SlideShare a Scribd company logo

CodeFest 2012 - Пентест на стероидах

Sergey Belov, profile picture
Sergey Belov

Документ описывает автоматизацию процесса тестирования на проникновение (пентест) сетевых ресурсов с использованием методологии 'черного ящика'. Основное внимание уделяется использованию различных инструментов для тестирования сетевых сервисов и веб-приложений, в том числе Armitage, Nikto и Havij, а также выявлению уязвимых приложений. Цель заключается в получении объективных результатов тестирования без значительных затрат.

1 of 27
Downloaded 32 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
Пентест на стероидах. Автоматизируем процесс Белов Сергей Penetration tester
Тестирование на проникновение «Пентест» - оценка безопасности конечного узла или ресурса средствами и методами злоумышленников
Цель Автоматизировать тестирование на проникновение сетевого ресурса по стратегии «черного ящика», получив объективные результаты, не потратив ни цента на ПО
Этапы 1. Тестирование сетевых сервисов 2. Web – Эксплойты, уязвимости – «Слабые аккаунты» – Ошибки конфигурации – Халатность
CodeFest 2012 - Пентест на стероидах
Часть 1. Сетевые сервисы Armitage (nmap + msf)
Armitage
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
Уязвимых приложений не обнаружено Уязвимое приложение обнаружено, создана shell-сессия
Часть 2. Web • Nikto • Skipfish • Havij • 1337day.com, exploit-db.com
Nikto
CodeFest 2012 - Пентест на стероидах
Havij
CodeFest 2012 - Пентест на стероидах
Чем еще? • Монстрами для тестирования (shareware) –MaxPatrol / XSpider –Acuentix –Nessus (OpenVAS)
А еще...?
CodeFest 2012 - Пентест на стероидах
Идеальный случай - «Белый ящик»
Примеры
Armitage->Host->Login->ftp->check all credentials anonymous:anonymous - - - - > /var/www
Другой случай XSS, CSRF, phpmyadmin site/scripts/config.ini
Demo
pwn3d! Спасибо за внимание, вопросы? http://sergeybelove.ru sergeybelove@gmail.com belov_sv@bitworks-software.com

More Related Content

PPTX
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
PPTX
Application security? Firewall it!
Positive Hack Days
 
PPTX
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
 
PPTX
Целевые атаки: прицелься первым
Positive Hack Days
 
PDF
Безопасность Drupal сайтов
Eugene Fidelin
 
PPT
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
 
PPTX
[DagCTF 2015] Hacking motivation
beched
 
PDF
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
Application security? Firewall it!
Positive Hack Days
 
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
 
Целевые атаки: прицелься первым
Positive Hack Days
 
Безопасность Drupal сайтов
Eugene Fidelin
 
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
 
[DagCTF 2015] Hacking motivation
beched
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
 

What's hot (20)

PDF
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
PPTX
Воркшоп по анализ защищённости веб-приложений
beched
 
PPT
Информационная безопасность и web-приложения
Maxim Krentovskiy
 
PPTX
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest
 
PDF
Е. Фиделин Безопасность Drupal сайтов
Albina Tiupa
 
PDF
Техники пентеста для активной защиты - Николай Овчарук
HackIT Ukraine
 
PPTX
Blackbox-тестирование веб-приложений
beched
 
PPTX
Владимир Кочетков "OWASP TOP 10 для.NET"
MskDotNet Community
 
PPTX
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
 
PDF
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
PPTX
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
KazHackStan
 
PDF
Risspa domxss
yaevents
 
PPTX
Криптология в анализе защищённости
beched
 
PPTX
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
PDF
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
KazHackStan
 
KEY
Securing Rails Applications
Alexander Kirillov
 
PPTX
С чего начать свой путь этичного хакера? - Вадим Чакрян
HackIT Ukraine
 
PPTX
Алгоритмы пентестов. BaltCTF 2012
beched
 
PDF
Тропинка через минное поле — Леонычев Юрий
Yandex
 
PPTX
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
KazHackStan
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
Воркшоп по анализ защищённости веб-приложений
beched
 
Информационная безопасность и web-приложения
Maxim Krentovskiy
 
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest
 
Е. Фиделин Безопасность Drupal сайтов
Albina Tiupa
 
Техники пентеста для активной защиты - Николай Овчарук
HackIT Ukraine
 
Blackbox-тестирование веб-приложений
beched
 
Владимир Кочетков "OWASP TOP 10 для.NET"
MskDotNet Community
 
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
KazHackStan
 
Risspa domxss
yaevents
 
Криптология в анализе защищённости
beched
 
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
KazHackStan
 
Securing Rails Applications
Alexander Kirillov
 
С чего начать свой путь этичного хакера? - Вадим Чакрян
HackIT Ukraine
 
Алгоритмы пентестов. BaltCTF 2012
beched
 
Тропинка через минное поле — Леонычев Юрий
Yandex
 
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
KazHackStan
 
Ad

Viewers also liked (17)

PDF
CodeFest 2014 - Pentesting client/server API
Sergey Belov
 
PPTX
Nginx warhead
Sergey Belov
 
PPTX
Attacking thru HTTP Host header
Sergey Belov
 
PDF
ZeroNights - SmartTV
Sergey Belov
 
PPTX
современная практика статического анализа безопасности кода веб приложений
Sergey Belov
 
PPTX
Опыт организации тестирования безопасности Web приложений в компании
SQALab
 
PDF
(Не)безопасный frontend
Sergey Belov
 
PDF
Waf.js: How to Protect Web Applications using JavaScript
Denis Kolegov
 
PPTX
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
DOC
PT Penetration Testing Report (sample)
Dmitry Evteev
 
PPTX
DCS Test Stand
Gubkin Russian State University of Oil&Gas
 
DOC
Pentest Report Sample
Training center "Echelon"
 
PDF
очир абушинов
Alexei Lupan
 
PPTX
Impact Analysis в тестировании
QA Dnepropetrovsk Community (Ukraine)
 
PPTX
Pentesting iOS Applications
jasonhaddix
 
PPTX
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
 
PDF
Как реагировать на инциденты ИБ с помощью DLP?
Solar Security
 
CodeFest 2014 - Pentesting client/server API
Sergey Belov
 
Nginx warhead
Sergey Belov
 
Attacking thru HTTP Host header
Sergey Belov
 
ZeroNights - SmartTV
Sergey Belov
 
современная практика статического анализа безопасности кода веб приложений
Sergey Belov
 
Опыт организации тестирования безопасности Web приложений в компании
SQALab
 
(Не)безопасный frontend
Sergey Belov
 
Waf.js: How to Protect Web Applications using JavaScript
Denis Kolegov
 
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
PT Penetration Testing Report (sample)
Dmitry Evteev
 
DCS Test Stand
Gubkin Russian State University of Oil&Gas
 
Pentest Report Sample
Training center "Echelon"
 
очир абушинов
Alexei Lupan
 
Impact Analysis в тестировании
QA Dnepropetrovsk Community (Ukraine)
 
Pentesting iOS Applications
jasonhaddix
 
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
 
Как реагировать на инциденты ИБ с помощью DLP?
Solar Security
 
Ad

Similar to CodeFest 2012 - Пентест на стероидах (9)

PPT
Penetration testing (AS IS)
Dmitry Evteev
 
PPT
Что такое пентест
Dmitry Evteev
 
PPT
Ломаем (и строим) вместе
Dmitry Evteev
 
PPTX
Белов наиболее часто уязвимые места в веб приложениях
qasib
 
PPT
Дащенко Владимир (УЦСБ) - Практический опыт проведения тестирований на проник...
Expolink
 
PDF
Методологии аудита информационной безопасности
Positive Hack Days
 
PDF
«Тестируем веб приложения», Павел Сташевский
DevDay
 
PDF
OpenSource инструменты. Тестируем Web-приложения
lugnsk
 
PDF
Охота на угрозы на BIS summit 2016
Sergey Soldatov
 
Penetration testing (AS IS)
Dmitry Evteev
 
Что такое пентест
Dmitry Evteev
 
Ломаем (и строим) вместе
Dmitry Evteev
 
Белов наиболее часто уязвимые места в веб приложениях
qasib
 
Дащенко Владимир (УЦСБ) - Практический опыт проведения тестирований на проник...
Expolink
 
Методологии аудита информационной безопасности
Positive Hack Days
 
«Тестируем веб приложения», Павел Сташевский
DevDay
 
OpenSource инструменты. Тестируем Web-приложения
lugnsk
 
Охота на угрозы на BIS summit 2016
Sergey Soldatov
 

CodeFest 2012 - Пентест на стероидах