Što je Pentest? Saznajte više o testiranju prodora (testiranje prodora)

Penetration Testing je ovlašteni simulirani cyber napad na računalo, namijenjen procjeni sigurnosti sustava. Testiranje se provodi kako bi se identificirale sve slabosti (također poznate kao ranjivosti), uključujući mogućnost da neovlaštene strane pristupe značajkama i podacima sustava, kao i prednosti koje neovlaštenim stranama dopuštaju pristup značajkama i podacima sustava.procjena rizika na razini cijelog sustava.

Što je penetracijsko testiranje?

• Što je penetracijsko testiranje?
• Faze u penetracijskom testiranju
  • 1. Pasivno prikupljanje i praćenje informacija
  • 2. Proaktivno prikupljajte i skenirajte informacije
  • 3. Korak analize i testiranja
  • 4. Pokušaji manipulacije i iskorištavanja
  • 5. Napori da se povećaju privilegije
  • 6. Izvještavanje i prezentacija
• Metode ispitivanja penetracije
  • Eksterni test (Vanjski test penetracije)
  • Interni test (testiranje prodora iznutra)
  • Slijepi test ("slijepi" test)
  • Dvostruko slijepi test
  • Ciljano testiranje
• Testiranje penetracije i vatrozid web aplikacija
• Bijeli šešir hakerski alat
  • Parrot Security OS
  • OS hakiranja uživo
  • Nmap
  • WebShag
• Gdje otići na penetracijsko testiranje?
  • HackerOne.com
  • ScienceSoft.com
  • Raxis.com

Što je penetracijsko testiranje?

Penetracijsko testiranje, također poznato kao testiranje olovkom, pentest ili etičko hakiranje, je simulirani napad na računalni sustav radi testiranja ranjivosti koje se mogu iskoristiti. U sigurnosti web aplikacija, Penetration Testing se često koristi za jačanje vatrozida web aplikacija (Web Application Firewall - WAF).

Testiranje olovke može uključivati ​​pokušaj probijanja bilo kojeg broja aplikacijskih sustava (npr. sučelja aplikacijskog protokola - API-ja, frontend/backend poslužitelja) kako bi se otkrile ranjivosti, ranjivosti, kao što je nepotvrđeni unos koji je ranjiv na ubacivanje zlonamjernog koda.

Uvidi dobiveni penetracijskim testiranjem mogu se koristiti za doradu sigurnosnih politika WAF-a i zakrpe otkrivenih ranjivosti.

Faze u penetracijskom testiranju

Proces testiranja olovke može se podijeliti u 5 faza.

1. Pasivno prikupljanje i praćenje informacija

U prvoj fazi penetracijskog testiranja i bug bounty testiranja, ispitivači moraju prikupiti informacije o ciljnom sustavu. Budući da postoji dosta metoda napada i testiranja, ispitivači penetracije moraju odrediti prioritete na temelju prikupljenih informacija kako bi odredili najprikladniju metodu.

Ovaj korak uključuje izdvajanje vrijednih detalja o infrastrukturi ciljnog sustava, kao što su nazivi domena, mrežni blokovi, usmjerivači i IP adrese unutar njegovog opsega. Osim toga, moraju se prikupiti sve relevantne informacije koje bi mogle poboljšati uspjeh napada, poput podataka o zaposlenicima i telefonskih brojeva.

Podaci dobiveni iz otvorenih izvora u ovom razdoblju mogu dati iznenađujuće važne detalje. Kako bi to postigli, hakeri s bijelim šeširom moraju iskoristiti različite izvore, s posebnim naglaskom na web stranicu ciljne organizacije i platforme društvenih medija. Pedantnim prikupljanjem ovih informacija, testeri će postaviti temelje za uspješnu akciju dodjele nagrada za bugove.

Međutim, većina organizacija nameće drugačija pravila testerima penetracije tijekom procesa dodjele nagrada za bugove. S pravnog gledišta nužno je ne odstupiti od ovih pravila.

2. Proaktivno prikupljajte i skenirajte informacije

Tester penetracije otkrit će koji su aktivni i pasivni uređaji aktivni unutar IP raspona, što se obično radi pasivnim prikupljanjem tijekom bug bounty-a. Uz pomoć informacija dobivenih tijekom ovog procesa pasivnog prikupljanja, pentester mora odrediti svoj put - treba odrediti prioritete i točno odrediti koji su testovi potrebni.

Tijekom tog razdoblja hakeri ne mogu izbjeći dobivanje informacija o operativnom sustavu, otvorenim portovima i uslugama kao i informacije o njihovoj verziji na živim sustavima.

Osim toga, ako organizacija zakonski zatraži da se testerima penetracije dopusti praćenje mrežnog prometa, tada se kritične informacije o infrastrukturi sustava mogu prikupiti, barem onoliko koliko je to moguće. Međutim, većina organizacija ne želi dati ovo dopuštenje. U takvoj situaciji ispitivač penetracije ne smije ići izvan pravila.

3. Korak analize i testiranja

U ovoj fazi, tester penetracije, nakon što je otkrio kako će ciljna aplikacija reagirati na različite pokušaje upada, pokušava uspostaviti radne veze sa sustavima koje detektira, aktivan je i pokušava ispuniti izravne zahtjeve. Drugim riječima, ovo je faza u kojoj haker s bijelim šeširom komunicira s ciljnim sustavom učinkovito koristeći usluge kao što su FTP, Netcat i Telnet.

Unatoč neuspjehu u ovoj fazi, ovdje je glavna svrha provjeriti podatke dobivene tijekom koraka prikupljanja informacija i voditi bilješke.

4. Pokušaji manipulacije i iskorištavanja

Faza napada penetracijskog testiranja

Ispitivači penetracije prikupljaju sve podatke prikupljene u prethodnim procesima za jedan cilj: pokušajte dobiti pristup ciljnom sustavu na isti način na koji bi to učinio pravi, zlonamjerni haker. Zbog toga je ovaj korak tako važan. Jer kada sudjeluju u programima za dodjelu grešaka, ispitivači penetracije trebali bi razmišljati kao pravi hakeri.

U ovoj fazi, tester penetracije pokušava prodrijeti u sustav, koristeći operativni sustav koji radi na ciljnom sustavu, otvorene portove i usluge koje služe na tim portovima, kao i moguća iskorištavanja koja mogu biti primjenjiva ovisno o njihovoj verziji. Budući da se web portali i aplikacije sastoje od puno koda i mnogo biblioteka, zlonamjerni hakeri imaju veći doseg za napad. U tom smislu, dobar tester penetracije trebao bi razmotriti sve mogućnosti i primijeniti sve moguće vektore napada dopuštene pravilima.

Za to je potrebna ozbiljna stručnost i iskustvo kako bi se mogli uspješno i fleksibilno koristiti postojeći exploiti, bez oštećenja sustava i bez ostavljanja ikakvih tragova prilikom preuzimanja sustava. Stoga je ova faza penetracijskog testiranja najvažniji korak.

5. Napori da se povećaju privilegije

Snagu sustava određuje njegova najslabija karika. Ako haker s bijelim šeširom dobije pristup sustavu, obično se prijavljuje u sustav kao korisnik s niskim ovlastima. U ovoj fazi, testeri penetracije moraju imati administratorska prava, iskorištavajući ranjivosti u operativnom sustavu ili okruženju.

Zatim će težiti preuzimanju drugih uređaja u mrežnom okruženju koristeći dodatne privilegije koje su stekli i na kraju korisničke privilegije najviše razine kao što su administrator domene ili administrator baze podataka.

6. Izvještavanje i prezentacija

Testeri penetracije izvještavaju o rezultatima traženja grešaka i primaju nagrade

Nakon što se dovrše koraci testiranja prodora i dodjele bugova, ispitivač prodora ili lovac na bugove mora predstaviti sigurnosne ranjivosti koje je otkrio u ciljnom sustavu, sljedeće korake i kako mogu iskoristiti te ranjivosti za organizaciju s detaljnim izvješćem. To bi trebalo uključivati ​​informacije kao što su snimke zaslona, ​​uzorak koda, faze napada i kako se ova ranjivost može pojaviti.

Završno izvješće također mora sadržavati preporuke rješenja o tome kako zatvoriti svaku sigurnosnu ranjivost. Osjetljivost i neovisnost penetracijskih testova ostaju misterij. Bijeli hakeri nikada ne bi smjeli dijeliti povjerljive informacije dobivene u ovoj fazi i nikada ne bi trebali zlorabiti te informacije davanjem lažnih informacija, jer je to obično protuzakonito.

Metode ispitivanja penetracije

Eksterni test (Vanjski test penetracije)

Eksterno testiranje penetracije cilja na "imovinu" tvrtke koja je vidljiva na Internetu, kao što je sama web aplikacija, web stranica tvrtke, e-pošta i poslužitelji imena domena (DNS) . Cilj je dobiti pristup i izvući vrijedne podatke.

Interni test (testiranje prodora iznutra)

U testiranju insajderskog prodora, tester s pristupom aplikaciji iza vatrozida simulira napad insajdera. Ovaj napad ne samo da upozorava na mogućnost da bi interni zaposlenik mogao biti haker, već također podsjeća administratore da spriječe da zaposlenik u organizaciji dobije podatke za prijavu nakon phishing napada .

Slijepi test ("slijepi" test)

U slijepom testu, tester dobiva samo naziv ciljane tvrtke. To daje sigurnosnom osoblju uvid u stvarnom vremenu kako bi se napad aplikacije odigrao u praksi.

Dvostruko slijepi test

U dvostruko slijepom testu, službenik za sigurnost nema prethodnog znanja o napadu koji se simulira. Baš kao u stvarnom svijetu, nije uvijek moguće unaprijed znati napade kako bi se poboljšala obrana.

Ciljano testiranje

U ovom scenariju, i ispitivač i službenik za sigurnost radit će zajedno i kontinuirano ocjenjivati ​​postupke onog drugog. Ovo je vrijedna vježba obuke koja sigurnosnom timu pruža povratne informacije u stvarnom vremenu iz hakerske perspektive.

Testiranje penetracije i vatrozid web aplikacija

Testiranje prodora i WAF neovisne su sigurnosne mjere, ali pružaju komplementarne prednosti.

Za mnoge vrste testiranja olovkom (osim slijepog i dvostruko slijepog testiranja), ispitivači mogu koristiti podatke WAF-a, kao što su zapisi, za lociranje i iskorištavanje slabosti aplikacije.

S druge strane, WAF administratori mogu imati koristi od podataka testa olovke. Nakon što je testiranje završeno, WAF konfiguracija se može ažurirati kako bi se zaštitila od slabosti otkrivenih tijekom testiranja.

Naposljetku, testiranje olovke ispunjava brojne zahtjeve usklađenosti sa sigurnosnim testiranjem, uključujući PCI DSS i SOC 2. Neki standardi, poput PCI-DSS 6.6, mogu se zadovoljiti samo upotrebom certificiranog WAF-a.

Bijeli šešir hakerski alat

Bijeli šeširi hakeri koriste testiranje olovkom za pronalaženje pogrešaka i ranjivosti

Etičko hakiranje nije posao koji zahtijeva samo vještine. Većina hakera s bijelim šeširom (etičkih hakera) koristi specijalizirane operativne sustave i softver kako bi si olakšali rad, izbjegavajući ručne pogreške.

Dakle, za što ti hakeri koriste testiranje olovkom? Dolje je nekoliko primjera.

Parrot Security OS

Parrot Security je operativni sustav temeljen na Linuxu dizajniran za testiranje penetracije i procjenu ranjivosti. Prilagođen je oblaku, jednostavan za korištenje i podržava različit softver otvorenog koda.

OS hakiranja uživo

Također kao operativni sustav Linux, Live Hacking je prikladan izbor za one koji rade pentestiranje, jer je lagan i ne zahtijeva visok hardver. Live Hacking dolazi unaprijed zapakiran s alatima i softverom za testiranje prodora i etičko hakiranje.

Nmap

Nmap je obavještajni alat otvorenog koda (OSINT) koji nadzire mreže, prikuplja i analizira podatke o hostovima uređaja i poslužiteljima, što ga čini vrijednim za crne, sive i bijele hakere.

Nmap je također višeplatformski i radi s Linuxom, Windowsima i macOS-om, pa je idealan za etičke hakere početnike.

WebShag

WebShag je također OSINT alat. Ovo je alat za testiranje sustava koji skenira HTTPS i HTTP protokole i prikuplja relativne podatke i informacije. Koriste ga etički hakeri za izvođenje vanjskih testova prodora putem javnih web stranica.

Gdje otići na penetracijsko testiranje?

Testiranje vlastite mreže olovkom nije najbolja opcija jer možda niste prikupili dovoljno detaljnog znanja o njoj, što vam otežava kreativno razmišljanje i pronalaženje skrivenih ranjivosti. Trebali biste angažirati neovisnog hakera s bijelim šeširom ili usluge tvrtke koja pruža usluge testiranja olovke.

Međutim, angažiranje vanjskih osoba da hakiraju vašu mrežu može biti vrlo riskantno, osobito ako im dajete povjerljive informacije ili interni pristup. Zbog toga biste trebali koristiti pouzdane treće strane. Evo nekoliko prijedloga za vašu referencu:

HackerOne.com

HackerOne je tvrtka sa sjedištem u San Franciscu koja pruža usluge testiranja penetracije, procjene ranjivosti i usklađenosti protokola.

ScienceSoft.com

Smješten u Teksasu, ScienceSoft pruža usluge procjene ranjivosti, testiranja olovke, usklađenosti i testiranja infrastrukture.

Raxis.com

Sa sjedištem u Atlanti, Georgia, Raxis pruža vrijedne usluge od testiranja olovke i pregleda sigurnosnih kodova do obuke za odgovor na incidente, procjene ranjivosti i obuke za sprječavanje napada društvenim inženjeringom .