Wir stellen eine neue Website bereit, die wir selbst gehostet haben. Wie würden Sie Penetrationstests von außerhalb des Netzwerks durchführen, ohne weiße Hüte zu tragen?
Ich tun will einen weißen Hut in, ich habe das Problem ist , dass das Unternehmen nur ungern das Geld ausgeben. Um die Finanzierung zu erhalten, muss ich zuerst eine Sicherheitslücke aufdecken (Hühnchen und Ei, ich weiß), daher brauche ich im Idealfall zunächst eine kostenlose Lösung. Irgendwelche Ideen?
Marko Carter
auf dem Windows-Stapel?
Jinsungy
Ja, Windows Server 2008 Web Edition verwendet IIS7 für den Hostcomputer und kommuniziert mit zwei Datenbankservern (beide Windows 2003, einer mit SQL 2000 und der andere mit SQL 2005)
Marko Carter
Antworten:
7
Die Whitehat-Berater, die ich gesehen habe, kommen herein und verwenden dieses Tool. Dann senden wir Ihnen eine riesige Rechnung.
Schauen Sie sich OWASP (Open Web Application Security Project) an, sie sind sehr informativ und kostenlos! Sie haben eine sehr detaillierte Anleitung zum Testen von Stiften , die Sie sich ansehen müssen.
McAfee Secure bietet einen recht anständigen Scan-Service, der den Webserver, das Netzwerk und die Website selbst auf automatisierte On-Demand-Weise überprüft. Ihr Scanner ist für PCI-Scans zertifiziert und daher ziemlich umfassend.
Eine weitere Option ist Qualys . Beachten Sie, dass Qualys und die mcAfee Secure-Lösung Schwachstellenscanner sind. Pen-Tests können in Bezug auf Scans automatisiert werden, und einige davon können für XSS- und SQL-Injection-Angriffe automatisiert werden. Letztendlich möchten Sie jedoch, dass ein seriöser Pentester das System überprüft.
Ich tun will einen weißen Hut in, ich habe das Problem ist , dass das Unternehmen nur ungern das Geld ausgeben. Um die Finanzierung zu erhalten, muss ich zuerst eine Sicherheitslücke aufdecken (Hühnchen und Ei, ich weiß), daher brauche ich im Idealfall zunächst eine kostenlose Lösung. Irgendwelche Ideen?
Marko Carter
Kostenlos? Beginnen Sie mit den Grundlagen, die Sie selbst ausführen können: nmap ( nmap.org ), um einen Port- und Service-Scan durchzuführen, und nikto ( cirt.net/nikto2 ), um einen Schwachstellenscan durchzuführen .
K. Brian Kelley
2
Das erste wäre ein Netzwerkscan . Verwenden Sie zenmap und scannen Sie den Webserver und beide SQL-Server, da Sie sich auf dem Windows-Stack befinden. Hier erfahren Sie, welche offenen Ports und Dienste ausgeführt werden. Führen Sie zenmap für den umfassenden Test aus. Ich würde diese Informationen verwenden, um Ihre Firewall so zu optimieren, dass exponierte Ports blockiert werden.
Eine andere Sache, die Sie tun möchten, ist nach SQL Injection-Schwachstellen zu suchen .
Scrawlr ist eine kostenlose Software zum Scannen von SQL-Injection-Schwachstellen in Ihren Webanwendungen.
Es wird von der HP Web Security Research Group in Abstimmung mit dem Microsoft Security Response Center entwickelt.
Schauen Sie sich dieses von mir erstellte ScreenToaster-Video an . Es zeigt einen einfachen Netzwerkscan für SQL Server, Port 1433 und eine grundlegende SQL Injection.
Top 10 Liste der Schwachstellenscanner: http: // sectools.org/vuln-scanners.html
Es gibt auch den Baseline Security Analyzer von Microsoft, der Teil Ihres Basis-Setups sein sollte, falls dies noch nicht geschehen ist, bevor Sie einen Server für das Produkt bereitstellen: http: // www.microsoft.com/downloads/details.aspx?familyid=F32921AF-9DBE-4DCE- 889E-ECF997EB18E9 & displaylang = de
Nikto ist ein guter Anfang, um nach bekannten Schwachstellen zu suchen. Funktioniert unter Windows und Linux usw. Einfach genug, auch für Noobs wie mich :)
Unabhängig von der Technologie müssen Sie die Bedrohungen kennen. Sie müssen wissen, welche Daten Sie schützen möchten? Sie müssen wissen, wie Ihre Website funktioniert. Machen Sie zuerst ein Bedrohungsmodell und vergessen Sie diese magischen Methoden der Security Bullet-Technologie. Sie müssen herausfinden, wo Sie sich befinden, bevor Sie verschwenderisches Geld für einen Penetrationstest ausgeben.
Eigentlich bin ich der Hauptentwickler einer neuen LiveCD-Distribution, die eine Abzweigung von Backtrack 4 ist. Die Distribution enthält alles, was für gute Penetrationstests erforderlich ist (OpenVAS, Metasploit, Fasttrack, milw0rm-Exploits ...). Sein Name ist shadowcircle, und Sie können es @ überprüfen
Es gibt eine Vielzahl von öffentlichen Lizenztools, die Ihnen zur Verfügung stehen. Wenn ich jedoch tätig bin, verwenden wir Firefox und Paros Proxy, um Posts und Get zu bearbeiten, WebInspect für die Meldung von Anwendungsschwachstellen und QualysGuard Enterprise für einen guten, altmodischen Host-Scan. Abhängig von den Ergebnissen nehmen wir Anpassungen an der Konfiguration und Sicherheitslage der Box vor, erstellen Risikoakzeptanzformulare für Dinge, die wir nicht ändern können, oder setzen andere Tools ein, um zu entscheiden, ob ein Befund tatsächlich Anlass zur Sorge gibt oder nicht.
Antworten:
Die Whitehat-Berater, die ich gesehen habe, kommen herein und verwenden dieses Tool. Dann senden wir Ihnen eine riesige Rechnung.
Schauen Sie sich OWASP (Open Web Application Security Project) an, sie sind sehr informativ und kostenlos! Sie haben eine sehr detaillierte Anleitung zum Testen von Stiften , die Sie sich ansehen müssen.
quelle
Werkzeuge, die ich verwenden würde
Nmap Sister Tool SQLMap
und Nessus
auch schnelles Scannen nach XSS und HTML Injection http://www.seoegghead.com/tools/scan-for-html-injection.seo auch http://www.cirt.net/nikto2
Stellen Sie sicher, dass Sie dies während Ihrer Entwicklung OWASP betrachtet haben
Sie müssen auch die Sicherheitsinformationen aus dem MS Windows Server 2008-Sicherheitshandbuch überprüfen
quelle
McAfee Secure bietet einen recht anständigen Scan-Service, der den Webserver, das Netzwerk und die Website selbst auf automatisierte On-Demand-Weise überprüft. Ihr Scanner ist für PCI-Scans zertifiziert und daher ziemlich umfassend.
quelle
Eine weitere Option ist Qualys . Beachten Sie, dass Qualys und die mcAfee Secure-Lösung Schwachstellenscanner sind. Pen-Tests können in Bezug auf Scans automatisiert werden, und einige davon können für XSS- und SQL-Injection-Angriffe automatisiert werden. Letztendlich möchten Sie jedoch, dass ein seriöser Pentester das System überprüft.
quelle
Das erste wäre ein Netzwerkscan . Verwenden Sie zenmap und scannen Sie den Webserver und beide SQL-Server, da Sie sich auf dem Windows-Stack befinden. Hier erfahren Sie, welche offenen Ports und Dienste ausgeführt werden. Führen Sie zenmap für den umfassenden Test aus. Ich würde diese Informationen verwenden, um Ihre Firewall so zu optimieren, dass exponierte Ports blockiert werden.
Eine andere Sache, die Sie tun möchten, ist nach SQL Injection-Schwachstellen zu suchen .
Schauen Sie sich dieses von mir erstellte ScreenToaster-Video an . Es zeigt einen einfachen Netzwerkscan für SQL Server, Port 1433 und eine grundlegende SQL Injection.
quelle
Top 10 Liste der Schwachstellenscanner: http: // sectools.org/vuln-scanners.html
Es gibt auch den Baseline Security Analyzer von Microsoft, der Teil Ihres Basis-Setups sein sollte, falls dies noch nicht geschehen ist, bevor Sie einen Server für das Produkt bereitstellen: http: // www.microsoft.com/downloads/details.aspx?familyid=F32921AF-9DBE-4DCE- 889E-ECF997EB18E9 & displaylang = de
quelle
Nikto ist ein guter Anfang, um nach bekannten Schwachstellen zu suchen. Funktioniert unter Windows und Linux usw. Einfach genug, auch für Noobs wie mich :)
quelle
Unabhängig von der Technologie müssen Sie die Bedrohungen kennen. Sie müssen wissen, welche Daten Sie schützen möchten? Sie müssen wissen, wie Ihre Website funktioniert. Machen Sie zuerst ein Bedrohungsmodell und vergessen Sie diese magischen Methoden der Security Bullet-Technologie. Sie müssen herausfinden, wo Sie sich befinden, bevor Sie verschwenderisches Geld für einen Penetrationstest ausgeben.
Matt Parsons CISSP mparsons1980 [at] gmail.com
quelle
Eigentlich bin ich der Hauptentwickler einer neuen LiveCD-Distribution, die eine Abzweigung von Backtrack 4 ist. Die Distribution enthält alles, was für gute Penetrationstests erforderlich ist (OpenVAS, Metasploit, Fasttrack, milw0rm-Exploits ...). Sein Name ist shadowcircle, und Sie können es @ überprüfen
www.shadowcircle.org.
Hoffe es wird dir gefallen;)
quelle
Es gibt eine Vielzahl von öffentlichen Lizenztools, die Ihnen zur Verfügung stehen. Wenn ich jedoch tätig bin, verwenden wir Firefox und Paros Proxy, um Posts und Get zu bearbeiten, WebInspect für die Meldung von Anwendungsschwachstellen und QualysGuard Enterprise für einen guten, altmodischen Host-Scan. Abhängig von den Ergebnissen nehmen wir Anpassungen an der Konfiguration und Sicherheitslage der Box vor, erstellen Risikoakzeptanzformulare für Dinge, die wir nicht ändern können, oder setzen andere Tools ein, um zu entscheiden, ob ein Befund tatsächlich Anlass zur Sorge gibt oder nicht.
quelle
Kostenlose Nikto-, Nmap- und OpenVas-Schwachstellenscans sind online auf dieser Website verfügbar
quelle