quali sono le credenziali richieste per la scansione delle vulnerabilità di un server di database utilizzando gli strumenti di valutazione delle vulnerabilità come Rapid 7 Nexpose?
Ci sono due tipi generali di strumenti là fuori (e mi rendo conto che sto semplificando eccessivamente la questione), che chiamerò strumenti di penetrazione e strumenti di analisi del rischio. Potremmo anche riferirci ad essi con altri nomi, come strumenti di prevenzione e strumenti di analisi della mitigazione, che ha un significato simile nella maggior parte dei casi. Le coperture di prevenzione prevengono un attacco e la mitigazione si riferisce alla riduzione al minimo dell'impatto di un attacco riuscito.
Gli strumenti di penetrazione coprono lo spoofing delle sessioni, lo scripting cross-site, il controllo degli exploit, le iniezioni SQL, l'escalation dei privilegi e così via. Tutti questi attacchi dovrebbero essere eseguiti dal punto di vista di un utente non privilegiato, quindi non dovrebbe essere specificata alcuna credenziale (o possibilmente un utente ospite o utente di base con privilegi limitati). Dopo tutto, se si registra uno strumento come "root", è già penetrato nel sistema, annullando così lo scopo dei test. Non c'è bisogno di "testare" quanto danno può fare root, perché tutti sanno (o dovrebbero sapere) che una volta che la root è compromessa, l'intero server non è affidabile fino a quando non viene completamente ri-protetto fisicamente e in modalità offline.
La seconda classe di strumenti, l'analisi del rischio, mira a coprire l'impatto di ciò che accade dopo la penetrazione. Ad esempio, se esiste una vulnerabilità di SQL injection, tale test mostrerebbe se è possibile ingannare il sistema per scaricare ogni nome utente e password. Questi strumenti potrebbero richiedere credenziali amministrative o non amministrative, se non altro per analizzare il rischio di un account compromesso o l'accesso diretto al database.
Gli strumenti specifici che stai utilizzando dovrebbero dirti cosa fa ogni test e quale tipo di credenziali richiederà il test. Fornire credenziali errate o fornire credenziali quando non è necessario fornire nulla invaliderà i risultati del test.
Questo è qualcosa che dovrai sederti e pensare logicamente per ogni test che stai per eseguire. Fai domande come "questo test tenta di accedere al sistema?" o "questo test controlla la struttura dei miei database?" Se il test riguarda l'accesso, non dovrebbe richiedere credenziali. Se il test riguarda l'analisi di ciò che accade dopo la penetrazione, sono probabilmente necessarie le credenziali.
Come ultimo consiglio, se non ti senti qualificato per eseguire questi strumenti, o non sai, di sicuro, che strumento fa, consulta un esperto. Le uniche domande stupide sono quelle lasciate non richieste. Mentre un forum come IS SE è un ottimo posto per ottenere risposte a domande difficili, probabilmente scoprirai che un dialogo di 10 minuti tra qualcuno con più esperienza con un particolare strumento o test avrà un impatto molto maggiore di un forum come questo , dove le domande appaiono e alla fine vengono risolte.
La regola generale qui è che se una domanda è particolarmente ampia, dovresti aspettarti di dover fare molte domande, il che significa che una chat è in ordine. IS SE offre una chat room, che ti suggerisco di visitare, così come molti altri posti in cui potresti trovare persone con esperienza in materia, come IRC o persino il personale di supporto degli strumenti che stai utilizzando.
Leggi altre domande sui tag vulnerability-scanners