1 / 22

Анализ уязвимостей: Тестирование на проникновение

Анализ уязвимостей: Тестирование на проникновение. Тимур Ханнанов Руководитель направления по информационной безопасности. In theory there is very little difference between theory and practice ; in practice there's a hell of a lot of difference.

major
Download Presentation

Анализ уязвимостей: Тестирование на проникновение

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Анализ уязвимостей: Тестирование на проникновение • Тимур Ханнанов • Руководитель направления по информационной безопасности

  2. In theory there is very little difference between theory and practice; in practice there's a hell of a lot of difference

  3. Softline. Сеть представительств по всему миру По oценкеCNews Analytics, компания Softline вошла в 4-ку крупнейшихIT-компаний по направлению «Информационная безопасность» согласно финансовых итогов 2012 года. 23 страны 65 городов

  4. О SolidLab SolidLab– команда профессионалов, специализирующаяся на аудите безопасности приложений, тестировании на проникновение, а также предлагающая полный комплекс • услуг по аудиту безопасности кода. • Основу команды составляет группа выпускников ВМК МГУ имени М.В. Ломоносова, а также выпускники кафедры информационной безопасности МГТУ им. Н.Э. Баумана.

  5. О SolidLab SolidLabвходит вtop 15 лучших командв международных соревнованиях по ИБ (CTF events), например: • 6th place at the final of ruCTF 2012; • 8th place at the qualification of ruCTF 2012; • 5th place at the PHD CTF 2011; • 1st place at the qualification of Swiss Cyber ​​Storm Car Game Challenge 2011; • 4th place at the final of ruCTF 2011; • 1st place at the qualification of ruCTF 2011; • 2nd place at the Deutsche Post Security Cup 2010; • 3rd place at the RusCrypto CTF 2010; • 4th place at the qualification ruCTF 2010. Также специалисты компаниипринимают участие в основных конференциях по информационной безопасности: DefCon(USA), Confidence (Poland), OWASP AppSec (Europe), ZeroNights (Russia), Positive Hack Days (Russia).Опубликовано более 20 научных работ, большая часть из которых за последние три года.

  6. От чего защищаемся? Направленные Ненаправленные Внутренние Внешние

  7. Уровни защиты клиентов

  8. Наша модель сервисов

  9. Области компетенций • Анализ защищенности: • ДБО, и других платежных приложений • корпоративных и веб-приложений • мобильных решений • беспроводных сетей • Тестирование на проникновение (в том числе в соответствии с требованиями PCI DSS) • Комплексные услуги по деобфускации, декомпиляции и анализу кода.

  10. Наши преимущества • Используем наш уникальный подход к тестированию. • Используем обширную документированную методологию, основанную на структурированных процедурах, ручной проверке, проверке на новые уязвимости. • Используем большое сочетание коммерческих и собственно разработанных инструментов для оценки уровня безопасности. • Используем большую базу вариантов ручных тестов. • Используем разнообразные креативные тесты. • Обеспечиваем контроль качества каждого проекта посредством обратной связи с клиентами.

  11. Методика тестирования Формальных методов не существует! Но существуют рекомендации • Обычно включает в себя 7 этапов • Определение границ тестирования • Сбор информации • Обнаружение уязвимостей • Анализ найденного и планирование • Проведение атак • Анализ результатов и отчёты • «Уборка» ПОВТОР

  12. Мифы и реальность Автоматические сканеры безопасности помогут определить реальный уровень защищенности… • Пример - сканеры Web-приложений • Общего назначения: W3AF, Skipfish, Grendel-Scan, Arachni, Wapiti, Secubat • Специализированные: sqlMap, hexjector, SQLiX • Коммерческие: IBM AppScan, Acunetix, HP WebInspect

  13. Реальность* • Лишь 29% уязвимостей XSS и 46% уязвимостей SQLi были обнаружены автоматическими сканерами • Из 615 обнаруженных уязвимостей контроля доступа (insufficientauthorization) при автоматическом сканировании обнаружено всего 14, т.е. около 3% * По статистике WebApplicationSecurityConsortium за 2008 год (самая последняя доступная редакция)

  14. Уязвимости авторизации - пример • Система онлайн-обучения, студенты могут изучать различные курсы под руководством инструкторов • Роли: «администратор», «инструктор» или «студент» • Уязвимости: • Студент может удалить любой курс, который никому не назначен • Инструктор может назначить курс любому студенту, а не только своему • Инструктор может аннулировать назначение студента инструктору

  15. Accorute – автоматическое обнаружение уязвимостей авторизации • Разработка командыSolidLab • На вход: роли и их привилегии • На выходе: перечень возможных неавторизованных действий между ролями С помощью Accorute автоматически найдены ранее неизвестные уязвимости в WordPress, Easy JSP Forum, PyForum

  16. Демо №1 • Как искать уязвимости, если автоматические сканеры не помогают? Реальный пример: • Есть «озабоченный клиент» • Его сайт регулярно попадает в чёрные списки поисковых систем за WEB Malware • Чистка и восстановление из резервных копий не помогает – вскоре сайт снова заражён • Автоматическое сканирование ничего не показывает

  17. Демо №1 Пробуем: • 1 У клиента видим сайт на «самописной» CMS • 2. Составляем карту ролей и карту сайта использования для каждой роли • 3. Получаем: • Интерфейс администратора sitename/ajax.php не виден в пользовательской части, но при обращении напрямую доступ разрешён POST /ajax.php HTTP/1.1 Host: sitename.ru Content-Length: 80 Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest fio=adm&login=adm1&psw=adm&ok_block=off&comment=&method=add_admin&modul=security • Результат: кто угодно (любой пользователь) может создать себе Администратора

  18. Демо №2 • Не столь озабоченный клиент • Экспресс-анализ системы ДБО • Сайт тесно интегрирован с СКЗИ, существенные действия подписываются ЭП Простой HTTP Шифрованный протокол Крипто-сервер WEB -приложение Браузер Крипто-клиент

  19. Демо №2 • Шаг 1 – обнаруживаем уязвимость авторизации • Результат – любой пользователь может поменять пароль любому другомуи/или повысить себе привилегии, изменив роль на администратора • Но залогиниться нельзя, т.к. сервер проверяет ЭП POST http://192.168.0.1/dbo/user_rightsHTTP/1.1 Host: 192.168.0.1 User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 Keep-Alive: 115 Proxy-Connection: keep-alive Content-Length: 142 Content=Other&sess=AAAA0W6BBBBBBBB&Action=Save&UID=666&Pass=qwerty&ConfPass=qwerty&Role=1&Name=User1&Fname=User1&Last=12345

  20. Демо №2 • Шаг 2 – создаём диссектор шифрованного протокола, чтобы видеть содержимое криптотуннеля • Анализируем, какие элементы GET и POST запросов подписываются ЭП • Обнаруживаем, что если в одном TCP-соединении отправить подряд два запроса, то подписывается только первый • При этом на сервере успешно выполняется проверка ЭП первого запроса, а второй проходит через крипто-сервер без изменений Проходят все, но проверка ЭП только в первом Подписан только первый запрос в сессии Крипто-сервер WEB -приложение Браузер Крипто-клиент

  21. Тест-драйв тестирования на проникновение • Опросник • Коммерческое предложение • Договор • Этапы: Первый этап. SL Penetration testing или Baseline. Если мы достигнем цели, то переходим ко второму этапу. • Второй этап. SL Security Assessment.

  22. Спасибо за внимание! Вопросы, пожалуйста ;) Тимур Ханнанов Руководитель направления по информационной безопасности Timur.Khannanov@softline.ru

More Related