Teste de penetração [fechado]

11

Estamos implantando um novo site, hospedado por nós mesmos. Se não fosse o chapéu branco, como você faria o teste de penetração de fora da rede?

Marko Carter
fonte
I fazer quer um chapéu branco, o problema que tenho é que a empresa está relutante em gastar o dinheiro. Para obter o financiamento, preciso expor primeiro qualquer vulnerabilidade (frango e ovo, eu sei), portanto, idealmente, preciso de uma solução gratuita em primeira instância. Alguma ideia?
27411 Marko Carter
na pilha do windows?
jinsungy
Sim, o Windows Server 2008 Web Edition usando IIS7 para a máquina host, falando com dois servidores databse (tanto Windows 2003, um com SQL 2000 e outro com SQL 2005)
Marko Carter

Respostas:

7

os consultores da whitehat que eu já vi entrar e usar essa ferramenta e enviar uma fatura enorme.

Dê uma olhada no OWASP (Projeto de segurança de aplicativos da Web abertos), eles são muito informativos e gratuitos! eles têm um guia de teste de caneta muito detalhado que você deve consultar.

Nick Kavadias
fonte
1
isso é muito caro.
jinsungy
3

Ferramentas que eu usaria

Nmap Sister Tool SQLMap

e Nessus

também varredura rápida para injeção de XSS e HTML http://www.seoegghead.com/tools/scan-for-html-injection.seo também http://www.cirt.net/nikto2

Certifique-se de ter observado isso durante o desenvolvimento do OWASP

Você também deve verificar o Guia de Segurança do Guia de Segurança do MS Windows Server 2008


fonte
O problema com o Nessus é que o feed não é mais gratuito, a menos que você seja um usuário doméstico. nessus.org/plugins/index.php?view=feed
K. Brian Kelley
2

O McAfee Secure oferece um serviço de varredura bastante decente, que analisará o servidor, a rede e o próprio site de maneira automatizada e sob demanda. Seu scanner é certificado para digitalizações PCI, por isso é bastante abrangente.

Justin Scott
fonte
2

Outra opção é Qualys . Lembre-se de que a Qualys e a solução mcAfee Secure são scanners de vulnerabilidades. O teste de caneta pode ser automatizado com relação às varreduras, e algumas delas podem ser automatizadas para ataques de injeção de XSS e SQL, mas, no final das contas, você deseja um penteado respeitável que verifique o sistema.

K. Brian Kelley
fonte
I fazer quer um chapéu branco, o problema que tenho é que a empresa está relutante em gastar o dinheiro. Para obter o financiamento, preciso expor primeiro qualquer vulnerabilidade (frango e ovo, eu sei), portanto, idealmente, preciso de uma solução gratuita em primeira instância. Alguma ideia?
27411 Marko Carter
Livre? Comece com o básico que você pode fazer: nmap ( nmap.org ) para fazer uma verificação de porta e serviço e nikto ( cirt.net/nikto2 ) para fazer uma verificação de vulnerabilidade.
K. Brian Kelley
2

A primeira coisa seria uma varredura de rede . Como você está na pilha do Windows, use zenmap e verifique o servidor da web e os dois servidores sql. Isso informará sobre portas e serviços abertos em execução. Execute o zenmap no teste abrangente. Eu usaria essas informações para ajustar seu firewall para bloquear as portas expostas.

Outra coisa que você gostaria de fazer é procurar por vulnerabilidades de injeção de SQL .

Scrawlr é um software gratuito para verificar vulnerabilidades de injeção SQL em seus aplicativos da web.

É desenvolvido pelo HP Web Security Research Group em coordenação com o Microsoft Security Response Center.

Confira este vídeo ScreenToaster que eu criei. Ele demonstra uma varredura de rede simples para servidor sql, porta 1433 e uma injeção básica de SQL.

jinsungy
fonte
1

Lista dos 10 principais scanners de vulnerabilidade: http: // sectools.org/vuln-scanners.html

Há também o Baseline Security Analyzer da Microsoft, que deve fazer parte da sua configuração básica, caso ainda não esteja antes de implantar um servidor para produzir: http: // www.microsoft.com/downloads/details.aspx?familyid=F32921AF-9DBE-4DCE- 889E-ECF997EB18E9 & displaylang = pt

SQLChicken
fonte
1

Nikto é um bom começo para procurar vulnerabilidades conhecidas. Funciona no Windows e Linux, etc. Simples o suficiente, mesmo para noobs como eu :)

DougN
fonte
0

Independentemente da tecnologia, você precisa conhecer as ameaças. Você precisa saber quais são os dados que você está tentando proteger? Você precisa saber como seu site funciona. Faça um modelo de ameaça primeiro esquecendo-se desses métodos mágicos de tecnologia de balas de segurança. Você precisa descobrir onde está antes de gastar dinheiro desperdiçado em um teste de penetração.

Matt Parsons CISSP mparsons1980 [at] gmail.com


fonte
0

Na verdade, sou o principal criador de um novo LiveCD Distro, que é uma bifurcação do Backtrack 4. O Distro incorpora tudo o necessário para fazer bons testes de penetração (OpenVAS, Metasploit, fasttrack, milw0rm exploits ...). O nome dele é shadowcircle, e você pode conferir @

www.shadowcircle.org.

Espero que você goste;)


fonte
0

Existe uma variedade de ferramentas de licença pública disponíveis, no entanto, onde eu opero, usamos o Firefox e o Paros Proxy para manipular mensagens e obter, WebInspect para relatórios de vulnerabilidade de aplicativos e QualysGuard Enterprise para uma boa verificação de hosts à moda antiga. Dependendo de quais são os resultados, fazemos ajustes na postura e na configuração da segurança da caixa, criamos formulários de aceitação de risco para coisas que não podemos mudar ou contratamos outras ferramentas para decidir se uma descoberta é realmente algo com que se preocupar.

user5605
fonte