpośrednio do testowania aplikacji webowej - ale nie powiem sluszne i przydatne narzędzie (zaznajamiam się z nim coraz lepiej)

Ten appscan to taki sobie :/ Używałem go trochę jeszcze zaraz przed przejęciem przed IBM-a.

To znaczy może inaczej - jest to jedno z lepszych narzędzi w swojej klasy (automatyczne web pen testy?), ale ogólnie tym narzędziom sporo brakuje - np. potrafią niewykryć trywialnych i przy okazji krytycznych błędów + zazwyczaj "z definicji" nie wykonują pewnego zakresu testów (np. google hacking).

To co jeszcze "uwierało mnie" w appscanie: moduł badania losowości id sesji - o wiele bardziej bogatą funkcjonalność ma darmowy burp. A przede wszystkim: brak sensownego fuzzera http do testów połautomatycznych.

Ogólnie: jeśli ma się dużo kasy i chce się mieć szybko +- sensowne narzędzie do automatycznych pentestów, gotowe o uruchomienia jutro - niezły wybór. I innym przypadku - poszukałbym innych tooli ;-)
Link do wypowiedziLink
Piotr Kościński

Piotr Kościński Administrator
Bezpieczeństwa

Temat: testowanie bezpieczeństwa - narzędzia

Michał można powiedzieć szczerze że tak naprawdę X narzędzi w połączeniu daje oczekiwane odpowiedzi :)
Link do wypowiedziLink

konto usunięte

Temat: testowanie bezpieczeństwa - narzędzia

Jeżeli chcesz sensownie podejść do testowania aplikacji webowej, nie używaj w tym celu automatycznych skanerów. Ładnie się nazywają i mają fajne listy fjuczerów, jednakże każdy kto zrobił już trochę pentestów aplikacji webowych w komercyjnych środowiskach doskonale wie o tym, iż owe skanery nie potrafią niestety w wielu przypadkach odnaleźć podstawowych błędów - nie wspominając o tych bardziej subtelnych.

Do podstawowego Twojego wyposażenia w ramach prac pentesterskich należeć będzie przeglądarka webowa (i tutaj polecam zaznajomić się z różnymi rozszerzeniami dostępnymi dla danej aplikacji) oraz tzw. debug proxy - od paru lat używam BurpSuite, wcześniej pracowałem z Parosem. Różnica dla mnie była dosyć duża.

Wracając jeszcze do skanerów - BurpSuite od wersji 1.2 professional posiada Burp Scanner. Według mnie oraz doświadczenia moich znajomych jest to obecnie NAJLEPSZY automatyczny skaner do aplikacji webowych. Ma praktycznie 100% trafność jeżeli chodzi o błędy typu XSS (łącznie z testowaniem filtrów) oraz niesamowitą skuteczność w testowaniu SQL oraz Code injection. Z ręką na sercu polecam (wydatek 125 GBP minus podatek na cały zestaw to wciąż dużo mniej, niż życzą sobie producenci "profesjonalnych" skanerów).Wojciech Pawlikowski edytował(a) ten post dnia 24.07.09 o godzinie 12:00
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: testowanie bezpieczeństwa - narzędzia

Piotr Kościński:
Michał można powiedzieć szczerze że tak naprawdę X narzędzi w połączeniu daje oczekiwane odpowiedzi :)

Do tego zestawu dołączyłbym jeszcze doświadczonego pen-testera ;-)
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: testowanie bezpieczeństwa - narzędzia

Wracając jeszcze do skanerów - BurpSuite od wersji 1.2
...

Tak w ogóle powoli zabieram się za przygotowania do porównania kilku narzędzi do pen testów.

W założeniu mają to być:

1. Acunetix.
2. IBM AppScan.
3. HP WebInspect
4. NTO Spider.
5. Burp Suite Pro.
6. WebScarab.
7. w3af.

Porównanie będzie robione pod względem raczej funkcjonalności które mogą być przydatne dla doświadczonego penterstera - niż pod względem skuteczności na jakimś określonym portalu.

Gdyby ktoś miał sugestie/prośby co można przetestować - proszę o kontakt :-)
Link do wypowiedziLink
Piotr Kościński

Piotr Kościński Administrator
Bezpieczeństwa

Temat: testowanie bezpieczeństwa - narzędzia

Jak je zrobisz to oczekuje publikacji wyników :).

A co doswiadczenia to ... jakos tak logicznie sie sklada ... jak by nie patrzyl mozna powiedziec ze swoja "zabawe" zaczynałem od nmapa telneta i przegladarki.

Co do automatyzacji - niestety czasochłonność testów wyzwala chęć uzywania automatyki.

Co do wyszukiwania błędów - niestety fakt AppScan potrafi wskazac błąd gdzie go nie ma i nie pokazać podstawowych. Dlatego też mówiłem o używaniu kilku narzędzi. A Michał słusznie dodał doświadczenie.
Link do wypowiedziLink

konto usunięte

Temat: testowanie bezpieczeństwa - narzędzia

To już na golden było wspominane 5 razy już, więc proszę poszukać, a nie zaśmiecać wątek.-) eot
Link do wypowiedziLink
Wilhelm W.

Wilhelm W. IT & Content
Security CISM CISSP

Temat: testowanie bezpieczeństwa - narzędzia

- "ogólnie tym narzędziom sporo brakuje - np. potrafią niewykryć trywialnych i przy okazji krytycznych błędów"
- "owe skanery nie potrafią niestety w wielu przypadkach odnaleźć podstawowych błędów"
- "niestety fakt AppScan potrafi wskazac błąd gdzie go nie ma i nie pokazać podstawowych"

Panowie, jak testowaliscie i takie wnioski, podajcie prosze konkretne przyklady

- "Tak w ogóle powoli zabieram się za przygotowania do porównania kilku narzędzi do pen testów"

Michał, jak idzie porównanie narzedzi ?? interesuja mnie 1,2,3,5 :-)
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: testowanie bezpieczeństwa - narzędzia

Wilhelm W.:
- "ogólnie tym narzędziom sporo brakuje - np. potrafią niewykryć trywialnych i przy okazji krytycznych błędów"
- "owe skanery nie potrafią niestety w wielu przypadkach odnaleźć podstawowych błędów"
- "niestety fakt AppScan potrafi wskazac błąd gdzie go nie ma i nie pokazać podstawowych"

Panowie, jak testowaliscie i takie wnioski, podajcie prosze konkretne przyklady

1. Prosty przykład (widziałem to w praktyce :)- nietypowa budowa URL-i (choćby pod SEO). Skaner w fazie jeden nie wykrywa w ogóle poprawnie inputów, no i mamy game over ;-)

2. Wszelakie błędy logiczne (np. w bankowosciach elektronicznych).

3. Czasem historie typu SQLi lubią być w backendach do apletów java / komponentów flash. Auto skanerom może być ciężko zlokalizować te inputy.

4. Podatności wykrywalne opóźnieniami - np. z wykorzystaniem pinga do wykrycia OS commanding czy wszelakie benchmarki() na SQLi

5. Błędy proste do wykrycia ale osadzone w "skomplikowanych" warunkach. np. kilkustronicowy formularz z nawigacją gdzie jest jakiś ewidentny błąd dla człowieka. Maszyna stosuje zazwyczaj bruteforce i biorąc pod uwagę mnogość pól i możliwości na takim formularzu często "wymięka".

6. Wykrycie gotowych OSlibów z podatnościami / podatnej infrastruktury na której całość stoi. Na tyle jest dużo możliwości że chyba nikt nie ma zintegrowanej ze skaneram pełnej bazy tego typu komponentów wraz z podatnościami.

7. Wdrożony mechanizm CAPTCHA ;-)

To tak na gorąco :-)
- "Tak w ogóle powoli zabieram się za przygotowania do porównania kilku narzędzi do pen testów"

Michał, jak idzie porównanie narzedzi ?? interesuja mnie 1,2,3,5 :-)

Powoli... Generalnie gotową mam pierwszą część o burpie pro, w następnej kolejności czeka na testy pełna wersja komercyjnego Acunetixa..jak tylko znajdę chwilę :)Michał Sajdak edytował(a) ten post dnia 13.08.09 o godzinie 13:02
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj