Costruire un elenco di vulnerabilità che dovrebbero essere verificate durante il pentest

9

Attualmente sto studiando come eseguire il pentesting del server e ho bisogno di qualche consiglio / protip correlato alla metologia / best practice.

Le persone spesso menzionano che è una buona idea raccogliere informazioni e elencare tutte le vulnerabilità che si verificheranno prima di passare allo sfruttamento.

Ho già eseguito alcune operazioni di ricondizionamento / banner per i servizi in esecuzione sul server e sto pensando di creare un elenco di vulnerabilità, quindi ho una sorta di elenco di controllo contenente vulnerabilità che dovrei provare a sfruttare.

La mia idea al momento è gestirla:

  1. eseguendo scanner di vulnerabilità come openvas e nexpose
  2. eseguendo la ricerca manuale utilizzando servizi eseguiti su server in database pubblici come exploit-db.com e 1337day.com

[1] dovrebbe darmi numeri CVE / altri riferimenti riguardanti i modi in cui posso sfruttare manualmente le vulnerabilità rilevate. Dovrei anche essere in grado di importare i report in metasploit e utilizzare successivamente metasploit per il loro sfruttamento.

[2] sembra essere più impegnativo dal momento che dovrò controllare più database e prendere tutto ciò che hanno per tutti i servizi che ho scoperto e quindi unire questo elenco con le vulnerabilità scoperte usando [1]

Dopo avrò intenzione di provare a sfruttare tutto ciò che ho trovato.

Quindi, le mie domande sono: Lo scenario descritto è una buona idea? Forse mi manca qualcosa e c'è qualcosa che dovrei cambiare nel mio piano? Forse ci sono altri suggerimenti che puoi darmi (sono particolarmente interessato ai modi per facilitare [2] il più possibile)?

    
posta Eugene Loy 05.09.2012 - 15:59
fonte

3 risposte

5

Ogni vulnerabilità elencata nel database CWE-2000 e CAPEC-2000 database è un buon punto di partenza. Questo non è affatto completo e questi database sono in espansione. A volte ci sono vulnerabilità che sono chiaramente un problema che deve essere affrontato, ma non si adattano perfettamente al database CWE.

L'automazione e le vulnerabilità già scoperte dovrebbero essere considerate, ma questo probabilmente rappresenta circa l'1% di quello che faccio come pentester.

Burp, grep, Firefox, vi, python, questi sono gli strumenti necessari. (E maledetto MS-Word per aver segnalato)

    
risposta data 05.09.2012 - 17:22
fonte
2

Un buon punto di partenza è OWASP Top Ten . È un elenco delle vulnerabilità più comuni trovate nelle app Web e sono sicuro che è possibile applicare molte informazioni al caso. Descrivono ogni vulnerabilità in dettaglio e alcune tecniche di mitigazione.

    
risposta data 05.09.2012 - 17:17
fonte
1

C'è molto di più che puoi fare e divertirti con le mappe nella "buona idea di raccogliere informazioni" parte della tua domanda.

Puoi vincere regolarmente nel pentecon del mondo reale senza scoprire una vulnerabilità nota o lanciare un exploit.

La scoperta di server FTP aperti su una scansione interna di una rete aziendale è comune. Spesso questi stessi server FTP sono privi di vulnerabilità note (ad esempio sono corretti). Lontano dal game over, puoi fare la cosa dell'intelligence e andare a pescare manualmente i server FTP per fare tesoro. I Pentesters, innumerevoli volte, si sono imbattuti in backup MS SQL completi, backup del server e altri eccitanti bottini su server altrimenti non eccitanti, aggiornati e con patch.

Quindi trascorrere il tempo appropriato manualmente controllando ciò che è accessibile al di là del controllo della versione / banner è importante. Se sei fortunato, troverai qualcosa di molto più divertente di una noiosa e nota vulnerabilità.

FOCA Pro è un esempio di un fantastico strumento progettato per estrarre informazioni preziose per attività di pentesting (ad es. nomi utente, percorsi UNC , nomi di server, server di stampa) che non richiede la precondizione vuln / exploit. La raccolta di informazioni di intelligence che fai può aiutarti con tonnellate di attività, compresa la costruzione di dizionari di forza bruta su misura.

    
risposta data 06.09.2012 - 06:20
fonte

Leggi altre domande sui tag