Pulizia di Pentesting

Naviga le tue risposte
2

Recentemente ho scoperto una shell backdoor che è stata creata tramite l'iniezione di file su un sito Web pubblico. Dopo molte ricerche, ho trovato la data di creazione di questo file all'incirca nello stesso periodo in cui il pentesting è stato fatto da altri nel reparto. La maggior parte di questo è stata fatta da persone non completamente esperte con il pentesting, e mi sono chiesto se uno degli strumenti utilizzati ha iniettato il file, poiché oltre alla data di creazione, non è emersa alcuna prova del suo utilizzo. Io stesso (quasi) eseguirò sempre pentesting su un'istanza di test, vs live, quindi tipicamente questo non è un problema, ma alcuni dei vari software disponibili iniettano un vero file che crea una shell backdoor, o sono i file che sono "manichini" iniettati?

    
posta tuson 25.11.2013 - 12:13
fonte

1 risposta

4

È abbastanza difficile capire dai dettagli che hai fornito. In genere, se avessimo saputo che tipo di software hanno usato per il loro pentimento, potremmo trarre un'ipotesi più istruita.

Ho visto molti report importanti di diverse aziende che erano troppo concentrati sui risultati tecnici, ma molto poco, quasi a nulla, sulle loro metodologie. Avere le loro metodologie chiaramente definite e definite è di vitale importanza sia per la società pentest che per il cliente: è il modo in cui la società copre il proprio sedere per situazioni in cui si verificano potenziali danni collaterali e la garanzia del cliente che se l'azienda schiererà e , per esempio, abbassa il sito della società a causa di un DoS che non era nel campo di applicazione, può essere ritenuto responsabile per questo.

Poiché i a) pentesters sono (o dovrebbero) perfettamente in grado di scrivere i propri strumenti, e b) perché il danno è già stato fatto (avere un file esterno su il tuo server non è mai buono, che sia una vera backdoor o un file fittizio) la tua domanda,

[...] will some of the various software available inject an actual file that creates a backdoor shell, or are the files that are injected "dummies"?

... a questo punto diventa irrilevante: qui ci sono problemi più grandi come 1) che determinano se lo strumento è stato caricato dai tester; e 2) la maturazione del processo di pentesting nel suo complesso. A seconda dei risultati di 1) , altre indagini potrebbero richiedere un'ulteriore attenzione: e se affermassero che il guscio non era il loro strumento?

Quindi il punto chiave qui è comunicazione . Se sei l'analista che ha facilitato il pentest o il proprietario del servizio, nulla ti impedirà di ottenere una relazione completa dai tester sulla loro metodologia. Sentiti libero di richiedere un incontro per passare attraverso la loro metodologia, in quanto ciò ti aiuterà ad accertare se il guscio 'dimenticato' fosse un prodotto della loro negligenza, oppure no - ricorda, assumiti sempre il peggio e in questa fase non c'è nulla che garantisca che il guscio non era il risultato di una vera violazione, prima o dopo il pentimento.

Per i pentests futuri, per evitare questa situazione, assicurati che:

  1. hai un chiaro processo interno che si occupa di diverse situazioni che possono sorgere da un pentest fallito
  2. leggi la loro Proposta / Dichiarazione di lavoro e non accettare tutto ciò che gettano lì; richiedere una descrizione metodica delle loro metodologie. Hanno clausole che si riferiscono in modo molto chiaro a chi è responsabile per cosa
  3. Conosci le tue risorse

TL; DR - Riepilogo

Non è possibile per me rispondere se gli strumenti di sicurezza utilizzati nei tuoi pentagrammi backdoor o file fittizi sono stati iniettati, perché il livello di dettaglio che hai fornito non è sufficiente. Tuttavia, anche se fosse possibile, al momento attuale, questa è la domanda meno pertinente e la raccomandazione è quella di confrontarsi con i pentesters per un approfondito chiarimento.

    
risposta data 25.11.2013 - 16:10
fonte

Leggi altre domande sui tag

La CPU con bug è "gameover" per l'intero computer? [chiuso] Chiedere un certificato SSL dal cliente