Сбор информации

Пентест задачи сканирования сайта и безопасности системы

действительно всерьез

Проведения теста на проникновения решает в первую очередь следующие задачи сканирование сайта и безопасность системы


70% сайтов имеют уязвимости высокой степени риска, которые приводят к компрометации ресурса и утечки данных.
Penetration test (сокр. pentest) или тест на проникновение - моделирование действий хакера на сайт, с целью получения абсолютно объективной оценки текущего уровня информационной безопасности исследуемого ресурса.


Выполнение данных работ позволяет разработать адекватную и всеобъемлющую программу мероприятий по повышению уровня защищенности веб-приложения, что в свою очередь приводит к снижению операционных, финансовых и репутационных рисков до приемлемого уровня.

Проще говоря, это конечный логический этап при разработке вашего сайта, если вы действительно всерьез задумались о безопасности.

Проведения теста на проникновения решает задачи:

    • выявление недостатков в применяемых клиентом мерах информационной безопасности и оценка возможности их использования нарушителем

    • практическая демонстрация возможности использования уязвимостей (на примере наиболее критических)

    • получение на основе объективных свидетельств комплексной оценки текущего уровня защищенности веб-приложения

    • выработка рекомендаций по устранению выявленных уязвимостей и недостатков с целью повышения уровня защищенности веб-приложения

    В большинстве случаев тестирование проходит методом черного ящик (black box).


    При таком методе используется следующая модель нарушителя: высококвалифицированный внешний нарушитель (уровень квалификации - хакер), действующий со стороны сети Интернет, не имеющий никаких привилегий и не обладающий никакими данными об исследуемом ресурсе, осуществляющий атаки, направленные на получение несанкционированного доступа к веб-приложению. Единственная информация, которой владеет исполнитель – адрес сайта.

    При проведении теста на проникновение используются общепризнанные стандарты и руководства по обеспечению информационной безопасности:

      • OWASP Testing Guide

      • OWASP Top10

      • Web Application Security Consortium Threat (WASC) Classification

      • Стандарты серии ISO 17799/27000

      Проведение работ можно логически разбить на следующие этапы:


      1. Сбор и анализ информации
      2. Тестирование на проникновение Идентификация уязвимостей
      3. Реализация атаки на веб-приложение
      4. Анализ и составление отчета
      5. Устранение уязвимостей


      На данном этапе производится сканирование портов исследуемого ресурса, а также идентификация доступных сервисов, служб, средств защиты.
      Сбор и анализ информации об имеющихся уязвимостях в обнаруженных версиях служб, сервисов, скриптах. Запросы, похожие на «защита от sql-инъекций» Выявление способов использования уязвимостей, оценка рисков использования уязвимостей. Тестирование уязвимостей OWASP Top10 (https://www.owasp.org).

      Анализ и тестирование логики веб-приложений, проверка возможности раскрытияе чувствительных данных, тестирование механизмов проверки входных данных (SQL Injection, XML Injection, XSS, Code Injection, B/H/S overflows)


      Проверка выполнение произвольного кода на стороне сервера, получение прав на чтение или запись файлов/бд на сервере, доступ к приватной информации и т.д.
      Здесь происходит объединение и упорядочивание информации, полученной в процессе тестирования.

      Составляется отчет, который содержит:

      • обзорный отчет
      • отчет об обнаруженных уязвимостях
      • вывод о состоянии информационной безопасности исследуемого ресурса
      • план по устранению выявленных уязвимостей.

      В качестве приоритетных векторов атак, для проверки используются группы тестов:


      1. «Abuse of Functionality». Злоупотребление функциональными возможностями. Использование функций веб-приложения с целью обхода механизмов разграничение доступа


      2. «Brute Force». Перебор паролей по словарям простых и стандартных паролей


      3. «Directory Indexing» Поиск листинга директорий


      4. «Content Spoofing».Подмена содержания сайта. отображение удаленного содержания под видом локального. (fopen\iframe)


      5. «Credential/Session Prediction».Предсказуемое значение идентификатора сессии позволяет перехватывать сессии других пользователей.

      Подобные атаки выполняются путем предсказания или угадывания уникального идентификатора


      6. «Cross­Site Scripting». Атака на веб­приложение, заключающиеся во внедрении в выдаваемую веб-­системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-­сервером злоумышленника


      7. «Cross­Site Request Forgery». Подделка межсайтовых запросов. Атака на посетителей веб­сайта, использующая недостатки протокола HTTP

      8. «HTTP Response Smuggling». Атаки, основанные на некорректной передачи


      9. «HTTP Response Splitting». Атаки с разделением ответов HTTP


      10. «HTTP Request Smuggling». Атаки некорректной передачи запросов HTTP


      11. «HTTP Request Splitting». Атаки с разделением запросов HTTP


      12. «LDAP Injection». Внедрение операторов LDAP ­ атака на веб-сервер, создающаю запросы к службе LDAP на основе данных


      13. «Null Byte Injection». Обход проверки фильтра веб-­инфраструктуры, путем добавления в url символа нулевого байта, с целью изменения логики веб-­приложения и получения НСД к файлам


      14. «OS Commanding». Выполнение команд ОС посредством манипуляций входными данными приложения


      15. «Path Traversal». Получения доступа к файлам, директориям и командам, находящимся вне основной директории веб-­сервера


      16. «Predictable Resource Location». Предсказуемое расположение ресурсов, позволяющие получить доступ к скрытым данным или функциональным


      17. «Remote File Inclusion» (RFI).Тип атаки, которая позволяет использовать удаленный файл на серверной стороне, через скрипт на веб­-сервере


      18. «Routing Detour». kali linux проверка сайта на уязвимости Маршрутизация SOAP сообщений


      19. «Session Fixation». Фиксация сессии. Используя данный класс атак, злоумышленник присваивает идентификатору сессии пользователя заданное


      20. «SOAP Array Abuse». Инъекции определений наборов данных в SOAP­ сообщение


      21. «SSI Injection». аудит безопасность Внедрение серверных расширений. Вставка серверных команд в HTML код или запуск их напрямую с сервера


      22. «SQL Injection». Внедрении в запрос произвольного SQL ­кода


      23. «URL Redirector Abuse». Редиректы без верификации для спама


      24. «XPath Injection». Внедрение операторов XPath ­ атаки направленные на веб-сервер, создающие запросы на языке XPath на основе данных


      25. «XML Attribute Blowup».Раздутие параметров


      26. «XML External Entities». Инклуд внешнего файла


      27. «XML Entity Expansion». Внедрение переменных из тела сообщения


      28. «XML Injection». безопасность веб сервера Внедрении в запрос произвольного XML­кода


      29. «XQuery Injection». Внедрении в запрос произвольного XQuery ­кода


      Отчет должен содержать введение, где будет описана методика проведения работ, объект аудита, границы тестирования (scope), так же должна содержаться информация об используемых инструментальных средствах анализа защищенности, которые будут применяться при тестировании.

      Каждой уязвимости, обнаруженной в ходе проведения тестирования присваивается определенная степень риска – высокая, средняя, низкая.
      Классификация уязвимостей должна быть описана в отчете, например, уязвимости присваивается высокая степень риска, если ее использование может привести к компрометации данных, доступности сервера или сервисов, выполнению произвольного кода, манипуляции с данными.

      Сюда же входят уязвимости связанные с отказом в обслуживании, слабые или стандартные пароли, отсутствие шифрования, доступ к произвольным файлам или конфиденциальных данных.

      Для описания степени риска и оценки критичности обнаруженных уязвимостей используются классификации The Common Vulnerability Scoring System (CVSSv2), MITRE (CAPEC) и OWASP. Так же все уязвимости должны быть классифицированы по сложности эксплуатации и обнаружению.


      Потенциальный злоумышленник может обойти скрипт проверки расширения загружаемого файла, что позволит ему загрузить веб-шелл, получить контроль над приложением и доступ к серверу.


      Воздействие (CVSSv2) – Бизнесс воздействие


      Конечно же в отчете должны содержаться рекомендации по устранению выявленных в процессе тестирования уязвимостей

      Похожие статьи Pentest

      информационная безопасность