Nous déployons un nouveau site Web, nous-mêmes hébergés. À moins de porter des chapeaux blancs, comment feriez-vous pour les tests de pénétration de l'extérieur du réseau?
Je ne veux un chapeau blanc, le problème que j'ai est que l'entreprise hésite à dépenser l'argent. Afin d'obtenir le financement dont j'ai besoin pour exposer d'abord toute vulnérabilité (poulet et œuf, je sais), j'ai donc idéalement besoin d'une solution gratuite dans un premier temps. Des idées?
Marko Carter,
sur la pile de fenêtres?
jinsungy
Oui, édition Web de Windows Server 2008 utilisant IIS7 pour la machine hôte, parlant à deux serveurs de bases de données (Windows 2003, l'un avec SQL 2000 et l'autre avec SQL 2005)
Marko Carter
Réponses:
7
les consultants Whitehat que j'ai vus viennent et utilisent cet outil puis vous envoient une facture massive.
Jetez un oeil à OWASP (Open Web Application Security Project), ils sont très informatifs et gratuits! ils ont un guide de test de stylo très détaillé que vous devez consulter.
McAfee Secure offre un service d'analyse assez décent qui examinera le serveur Web, le réseau et le site Web lui-même de manière automatisée et à la demande. Leur scanner est certifié pour les scans PCI, il est donc assez complet.
Une autre option est Qualys . Gardez à l'esprit que Qualys et la solution mcAfee Secure sont des scanners de vulnérabilité. Les tests de plume peuvent être automatisés en ce qui concerne les analyses, et certains d'entre eux peuvent être automatisés pour les attaques par injection XSS et SQL, mais en fin de compte, vous voudriez qu'un pentester réputé vérifie le système.
Je ne veux un chapeau blanc, le problème que j'ai est que l'entreprise hésite à dépenser l'argent. Afin d'obtenir le financement dont j'ai besoin pour exposer d'abord toute vulnérabilité (poulet et œuf, je sais), j'ai donc idéalement besoin d'une solution gratuite dans un premier temps. Des idées?
Marko Carter,
Gratuit? Commencez par les bases que vous pouvez faire vous-même: nmap ( nmap.org ) pour effectuer une analyse de port et de service et nikto ( cirt.net/nikto2 ) pour effectuer une analyse de vulnérabilité.
K. Brian Kelley
2
La première chose serait une analyse du réseau . Puisque vous êtes sur la pile Windows, utilisez zenmap et scannez le serveur Web et les deux serveurs SQL. Cela vous indiquera les ports ouverts et les services en cours d'exécution. Exécutez zenmap sur le test complet. J'utiliserais ces informations pour modifier votre pare-feu pour bloquer les ports qui sont exposés.
Une autre chose que vous voudriez faire est de rechercher les vulnérabilités d'injection SQL .
Scrawlr est un logiciel gratuit pour analyser les vulnérabilités d'injection SQL sur vos applications Web.
Il est développé par HP Web Security Research Group en coordination avec Microsoft Security Response Center.
Découvrez cette vidéo ScreenToaster que j'ai créée. Il présente une analyse réseau simple pour le serveur SQL, le port 1433 et une injection SQL de base.
Top l0 liste des scanners de vulnérabilité: http: // sectools.org/vuln-scanners.html
Il y a aussi l'analyseur de sécurité de base de Microsoft qui devrait faire partie de votre configuration de base si ce n'est pas déjà fait avant de déployer un serveur sur prod: http: // www.microsoft.com/downloads/details.aspx?familyid=F32921AF-9DBE-4DCE- 889E-ECF997EB18E9 & displaylang = en
Nikto est un bon début pour rechercher des vulnérabilités bien connues. Fonctionne sur Windows et Linux, etc. Assez simple même pour les noobs comme moi :)
Quelle que soit la technologie, vous devez connaître les menaces. Vous devez savoir quelles sont les données que vous essayez de protéger? Vous devez savoir comment fonctionne votre site Web. Faites un modèle de menace en oubliant d'abord ces méthodes de technologie de balle de sécurité magique. Vous devez savoir où vous en êtes avant de dépenser de l'argent inutile pour un test de pénétration.
En fait, je suis le principal créateur d'un nouveau Pentest LiveCD Distro, qui est un fork de Backtrack 4. Le Distro intègre tout le nécessaire pour faire de bons tests de pénétration (OpenVAS, Metasploit, fasttrack, exploits milw0rm ...). Son nom est shadowcircle, et vous pouvez le vérifier @
Il existe une variété d'outils de licence publique à votre disposition, cependant, où j'opère, nous utilisons Firefox et Paros Proxy pour manipuler les publications et les récupérations, WebInspect pour les rapports de vulnérabilité des applications et QualysGuard Enterprise pour une bonne analyse des hôtes à l'ancienne. En fonction des résultats, nous ajustons la configuration et la posture de sécurité de la boîte, créons des formulaires d'acceptation des risques pour les choses que nous ne pouvons pas changer ou engageons d'autres outils pour décider si une découverte est réellement quelque chose à craindre.
Réponses:
les consultants Whitehat que j'ai vus viennent et utilisent cet outil puis vous envoient une facture massive.
Jetez un oeil à OWASP (Open Web Application Security Project), ils sont très informatifs et gratuits! ils ont un guide de test de stylo très détaillé que vous devez consulter.
la source
Outils que j'utiliserais
Nmap Sister Tool SQLMap
et Nessus
également une analyse rapide pour l'injection XSS et HTML http://www.seoegghead.com/tools/scan-for-html-injection.seo également http://www.cirt.net/nikto2
Assurez-vous d'avoir pris cela en compte lors de votre développement OWASP
Vous devez également consulter le Security Guidence de MS Windows Server 2008 Security Guide
la source
McAfee Secure offre un service d'analyse assez décent qui examinera le serveur Web, le réseau et le site Web lui-même de manière automatisée et à la demande. Leur scanner est certifié pour les scans PCI, il est donc assez complet.
la source
Une autre option est Qualys . Gardez à l'esprit que Qualys et la solution mcAfee Secure sont des scanners de vulnérabilité. Les tests de plume peuvent être automatisés en ce qui concerne les analyses, et certains d'entre eux peuvent être automatisés pour les attaques par injection XSS et SQL, mais en fin de compte, vous voudriez qu'un pentester réputé vérifie le système.
la source
La première chose serait une analyse du réseau . Puisque vous êtes sur la pile Windows, utilisez zenmap et scannez le serveur Web et les deux serveurs SQL. Cela vous indiquera les ports ouverts et les services en cours d'exécution. Exécutez zenmap sur le test complet. J'utiliserais ces informations pour modifier votre pare-feu pour bloquer les ports qui sont exposés.
Une autre chose que vous voudriez faire est de rechercher les vulnérabilités d'injection SQL .
Découvrez cette vidéo ScreenToaster que j'ai créée. Il présente une analyse réseau simple pour le serveur SQL, le port 1433 et une injection SQL de base.
la source
Top l0 liste des scanners de vulnérabilité: http: // sectools.org/vuln-scanners.html
Il y a aussi l'analyseur de sécurité de base de Microsoft qui devrait faire partie de votre configuration de base si ce n'est pas déjà fait avant de déployer un serveur sur prod: http: // www.microsoft.com/downloads/details.aspx?familyid=F32921AF-9DBE-4DCE- 889E-ECF997EB18E9 & displaylang = en
la source
Nikto est un bon début pour rechercher des vulnérabilités bien connues. Fonctionne sur Windows et Linux, etc. Assez simple même pour les noobs comme moi :)
la source
Quelle que soit la technologie, vous devez connaître les menaces. Vous devez savoir quelles sont les données que vous essayez de protéger? Vous devez savoir comment fonctionne votre site Web. Faites un modèle de menace en oubliant d'abord ces méthodes de technologie de balle de sécurité magique. Vous devez savoir où vous en êtes avant de dépenser de l'argent inutile pour un test de pénétration.
Matt Parsons CISSP mparsons1980 [at] gmail.com
la source
En fait, je suis le principal créateur d'un nouveau Pentest LiveCD Distro, qui est un fork de Backtrack 4. Le Distro intègre tout le nécessaire pour faire de bons tests de pénétration (OpenVAS, Metasploit, fasttrack, exploits milw0rm ...). Son nom est shadowcircle, et vous pouvez le vérifier @
www.shadowcircle.org.
J'espère que vous l'aimerez;)
la source
Il existe une variété d'outils de licence publique à votre disposition, cependant, où j'opère, nous utilisons Firefox et Paros Proxy pour manipuler les publications et les récupérations, WebInspect pour les rapports de vulnérabilité des applications et QualysGuard Enterprise pour une bonne analyse des hôtes à l'ancienne. En fonction des résultats, nous ajustons la configuration et la posture de sécurité de la boîte, créons des formulaires d'acceptation des risques pour les choses que nous ne pouvons pas changer ou engageons d'autres outils pour décider si une découverte est réellement quelque chose à craindre.
la source
Analyses de vulnérabilité gratuites de Nikto, Nmap et OpenVas disponibles en ligne sur ce site
la source