Ho un sito web statico che deve essere controllato. Ha solo un modulo che aggiorna alcuni dati sul server e lo ho ripetuto con un'iniezione cieca di PHP e SQL. Il sito è ospitato su un server condiviso e ha cpanel.
Come dovrei andare sul pentesting del mio sito web? La bruteforcing del cpanel è solo un'opzione? Il mio sito Web è già stato deturpato da alcuni hacker. Per favore dimmi se il mio approccio è corretto verso il pentesting di quel sito ..
Una volta che il tuo sito Web è stato violato, non puoi continuare a utilizzarlo in sicurezza. Devi ucciderlo con il fuoco e ricominciare. Cancellare il tutto, quindi reinstallare l'applicazione da una fonte nota (o eventualmente ripristinarla da un backup noto prima di essere violata: ma essere sicuro che ciò sia antecedente all'hack).
Una volta che il tuo sito Web viene violato, non vi è alcuna base per la fiducia. L'hacker avrebbe potuto lasciare un numero qualsiasi di backdoor (gli hacker di solito lo fanno) e non c'è modo di individuarli. Pentesting non troverà le backdoor lasciate da un hacker. Pentesting non è la risposta: è necessario cancellare e reinstallare.
Subito dopo la reinstallazione, assicurati di aggiornare il software e di bloccarlo in modo da non essere nuovamente compromesso.
Accetto il commento precedente, una volta che il server è stato compromesso, dovresti iniziare considerando tutti i dati, i file e i processi nel server come macchiati. E come detto sopra, ricomincia.
Se riesci a identificare esattamente ciò che è stato compromesso (da ciò che non lo è), allora potresti probabilmente eseguire un ripristino parziale. Ma se questo non è il caso, attenersi alla raccomandazione sopra.
In termini di dati (testo), si spera che si abbia un backup che non è stato manomesso dall'attacco. Ma sii molto prudente nel confidare nei dati (testo) come ho visto pagine web che includono comandi bot, mascherati da tag html.
Per analizzare un sito web, pensa prima ai diversi componenti che usa. Come hai elencato: PHP, CPanel, database (come hai menzionato in SQL injection). Quindi aggiungi gli altri componenti, come il server web (stai eseguendo Apache web, Tomcat o qualcos'altro?), Il processo di autenticazione che stai utilizzando (è l'autenticazione del digest HTTP o potrebbe utilizzare LDAP). Qual è la politica della password per il tuo sito web? Una volta che hai un elenco dei diversi componenti, controlla la loro configurazione e / o lo stato delle patch (tutto aggiornato?).
Per adottare un approccio più completo per esaminare la sicurezza del tuo sito web, accetto anche i commenti precedenti sull'utilizzo del sito Web OWASP. Hanno ottimi documenti e strumenti per aiutarti. Vorrei iniziare con Rischi per la sicurezza delle applicazioni Web di Top 10 OWASP per darti un'idea generale dei problemi che si trovano comunemente nei siti web. Quindi utilizzerebbe la Guida ai test OWASP menzionata sopra, che è più dettagliata e elenca gli strumenti e gli esempi di attacchi.
Considerare inoltre l'uso di OpenVAS Vulnerability Scanner (openvas.org) e NMAP Security Scanner (nmap.org). Questi strumenti sono molto potenti e facili da configurare. NMAP ti fornirà un elenco di porte aperte nel tuo server web (così puoi chiedere se quelle porte dovrebbero essere aperte e quali processi sono in esecuzione sulle porte), mentre OpenVAS verifica le vulnerabilità su quelle porte (puoi anche eseguire OpenVAS localmente su cercare problemi non correlati alla porta).
Infine, cerca prima i problemi di "frutta a basso impatto". Inizia a chiedere se esiste una password debole o un servizio configurato in modo errato che potrebbe essere l'autore dell'attacco utilizzato per deturpare il tuo server. Gli aggressori di solito cercano prima queste cose ... e sfortunatamente lavorano un sacco di volte.
Buona fortuna,
Leggi altre domande sui tag web-application penetration-test