Testy penetracyjne [zamknięte]

11

Wdrażamy nową stronę internetową, hostowaną przez nas. Brakuje ci białych czapek, jak poszedłbyś na testy penetracyjne spoza sieci?

Marko Carter
źródło
I zrobić chcą biały kapelusz w problem mam to, że firma nie chce wydawać pieniądze. Aby uzyskać fundusze, najpierw muszę ujawnić każdą lukę (kurczak i jajko, wiem), dlatego idealnie potrzebuję darmowego rozwiązania w pierwszej kolejności. Jakieś pomysły?
Marko Carter
na stosie okien?
jinsungy
Tak, Windows Server 2008 Web Edition przy użyciu IIS7 dla komputera hosta, rozmawiający z dwoma serwerami danych (oba Windows 2003, jeden z SQL 2000 i drugi z SQL 2005)
Marko Carter

Odpowiedzi:

7

konsultanci whitehat, których widziałem, weszli i używają tego narzędzia, a następnie wysyłają ogromny rachunek.

Spójrz na OWASP (Open Web Application Security Project), są one bardzo pouczające i bezpłatne! mają bardzo szczegółowy przewodnik po testach piórkowych , na który trzeba spojrzeć.

Nick Kavadias
źródło
1
to dosyć kosztowne.
jinsungy
3

Narzędzia, których bym użył

Nmap Sister Tool SQLMap

i Nessus

także szybkie skanowanie w poszukiwaniu XSS i HTML Injection http://www.seoegghead.com/tools/scan-for-html-injection.seo również http://www.cirt.net/nikto2

Upewnij się, że spojrzałeś na to podczas tworzenia OWASP

Musisz również sprawdzić Zabezpieczenia z Przewodnika bezpieczeństwa MS Windows Server 2008


źródło
Problem z Nessus polega na tym, że kanał nie jest już bezpłatny, chyba że jesteś użytkownikiem domowym. nessus.org/plugins/index.php?view=feed
K. Brian Kelley
2

McAfee Secure oferuje całkiem przyzwoitą usługę skanowania, która będzie patrzeć na serwer WWW, sieć i samą stronę internetową w sposób zautomatyzowany na żądanie. Ich skaner jest certyfikowany do skanowania PCI, więc jest dość wszechstronny.

Justin Scott
źródło
2

Inną opcją jest Qualys . Należy pamiętać, że Qualys i rozwiązanie mcAfee Secure to skanery narażenia na atak. Testowanie piórem może być zautomatyzowane w odniesieniu do skanów, a niektóre z nich mogą być zautomatyzowane w przypadku ataków XSS i SQL wstrzykiwania, ale ostatecznie chcesz sprawdzonego systemu sprawdzonego pentestru.

K. Brian Kelley
źródło
I zrobić chcą biały kapelusz w problem mam to, że firma nie chce wydawać pieniądze. Aby uzyskać fundusze, najpierw muszę ujawnić każdą lukę (kurczak i jajko, wiem), dlatego idealnie potrzebuję darmowego rozwiązania w pierwszej kolejności. Jakieś pomysły?
Marko Carter
Darmowy? Zacznij od podstaw, które możesz zrobić sam: nmap ( nmap.org ), aby wykonać skanowanie portów i usług, oraz nikto ( cirt.net/nikto2 ), aby wykonać skanowanie w poszukiwaniu luk.
K. Brian Kelley
2

Pierwszą rzeczą byłoby skanowanie sieci . Ponieważ jesteś na stosie systemu Windows, użyj zenmap i przeskanuj serwer WWW i oba serwery SQL. Dzięki temu dowiesz się o uruchomionych otwartych portach i usługach. Uruchom zenmap w kompleksowym teście. Użyłbym tych informacji, aby dostosować twoją zaporę ogniową do blokowania odsłoniętych portów.

Inną rzeczą, którą chcesz zrobić, jest poszukiwanie luk w zabezpieczeniach SQL Injection .

Scrawlr to darmowe oprogramowanie do skanowania luk w zabezpieczeniach związanych z iniekcją SQL w aplikacjach internetowych.

Jest rozwijany przez HP Web Security Research Group we współpracy z Microsoft Security Response Center.

Sprawdź to wideo ScreenToaster, które utworzyłem. Pokazuje prosty skan sieciowy dla serwera SQL, portu 1433 i podstawowego wstrzykiwania SQL.

jinsungy
źródło
1

Lista najlepszych skanerów narażonych na atak: http: // sektools.org/vuln-scanners.html

Jest też Microsoft Baseline Security Analyzer, który powinien być częścią twojej podstawowej konfiguracji, jeśli nie jest jeszcze zanim wdrożysz serwer do prod: http: // www.microsoft.com/downloads/details.aspx?familyid=F32921AF-9DBE-4DCE- 889E-ECF997EB18E9 & displaylang = en

SQLChicken
źródło
1

Nikto to dobry początek poszukiwania dobrze znanych luk. Działa w systemach Windows i Linux itp. Prosty nawet dla noobów takich jak ja :)

DougN
źródło
0

Niezależnie od technologii musisz znać zagrożenia. Musisz wiedzieć, jakie dane chcesz chronić? Musisz wiedzieć, jak działa Twoja strona internetowa. Wykonaj model zagrożenia, najpierw zapominając o tych magicznych metodach bezpieczeństwa. Musisz dowiedzieć się, gdzie jesteś, zanim wydasz niepotrzebne pieniądze na test penetracyjny.

Matt Parsons CISSP mparsons1980 [at] gmail.com


źródło
0

Właściwie jestem głównym twórcą nowego, najczystszego LiveCD Distro, który jest rozwidleniem Backtrack 4. Distro zawiera wszystko, co potrzebne do dobrych testów penetracyjnych (OpenVAS, Metasploit, fasttrack, exploity milw0rm ...). Jego nazwa to shadowcircle i możesz to sprawdzić @

www.shadowcircle.org.

Mam nadzieję, że ci się spodoba;)


źródło
0

Do Państwa dyspozycji jest wiele publicznych narzędzi licencyjnych, jednak tam, gdzie działam, używamy Firefox i Paros Proxy do manipulowania postami i pobraniami, WebInspect do raportowania podatności aplikacji i QualysGuard Enterprise do skanowania starych, dobrych hostów. W zależności od wyników wprowadzamy zmiany w konfiguracji i stanie zabezpieczeń skrzynki, tworzymy formularze akceptacji ryzyka dla rzeczy, których nie możemy zmienić, lub angażujemy inne narzędzia, aby zdecydować, czy znalezienie jest czymś, o co należy się martwić.

użytkownik5605
źródło