codefest 2012. Белов С. — Пентест на стероидах....
TRANSCRIPT
![Page 1: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/1.jpg)
Пентест на стероидах.
Автоматизируем процесс
Белов СергейPenetration tester
![Page 2: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/2.jpg)
Тестирование на проникновение
«Пентест» - оценка безопасности конечногоузла или ресурса средствами и методамизлоумышленников
![Page 3: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/3.jpg)
Цель
Автоматизировать тестирование напроникновение сетевого ресурсапо стратегии «черного ящика»,получив объективные результаты,не потратив ни цента на ПО
![Page 4: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/4.jpg)
Этапы
1.Тестирование сетевых сервисов2.Web
– Эксплойты, уязвимости– «Слабые аккаунты»– Ошибки конфигурации– Халатность
![Page 5: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/5.jpg)
![Page 6: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/6.jpg)
Часть 1. Сетевые сервисы
Armitage(nmap + msf)
![Page 7: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/7.jpg)
Armitage
![Page 8: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/8.jpg)
![Page 9: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/9.jpg)
![Page 10: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/10.jpg)
![Page 11: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/11.jpg)
![Page 12: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/12.jpg)
![Page 13: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/13.jpg)
Уязвимых приложений не обнаружено
Уязвимое приложение обнаружено, создана shell-сессия
![Page 14: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/14.jpg)
Часть 2. Web
•Nikto •Skipfish•Havij•1337day.com, exploit-db.com
![Page 15: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/15.jpg)
Nikto
![Page 16: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/16.jpg)
![Page 17: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/17.jpg)
Havij
![Page 18: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/18.jpg)
![Page 19: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/19.jpg)
Чем еще?
•Монстрами для тестирования (shareware)
–MaxPatrol / XSpider–Acuentix–Nessus (OpenVAS)
![Page 20: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/20.jpg)
А еще...?
![Page 21: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/21.jpg)
![Page 22: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/22.jpg)
Идеальный случай - «Белый ящик»
![Page 23: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/23.jpg)
Примеры
![Page 24: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/24.jpg)
Armitage->Host->Login->ftp->check all credentials
anonymous:anonymous
- - - - > /var/www
![Page 25: CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс](https://reader031.vdocuments.net/reader031/viewer/2022020110/55a325be1a28abb27c8b480d/html5/thumbnails/25.jpg)
Другой случай
XSS, CSRF, phpmyadmin
site/scripts/config.ini