Przewiń do zawartości

Jak wyglądają testy penetracyjne cz.2 – blackbox

Po rekonesansie przyszła pora abyśmy przeszli już do konkretnego testowania. W tej części testów działamy podobnie jak haker. Testujemy i szukamy luk w zabezpieczeniach na podstawie danych, które wcześniej sami znaleźliśmy. Po prostu, próbujemy sforsować infrastrukturę, którą firma udostępnia publicznie w Internecie.

Dzisiejszy wpis jest kontynuacją całego cyklu „Jak wyglądają testy penetracyjne”. Tutaj omawiam metodologię testów zdobytych na podstawie własnych doświadczeń. 

Jeżeli nie czytałeś poprzedniego artykułu, przeczytaj najpierw go, a następnie wróć do tego wpisu 😉 To tam opisałem cały wstęp do tej serii:

  • Jaki jest jej cel serii
  • Skąd biorę te informacje
  • Jak wygląda pierwszy etap testów
Testy penetracyjne krok po kroku
Jak wyglądają testy penetracyjne cz.1 – rekonesans

Czym jest blackbox

Etap blackbox to nic innego jak próba wcielenia się w skórę hakera i na podstawie zdobytych wcześniej informacji, próbować dostać się do informatycznej infrastruktury firmy. Stosujemy tutaj metodologię Server Side Attacks, czyli testujemy pod względem podatności konkretne serwery. 

W szczególności przydadzą nam się informacje z wywiadu jawnoźródłowego jak:

  • Lista publicznych adresów IP
  • Informacje z jakiego oprogramowania korzystają np. WordPress
  • Wypunktowane wszystkie miejsca, które mogą być podatne na SQL Injection czy XSS itp.

Najpierw? Testy automatyczne!

Jest to przyjemniejsza i łatwiejsza część testu, ponieważ zlecamy szukanie podatności gotowemu oprogramowaniu jak np. Nessus. 

Tworzymy konkretne skany podając tylko i wyłącznie adres IP danego hosta. Reszta dzieje się sama. Program sam wypisze nam wszystkie konkretne podatności jakie znalazł. Odrazu przypisze je do konkretnej kategorii (Krytyczne, Wysokie, Średnie, Niskie skutki wykorzystania podatności). Następnie powinniśmy je przejrzeć i zweryfikować. 

Nessus - jedno z narzędzi do etapu blackbox
Przykładowy zrzut ekranu z programu Nessus

I tutaj dowiedziałem się czegoś nowego. Pentester ma znaleźć podatności i je wypisać, nie musi ich udowadniać wykorzystując daną lukę w oprogramowaniu! Oczywiście, zawsze lepiej opisać dane zdarzenie w raporcie jako

„Znaleźliśmy taką i taką podatność, która pozwala dostać nam się tu i tu i zdobyć takie i takie informacje”

Brzmi to o wiele lepiej i bardziej przekonująco niż:

„Znaleźliśmy taką podatność, załatajcie ją”

I tutaj mam pytanie do Ciebie odnośnie tego tematu. Wykorzystywać konkretną podatność czy tylko ją zgłosić? Z jednej strony powinniśmy “włamać” się co systemu i sprawdzić co to nam da. Jednak z drugiej strony czas jest bardzo cenny. Daj znać w komentarzu jak Ty byś podszedł do tego tematu!

Znajdź to sam

Programy automatyczne są tylko programami działającymi na konkretnych bazach danych, w których opisano podatności. Trzeba mieć na względzie, że baza może być nieaktualna lub może być w niej po prostu błąd.

Dlatego powinniśmy sami ręcznie przeszukać konkretne hosty. To jest bardzo ciężka i mozolna praca. To co było łatwe zostało już znalezione przez skanery. My zaś powinniśmy szukać czegoś niekonwencyjnego, czegoś nowego. Może coś zostało przeoczone w konfiguracji sprzętu, może są jakieś standardowe hasła są na systemach?

Powinniśmy szukać podatności np. w formularzach (choć są też i do tego narzędzia). Miejsc jest naprawdę dużo i tutaj na pewno przyda nam się doświadczenie. Doświadczenie, które zdobędziemy dopiero po wykonaniu kilku takich testów.

Nie przegap kolejnych artykułów!

Subskrybuj blog i nie przegap kolejnego artykułu z serii “Jak wyglądają testy penetracyjne”! Drogą mailową powiadomię Cię o każdym kolejnym artykule 😉

To właśnie blackbox

Teraz już widzisz, dlaczego na etapie blackbox zachowujemy się jak haker. Działamy tutaj tylko w oparciu o wiedzę zdobytą z Internetu. Nie korzystamy z pomocy klienta, wszystkiego szukamy sami. 

Oczywiście są narzędzia, które pomogą nam w tej pracy. Jednak są one tylko pomocnikiem i my jako pentester i tak, i tak powinniśmy zweryfikować ich słuszność. Gdzie następnie przejść do cięższej fazy testów, w której sami ręcznie testujemy konkretne serwisy. Co w szczególności będzie wymagać naszego doświadczenia.

Przydatne oprogramowanie:

  • NMap – narzędzie do skanowania hostów i sieci
  • WPScan – narzędzie do skanowania oprogramowania WordPress
  • Nessus – automatyczne narzędzie do szukania podatności
  • Metaspolit – narzędzie do wykorzystywania podatności

Jestem jednak ciekaw co Ty sądzisz na jeden konkretny temat:

W trakcie testów penetracyjnyech powinniśmy tylko znaleźć podatność czy również i ją wykorzystać, aby pokazać pracodawcy jakie dane są narażone?

Daj znać w komentarzu!

Podobne artykuły:

Phising? Nie daj się oszukać w 4 krokach!
Phishing w 4 krokach
NMap/ZenMap - skanowanie sieci
Nmap, zaawansowane skanowanie sieci
Podziel się artykułem !
  •  
  •  
  •  
  •  

Skomentuj pierwszy!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *