Addan başqa bir şey olmayan bir sistemə girərək daxili hakerinizi kanalizasiya edin

Təcavüzkarın daxili məlumatı sıfır olan bir sistemi necə poza biləcəyini heç düşünmüsünüzmü? Anonim və ya Kərtənkələ Squad sıralarına qoşulmadan, qara qutunun nüfuz testini öyrənmək, yəqin ki, onların ayaqqabılarında gəzməyə ən yaxın yoldur. Sekurno -da biz zəifliklərin aşkarlanması sənəti və elmində ixtisaslaşmışıq və sizi dünyamıza gətirməkdən məmnunuq.

İstər kibertəhlükəsizlikdə yeni olsanız, istərsə də təcrübəli pentester olun, bu təlimatda hər kəs üçün nəsə var. Yeni başlayanlar prosesi aydınlaşdırmaq üçün aydın, addım-addım təlimat tapacaqlar, ekspertlər isə yeni perspektivlər əldə edə və əsas prinsiplərə yenidən baxa bilərlər. Təsəvvür edin ki, şirkətin adı və ya domenindən başqa heç nə ilə başlamayın və zəiflikləri üzə çıxarmaq üçün sistematik olaraq təbəqələri soyun.

Kəşfiyyatdan tutmuş hesabata qədər qara qutu pentestinqinin tam həyat dövrünü araşdıracağıq, hər bir mərhələnin zəiflikləri üzə çıxarmaq və təsirli nəticələr əldə etmək üçün sonuncuya necə qurulduğunu göstərəcəyik. Sonda siz görəcəksiniz ki, niyə qara qutu pentestinqi sadəcə texniki məşqdən daha çox və inkişaf edən təhdidləri qabaqlamaq üçün strateji zərurətdir.

Black-Box Pentesting nədir?

Qara qutunun nüfuz sınağı kibertəhlükəsizlik texnikasıdır ki, burada test edən arxitektura, mənbə kodu və ya konfiqurasiyalar kimi daxili işlərinə dair əvvəlcədən məlumatı olmadan sistemin təhlükəsizliyini qiymətləndirir. Xarici təcavüzkarın perspektivini imitasiya edən qara qutu pentestinqi sistemin real dünya təhdidlərinə nə dərəcədə məruz qaldığına dair əvəzsiz fikirlər təqdim edir. Testçilər tez-tez öz yanaşmalarını qurmaq üçün tanınmış çərçivələrə və metodologiyalara etibar edirlər. Populyar variantlara aşağıdakılar daxildir:

• OWASP Veb Təhlükəsizliyi Test Bələdçisi : Veb proqramlarına diqqət yetirir.

• PTES (Penetration Testing Execution Standard) : Başdan sona sınaq proseslərini əhatə edir.

• OSSTMM (Açıq Mənbəli Təhlükəsizlik Testi Metodologiyası Təlimatı) : Ölçülə bilən təhlükəsizlik testlərini təmin edir.

  
  

Metodologiyanın seçimi tətbiqin növü, müştəri tələbləri və tapşırığın əhatə dairəsi kimi amillərdən asılıdır.

Kəşfiyyat mərhələsi

Biz həmişə kəşfiyyat (kəşfiyyat) mərhələsindən başlayırıq. Bu təməl addım hədəf haqqında mümkün qədər çox açıq məlumat toplamaqdan ibarətdir. Həqiqi təcavüzkarın sistemə necə yaxınlaşacağını təqlid edərək, biz məruz qalmış aktivləri müəyyən edir, potensial giriş nöqtələrini kəşf edir və hücum səthinin xəritəsini yaradırıq. Nüfuz sınağının kəşfiyyat mərhələsində iki əsas kəşfiyyat növü var: passiv və aktiv.

Passiv kəşfiyyat

Passiv kəşfiyyat hədəfin sistemləri ilə birbaşa əlaqə yaratmadan onun haqqında məlumat toplamaqdan ibarətdir. Bu yanaşma aşkarlanma riskini minimuma endirərək, onu hədəfin səth sahəsinin xəritələşdirilməsi üçün ideal başlanğıc nöqtəsinə çevirir. İctimaiyyət üçün əlçatan olan məlumatlardan istifadə etməklə, passiv kəşfiyyat gizli qalaraq dəyərli məlumatlar verir. Aşağıda tez-tez istifadə olunan alətlərin nümunələri verilmişdir:

Domen və Aktiv Kəşf

crt.sh

Gizli subdomenləri aşkar etmək üçün güclü vasitələrdən biri Sertifikat Şəffaflığı (CT) jurnalı axtarış mühərriki crt.sh- dir. CT qeydləri domenlərə verilmiş SSL/TLS sertifikatlarını ictimai şəkildə izləyir, bu da ictimaiyyətə görünməsi nəzərdə tutulmayan subdomenləri aşkar edə bilər.

Məsələn, 2018-ci ildə tədqiqatçılar Tesla ilə əlaqəli nəzərdə tutulmayan subdomenləri, o cümlədən istismara qarşı həssas olan səhnə mühitini aşkar etmək üçün CT qeydlərindən istifadə etdilər. Crt.sh-dən istifadə etməklə, etik hakerlər, tədqiqatçılar və nüfuzetmə testçiləri əhəmiyyətli təhlükəsizlik riskləri yarada biləcək səhv konfiqurasiya edilmiş və ya açıqlanmış aktivləri tez bir zamanda müəyyən edə bilər və bu, onu qara qutunun nüfuzetmə testinin kəşfiyyat mərhələsində vacib alətə çevirir.

DNSDumpster

DNSDumpster, A, MX və TXT qeydləri kimi domenin DNS qeydləri, eləcə də əlaqəli IP ünvanları haqqında ətraflı məlumat verən güclü DNS kəşfiyyat vasitəsidir. Bu, kəşfiyyat zamanı hücum səthinin xəritələşdirilməsində, gizli aktivlərin müəyyən edilməsində və istifadə oluna biləcək potensial yanlış konfiqurasiyaların aşkar edilməsində xüsusilə faydalıdır.

Google Dorks

Google Dorks, test edənlərə Google tərəfindən indeksləşdirilmiş ictimai məlumatı aşkar etməyə imkan verən qabaqcıl axtarış operatorlarıdır. site: , filetype: , intitle: və inurl: kimi operatorlardan istifadə etməklə sınaqçılar hədəf təşkilatla əlaqəli həssas faylları, kataloqları və ya səhifələri tapa bilər.

Məsələn, site:example.com filetype:pdf kimi sorğu ictimaiyyət üçün açıq olan PDF sənədlərini aşkar edə bilər, intitle:"index of" isə qorunmayan qovluqları ifşa edə bilər. Google Dorks, sınaqların ilkin mərhələlərində potensial məruz qalmaları müəyyən etmək üçün inanılmaz dərəcədə effektiv, lakin tez-tez qiymətləndirilməmiş kəşfiyyat vasitəsidir.

Şodan

Hədəfin onlayn infrastrukturu haqqında unikal fikirlər təklif edən, internetə qoşulmuş cihazları və xidmətləri tapmaq üçün ixtisaslaşmış axtarış motoru. Ənənəvi axtarış sistemlərindən fərqli olaraq, Shodan açıq serverlər, IoT cihazları, verilənlər bazası və yanlış konfiqurasiya edilmiş sistemlər kimi cihazları indeksləşdirir. Məsələn, sadə sorğu açıq portları, təhlükəsiz olmayan verilənlər bazalarını və ya ictimai sistemlərdə işləyən köhnəlmiş proqram təminatını aşkar edə bilər. Nəticələri IP, yer və ya xidmət növü üzrə süzgəcdən keçirmə qabiliyyəti Shodan-ı kəşfiyyat mərhələsində nüfuzetmə testçiləri üçün əvəzolunmaz alətə çevirir.

Məlumat sızmaları

Dehashed / Intelx

Bu alətlər etimadnamələr və ya həssas sənədlər kimi sızmış məlumatları müəyyən etməyə kömək edir. Hər ikisi tam funksionallıq üçün abunə tələb edir. Intelligence X qaranlıq veb və ictimai internet məzmununu, pozuntuları və tarixi veb-sayt məlumatlarını indeksləyir.

Nümunə sorğular:

• e-poçt ünvanı ilə bağlı pozuntuları və ya qeydləri tapmaq üçün [email protected] .
• sızan etimadnamələri və ya sənədləri tapmaq üçün example.com .

Mən məyus oldum (HIBP)

Məlum məlumat pozuntularında şəxsi məlumatların pozulduğunu yoxlayan pulsuz onlayn xidmət. Məlumatlılığı artırmaq və etimadnamə ilə bağlı riskləri azaltmaq üçün geniş istifadə olunur.

Waybackurls

Waybackurls, hədəfin tarixi veb konfiqurasiyalarına nəzər salaraq, Wayback Machine-dən arxivləşdirilmiş URL-ləri əldə edən bir vasitədir. O, artıq canlı saytda görünməyən, lakin hələ də təhlükəsizlik riski yarada bilən gizli resursları, köhnəlmiş səhifələri və ya son nöqtələri aça bilər. Bu arxivləşdirilmiş URL-ləri təhlil edərək, test edənlər nümunələri, köhnə boşluqları və ya unudulmuş aktivləri müəyyən edə bilər ki, onlar əks halda diqqətdən kənarda qala bilər.

Komanda nümunəsi:

 echo "sekurno.com" | waybackurls > urls.txt 

Aktiv kəşfiyyat

Aktiv kəşfiyyat ətraflı məlumat toplamaq üçün hədəfin sistemləri ilə birbaşa qarşılıqlı əlaqəni nəzərdə tutur. Bu yanaşma sızma testi və ya hücumun planlaşdırılması üçün dəqiq və təsirli anlayışlar təmin etsə də, hədəf sistemlər şübhəli fəaliyyətə daxil ola və ya xəbərdarlıq edə bildiyi üçün daha yüksək aşkarlanma riski daşıyır. Zəiflikləri müəyyən etmək və hədəfin infrastrukturunun texniki detallarını başa düşmək üçün vacibdir.

Subdomen Sadalanması

Subdomenlərin müəyyən edilməsi penetrasiya testində kritik addımdır, çünki subdomenlər tez-tez həssas və ya yanlış konfiqurasiya edilə bilən xidmətlər və ya proqramlara ev sahibliyi edir. Subdomenlər həmçinin dərhal görünməyən admin panelləri və ya API-lər kimi giriş nöqtələrini təmin edə bilər.

Alt siyahı 3r

Subdomenlərin sayılması üçün geniş istifadə olunan açıq mənbəli vasitədir. O, bir hədəf domenlə əlaqəli alt domenləri müəyyən etmək üçün axtarış motorları, DNS qeydləri və API-lər daxil olmaqla bir çox mənbədən məlumatları birləşdirir. Onun Google, Bing və VirusTotal kimi platformaları sorğulamaq qabiliyyəti onu təşkilatın xarici hücum səthinin tez bir zamanda xəritələşdirilməsi üçün etibarlı seçim edir.

Komanda nümunəsi:

 python3 sublist3r.py -d sekurno.com 

Xidmət kəşfi

Subdomenləri müəyyən etdikdən sonra dig və Nmap kimi alətlərdən istifadə edərək açıq portları, xidmətləri və əməliyyat sistemlərini aşkar edin. Bu addım hədəfin hücum səthinin xəritəsini tərtib etməyə kömək edir.

qazma (Domen Məlumatı Qrupu)

DNS qeydlərini sorğulamaq üçün istifadə olunan komanda xətti aləti. O, A, MX, TXT, CNAME və NS qeydləri daxil olmaqla, domenin DNS quraşdırması haqqında ətraflı məlumat verir. dig testerlərə konfiqurasiyaları yoxlamağa, yanlış konfiqurasiyaları müəyyən etməyə və domen infrastrukturu haqqında fikirlər toplamağa imkan verən şəbəkə problemlərinin aradan qaldırılması və kəşfiyyatının əsas elementidir. Onun sürəti və dəqiqliyi onu DNS analizi üçün əsas vasitə halına gətirir.

Komanda nümunəsi:

 dig sekurno.com 

Nmap

Şəbəkənin kəşfi və auditi üçün çox yönlü vasitədir. Nmap açıq portları, xidmətləri və əməliyyat sistemlərini müəyyən edərək, hədəfin hücum səthi haqqında kritik fikirlər təqdim edir.

Əsas Skan:

 nmap <IP address> 

Port Skanı:

 nmap -p <port> -sV <IP address> 

Aqressiv Skan: ƏS-in aşkarlanması, xidmət aşkarlanması və skriptləri birləşdirir

 nmap -A <IP address> 

Kataloq və Fayl kəşfi

Gizli səhifələrin, konfiqurasiya fayllarının və admin panellərin aşkarlanması nüfuz testi üçün kritik fikirlər verə bilər. Dirb , Gobuster və ffuf kimi alətlər adətən istifadə olunur.

Dirb

Dirb, veb serverdə gizli və ya qorunmayan məzmunu aşkar etmək üçün qovluqları və URL-ləri kobud şəkildə zorlayan veb məzmun skaneridir. Əvvəlcədən konfiqurasiya edilmiş və ya xüsusi söz siyahılarından istifadə etməklə, Dirb ictimaiyyətə görünməyən, lakin həssas məlumatları və ya zəiflikləri ifşa edə bilən faylları, kataloqları və son nöqtələri müəyyən edə bilər. Bu, nüfuz sınağı zamanı veb-serverin strukturunun xəritələşdirilməsi üçün sadə və güclü vasitədir.

Ümumi qovluqlar üçün əsas əmr:

 dirb http://example.com 

Fərdi Söz Siyahısı:

 dirb http://example.com /usr/share/wordlists/dirb/common.txt 

Qabaqcıl Seçimlər:

 dirb https://example.com -X .php,.html -N 403 

Kataloqun Sadalanması üçün Alternativ Alətlər

Digər məşhur vasitələrə aşağıdakılar daxildir:

Qobuster

Gobuster URL-ləri, qovluqları, DNS subdomenlərini və s. zorakılıq etmək üçün sürətli və səmərəli vasitədir. Böyük söz siyahılarını idarə etmək üçün nəzərdə tutulmuşdur, o, veb serverlərdə gizli resursları tez bir zamanda aşkar etməkdə üstündür. Gobuster rekursiv skanları dəstəkləyir ki , bu da onu nüfuz sınağı zamanı dərin daxili qovluqları və ya subdomenləri araşdırmaq üçün xüsusilə faydalı edir.

 gobuster dir -u http://example.com -w /path/to/wordlist.txt 

ffuf (Fuzz Faster U Fool)

Veb serverlərdə kataloqları, parametrləri və digər gizli resursları aşkar etmək üçün çox yönlü və yüksək sürətli fuzzer. O, cavab kodlarına, ölçüsünə və ya sözlərinə əsaslanan qabaqcıl filtrləmə seçimlərini dəstəkləyir və test edənlərə müvafiq nəticələri səmərəli şəkildə təyin etməyə imkan verir. Çevikliyi ilə ffuf qovluqların sadalanması, parametrlərin müəyyənləşdirilməsi və API son nöqtəsinin kəşfi kimi vəzifələr üçün istifadə edilə bilər.

 ffuf -u http://example.com/FUZZ -w /path/to/wordlist.txt 

HTTP Cavab Başlıqlarını araşdırın

Nəhayət, istifadə olunan proqram təminatı, çərçivələr və ya server konfiqurasiyalarını müəyyən etmək üçün HTTP cavab başlıqlarını təhlil edin. Bu addım ətraflı məlumat verir, lakin əvvəlki mərhələlərdən daha spesifikdir.

Wappalyzer

Çərçivələri, CMS platformalarını, proqramlaşdırma dillərini, analitik alətləri və veb-saytlar tərəfindən istifadə olunan digər texnologiyaları aşkar edən brauzer genişləndirilməsi və aləti. Proqram versiyalarını müəyyən etməklə, testçilər ictimai verilənlər bazalarında məlum zəifliklərə çarpaz istinad edə bilərlər.

Skan olunur

Kəşfiyyatdan sonra skan etmə mərhələsi gəlir, burada sınaqçılar hədəfi zəifliklər üçün aktiv şəkildə təhlil edirlər. Avtomatlaşdırılmış alətlər geniş spektrli zəiflikləri tez bir zamanda müəyyən etmək üçün vacibdir. Bu alətlər möhkəmdir, tez-tez yenilənir və inkişaf edən təhdidlərə uyğunlaşdırılır. Tez-tez istifadə olunan skanerlərə aşağıdakılar daxildir:

• Acunetix : SQL inyeksiyalarını, XSS və digər zəiflikləri müəyyən edən veb proqram skaneri.
• Nessus : Şəbəkələr və sistemlər üçün hərtərəfli zəiflik skaneri.
• Nexpose : Aktivlər arasında zəiflikləri aşkar etmək və prioritetləşdirmək üçün alətdir.

Biz əsasən veb proqramların skan edilməsi üçün Burp Suite-dən istifadə edirik, çünki o, müxtəlif proqram çərçivələri və zəiflik növləri üçün geniş imkanlar təklif edir.

Burp Suite

Burp Suite veb tətbiqi testləri üçün ən çox istifadə edilən vasitələrdən biridir. O, avtomatlaşdırılmış və əl imkanlarını özündə birləşdirərək onu ümumi və qabaqcıl zəiflikləri aşkar etmək üçün uyğun edir. Əsas xüsusiyyətlərə aşağıdakılar daxildir:

• Zəifliyin aşkarlanması : SQL inyeksiyası, XSS, əmr inyeksiyası, kataloq keçidi, autentifikasiya qüsurları və s.

• API Testi : Qırılmış giriş nəzarətlərini, JSON inyeksiyasını və etibarlı olmayan son nöqtələri müəyyən edir.

• Qabaqcıl Test : CSRF, XXE, SSRF kimi zəiflikləri və parametrlərin dəyişdirilməsini aşkar edir.

• BApp Store Genişləndirmələri : Zəifliyin skan edilməsi, icazə testi və faydalı yükün yaradılması üçün xüsusi alətlərlə funksionallığı artırır.

  
  

Populyar Burp Uzatmalarına Baxış

1. AuthMatrix - Çox istifadəçi və ya rollar üçün avtorizasiya məntiqini idarə edir və sınaqdan keçirir.
2. Logger++ - HTTP sorğuları və cavabları üçün ətraflı qeydi təmin edir.
3. Hackvertor - Məlumat formatlarını çevirir (məsələn, kodlaşdırma/şifrləmə) və faydalı yükün transformasiyasını avtomatlaşdırır.
4. Active Scan++ - Burp-un aktiv skanerini əlavə yoxlamalarla gücləndirir.
5. JS Beautifier - Daha asan təhlil üçün JavaScript fayllarını gözəlləşdirir/kiçildir.
6. Param Miner - Veb proqramlarında gizli parametrləri tapır.
7. Retire.js - Məlum zəiflikləri olan köhnəlmiş JavaScript kitabxanalarını aşkar edir.
8. Burp Bounty - İstifadəçi tərəfindən müəyyən edilmiş faydalı yüklər və uyğunluq şərtləri ilə skanları fərdiləşdirir.
9. JSON Web Token (JWT) Redaktoru - İmzaların dəyişdirilməsi kimi zəifliklər üçün JWT-ləri manipulyasiya edir və sınaqdan keçirir.
10. Avtorizasiya - Müxtəlif rollarla sorğuları təkrarlayaraq avtorizasiyadan keçmə testini avtomatlaşdırır

Testssl

SSL/TLS konfiqurasiyalarını sınamaq üçün biz açıq mənbəli komanda xətti aləti olan testssl.sh istifadə edirik. Qiymətləndirir:

• Zəif və ya köhnəlmiş protokollar (məsələn, SSLv2, SSLv3, TLS 1.0).

• Yanlış konfiqurasiya edilmiş sertifikatlar (məsələn, öz-özünə imzalanmış, vaxtı keçmiş).

• Heartbleed, BEAST və ya POODLE kimi zəifliklər.

• HSTS başlıqları kimi HTTPS konfiqurasiyaları çatışmır.

  
  

Komanda nümunəsi:

 [testssl.sh](http://testssl.sh) <domain> 

Zəifliyin İdentifikasiyası

Kəşfiyyat mərhələsi başa çatdıqdan sonra zəifliyin müəyyən edilməsi mərhələsinə keçirik. Bu mərhələ səhv konfiqurasiyalar, köhnəlmiş proqram təminatı və ya zəif etimadnamələr kimi təhlükəsizlik zəifliklərini müəyyən etmək üçün toplanmış məlumatların təhlilini əhatə edir. Avtomatlaşdırılmış skan alətlərini əl ilə yoxlama ilə birləşdirərək, biz real dünya ssenarilərində istifadə oluna biləcək zəiflikləri müəyyən edə bilərik.

OWASP Veb Təhlükəsizliyi Test Bələdçisi (WSTG)

OWASP WSTG veb proqram təhlükəsizliyini yoxlamaq üçün strukturlaşdırılmış metodologiyaları təmin edən hərtərəfli mənbədir. O, ümumi zəiflik testləri vasitəsilə sınaqçılara rəhbərlik etməklə sistemli və hərtərəfli qiymətləndirmələri təmin edir, məsələn:

• SQL Enjeksiyonu : İstifadə edilə bilən SQL sorğuları üçün giriş sahələrinin sınaqdan keçirilməsi.
• Sessiya İdarəetmə Qüsurları : Sessiya vaxt aşımı və təhlükəsiz kuki ilə işləmə kimi mexanizmlərin qiymətləndirilməsi.
• Doğrulama Problemləri : Zəif etimadnamələrin və düzgün olmayan çoxfaktorlu autentifikasiya tətbiqlərinin yoxlanılması.

WSTG-yə riayət etməklə sınaqçılar zəifliyin müəyyən edilməsi prosesində ardıcıllıq və dərinliyi təmin edirlər.

Nümunə: Keycloak Zəiflik Təhlili

Bir görüş zamanı biz aşkar etdik ki, veb server Keycloak -ın köhnəlmiş versiyasını işlədir: "version": "23.0.4" . Əlavə təhlillər bu versiyanın bir çox məlum boşluqların (CVE) təsirinə məruz qaldığını aşkar etdi, o cümlədən:

• CVE-2024-1132
• CVE-2023-6484
• CVE-2024-1249
• CVE-2023-0657
• CVE-2024-2419
• CVE-2023-6717
• CVE-2023-6544
• CVE-2023-3597

Potensial İstismarlar Müəyyən edilmişdir

Təhlillərimiz nəticəsində müəyyən etdik ki, təcavüzkarlar bu zəifliklərdən istifadə edə bilərlər:

• Path Traversal vasitəsilə həssas URL-lərə daxil olun.
• Səhv Daxiletmə Doğrulaması vasitəsilə zərərli məzmunu qeydlərə daxil edin.
• Origin Validation Xətası istifadə edərək DDoS hücumlarına səbəb olur.
• Authentication Bypass-dan istifadə edərək icazəsiz giriş əldə edin.
• Açıq Yönləndirmə vasitəsilə tokenləri oğurlayın və istifadəçiləri təqlid edin.
• Cross-site Scripting (XSS) ilə ixtiyari JavaScript-i icra edin.
• Authorization Bypass vasitəsilə icazəsiz müştəriləri qeydiyyatdan keçirin.
• Doğrulama axınında Çatışmayan Kritik Addımlara görə çoxfaktorlu autentifikasiyadan keçin.

İstismar

Dördüncü addım, istismar , real dünya hücumlarını simulyasiya etmək üçün zəifliyin identifikasiyası mərhələsinin nəticələrindən istifadə etməyi nəzərdə tutur. Bu proses təcavüzkarın sistemləri pozmaq, məlumatları oğurlamaq və ya icazəsiz giriş əldə etmək üçün zəifliklərdən necə istifadə edə biləcəyini nümayiş etdirir. Nəzarət olunan mühitdə həyata keçirilən istismar müəyyən edilmiş zəifliklərin potensial təsiri haqqında dəyərli fikirlər təqdim edir.

Nəzarət edilən İstismar: Tapıntıların Təsdiqlənməsi

İstismar onların etibarlılığını təsdiq etmək və potensial nəticələrini anlamaq üçün əvvəlki mərhələdə müəyyən edilmiş zəifliklərin sınaqdan keçirilməsi ilə başlayır. Məsələn, son qiymətləndirmədə biz Keycloak-ın köhnəlmiş versiyası ilə əlaqəli bir neçə ictimai CVE aşkar etdik. Bu zəifliklər arasında açıq yönləndirmə məsələsini uğurla təsdiq etdik. Burp Suite Collaborator istifadə edərək, yönləndirmə ssenarisini sınaqdan keçirərək zəifliyi nümayiş etdirdik. Serverin cavabı aşağıda göstərildiyi kimi istismarın etibarlılığını təsdiqlədi:

Real Dünya Təsiri

İstismar mərhələsi zəifliklərin müxtəlif məqsədlərə nail olmaq üçün necə istifadə oluna biləcəyini vurğulayır, məsələn:

• Məlumat Oğurluğu : Həssas məlumatları oğurlamaq üçün açıq yönləndirmələrdən və ya düzgün olmayan giriş nəzarətlərindən istifadə.
• İcazəsiz Giriş : İnzibati imtiyazlar əldə etmək üçün autentifikasiya mexanizmlərindən yan keçmək.
• Sistem Kompromissi : Əmrləri yerinə yetirmək və ya xidmətləri pozmaq üçün zərərli yüklərin yeridilməsi.

Təsirin azaldılması üzrə tövsiyələr

İstismar mərhələsindən sonra müəyyən edilmiş problemləri həll etmək üçün aydın bərpa addımları vacibdir. Keycloak nümunəsində biz müştəriyə məlum zəiflikləri aradan qaldırmaq üçün proqram təminatının ən son versiyasına təkmilləşdirməyi tövsiyə etdik.

Mühüm mülahizələr

İstismar zamanı ssenarilərlə rastlaşmaq adi haldır:

1. Bütün CVE-lər İstifadə Edilmir : Tərtibatçılar proqram versiyasını yeniləmədən boşluqları düzəldə və ya azaldıb, yanlış pozitivlərə səbəb ola bilər.
2. Kontekst Məsələləri : Müəyyən zəifliklər yalnız xüsusi şərtlər və ya konfiqurasiyalar altında istifadə edilə bilər.
3. Nəzarət edilən Test : Hədəf mühitə qəsdən zərər verməmək üçün istismar diqqətlə həyata keçirilməlidir.

Hesabat

Pentestin həyat dövrünün son mərhələsi hesabat və remediasiya mərhələsidir . Bu mərhələ bütün tapıntıları zəiflikləri, onların şiddətini və riskləri azaltmaq üçün təsirli tövsiyələri əks etdirən ətraflı hesabatda birləşdirir. Yaxşı hazırlanmış hesabat texniki qruplar və maraqlı tərəflər arasındakı boşluğu aradan qaldırır, zəifliklərin başa düşülməsini və effektiv şəkildə həll olunmasını təmin edir.

Pentesting Hesabatının Əsas Elementləri

Təsiri maksimuma çatdırmaq üçün hesabatlar ən yaxşı təcrübələrə riayət etməlidir:

1. Ciddilik dərəcəsinə görə təsnifat : Potensial təsir və istismar imkanlarına əsasən zəiflikləri aydın şəkildə Yüksək, Orta və ya Aşağı kimi təsnif edin.
2. Zəifliyin təfərrüatlı təsvirləri : Hər bir tapıntı üçün xülasə, təkrar istehsal addımları, potensial təsir və aradan qaldırılması çətinlik səviyyəsi daxil edin.
3. Fəaliyyət göstərə bilən Tövsiyələr : Müəyyən edilmiş zəiflikləri aradan qaldırmaq üçün aydın və həyata keçirilə bilən bərpa addımlarını təmin edin.
4. Fərdi Məzmun : Maraqlı tərəflər üçün ümumi xülasə və təhlükəsizlik qrupları üçün ətraflı texniki bölmələr təqdim edin.

Hesabat üçün alətlər

Pwndoc kimi alətlər fərdiləşdirilə bilən şablonlar təklif edərək və ardıcıllığı təmin etməklə hesabat prosesini sadələşdirir. Bu cür alətlərdən istifadə hesabatın yaradılmasını sürətləndirir və peşəkar formatlaşdırmanı saxlayır.

İlham almaq üçün, peşəkar pentest hesabatlarının nümunələrini nümayiş etdirən İctimai Pentest Hesabatları Anbarını nəzərdən keçirin.

Nümunə: Giriş nəzarətinin pozulması

Broken Access Control problemi üçün zəiflik hesabatının nümunəsinə aşağıdakılar daxildir:

• Təsvir : Həssas son nöqtələrə icazəsiz giriş.
• Təsir : Hücumçular rol məhdudiyyətlərini keçə və inzibati imtiyazlar əldə edə bilərlər.
• Remediasiya : Həm müştəri, həm də server səviyyələrində düzgün rol yoxlama yoxlamalarını həyata keçirin.

Kritik Tapıntılar və Təmir

CVSS kalkulyatorundan istifadə etməklə müəyyən edilənlər kimi kritik və ya yüksək səviyyəli zəifliklər üçün hesabata aşağıdakılar daxildir:

• Hərtərəfli təsvirlər : Məsələnin ətraflı izahı, onun istismarı və təsiri.

• Tövsiyə olunan Düzəlişlər : Zəifliyi effektiv şəkildə aradan qaldırmaq üçün addımlar.

  
  

Tərtibatçılara kömək etmək üçün OWASP ASVS (Tətbiq Təhlükəsizliyi Yoxlama Standartı) kimi resurslara keçid onların strukturlaşdırılmış çərçivəyə çıxışını təmin edir. ASVS, layihələrin sənaye standartlarına uyğunlaşdırılması, təhlükəsiz proqramların işlənib hazırlanması, sınaqdan keçirilməsi və saxlanılması üçün ətraflı təhlükəsizlik tələbləri və təlimatları təqdim edir.

Blackbox Pentesting-də Ümumi Çətinliklər

Blackbox pentesting təşkilatın xarici zəiflikləri haqqında dəyərli fikirlər təqdim edir, lakin test edənlərin hərəkət etməli olduğu xüsusi problemlər və məhdudiyyətlərlə gəlir.

Məhdudiyyətlər

Blackbox testi resurs tələb edir və sınayıcının sistem haqqında insayder biliklərinin olmaması ilə mahiyyət etibarilə məhdudlaşdırılır. Əsas məhdudiyyətlərə aşağıdakılar daxildir:

• Buraxılmış Daxili Zəifliklər : Mənbə koduna və ya daxili arxitekturaya giriş olmadan müəyyən problemlər aşkarlanmamış qala bilər.
• Vaxt Məhdudiyyətləri : Sınaqçılar tez-tez sistemi tam güzəştə getmək üçün kompleks istismarlar yaratmağa vaxt tapmırlar.
• Müdafiə tədbirləri : Firewalllar, ciddi filtrlər və digər təhlükəsizlik mexanizmləri testləri bloklaya və nəticələri təhrif edə bilər.
• Effektivlik : Məhdud sistem biliyi lazımsız sınaqlara və ya nəzərdən qaçırılan problemlərə səbəb ola bilər.

Ağ Qutu, yoxsa Qara Qutu?

Qara qutu sınağı dəyərli xarici perspektiv təmin etsə də, çox qatlı sınaq strategiyasının bir hissəsi kimi ən yaxşı şəkildə işləyir. Təşkilatlar sınaq metodologiyalarını birləşdirməkdən faydalana bilər:

1. Ağ qutu testi : mənbə kodunun, konfiqurasiyanın və arxitekturanın hərtərəfli təhlilinə imkan verən daxili sistemlərə tam girişi əhatə edir.
2. Qara qutu testi : Ağ qutu sınağı vasitəsilə müəyyən edilmiş zəiflikləri təsdiq edərək, təcavüzkarın yanaşmasını simulyasiya edir.
3. Red Teaming : Həm texniki müdafiəni, həm də təşkilati prosesləri sınamaq üçün mürəkkəb və davamlı təhdidləri simulyasiya edən təkmil qiymətləndirmə təqdim edir.

AI Çağırışları

Süni intellektin (AI) pentestinqə inteqrasiyası zəifliklərin müəyyən edilməsi üsulunu dəyişdirdi. Süni intellektlə işləyən alətlər təkrarlanan tapşırıqları avtomatlaşdıraraq və böyük verilənlər toplusunu emal etməklə sınaq səmərəliliyini artırır. Əsas mülahizələrə aşağıdakılar daxildir:

• AI-dən istifadə edən alətlər :
  • DeepExploit : Müəyyən edilmiş zəifliklərin istismarını avtomatlaşdırır.
  • Shodan : Açıq cihazları və açıq portları xəritələşdirmək üçün maşın öyrənməsindən istifadə edir.
  • SpiderFoot və Recon-ng : OSINT toplama və məlumat korrelyasiyasını avtomatlaşdırın.
• AI tətbiqləri :
  • IP ünvanlarının, subdomenlərin və xidmətlərin miqyasda təhlili.
  • API və mikroservislər daxil olmaqla bulud-doğma mühit testinin təkmilləşdirilməsi.
• AI məhdudiyyətləri :
  • Süni intellekt alətləri avtomatlaşdırmada üstündür, lakin kontekstual anlayış və qərar qəbul etmə qabiliyyəti yoxdur.
  • Nəticələri şərh etmək və onları effektiv şəkildə tətbiq etmək üçün insan təcrübəsi vacib olaraq qalır.

Xülasə

Blackbox penetration testi təşkilatın xarici təhlükəsizlik vəziyyətini qiymətləndirmək üçün vacib bir yanaşmadır. Həqiqi dünya hücum ssenarilərini təqlid etməklə, o, xarici təcavüzkarlar tərəfindən istifadə oluna biləcək zəifliklər haqqında məlumat verir. Bu bloq yazısı əsas mərhələləri və çətinlikləri vurğulayaraq, qara qutu pentestinqinin tam həyat dövrünü araşdırdı:

1. Kəşfiyyat : Hücum səthinin xəritəsini çıxarmaq üçün passiv və aktiv üsullardan istifadə edərək hədəf haqqında məlumat toplamaq.

2. Skanlama : Zəiflikləri səmərəli şəkildə müəyyən etmək üçün Burp Suite və testssl.sh kimi avtomatlaşdırılmış alətlərdən istifadə, mürəkkəb məsələlərin əl ilə yoxlanması ilə tamamlanır.

3. Zəifliyin İdentifikasiyası : Köhnəlmiş proqram təminatı, yanlış konfiqurasiyalar və ya zəif etimadnamələr kimi zəif cəhətləri müəyyən etmək üçün tapıntıların təhlili, sistematik sınaq üçün OWASP WSTG kimi çərçivələrdən istifadə edilməsi.

4. İstismar : Təcavüzkarların sistemləri pozmaq üçün zəifliklərdən necə istifadə edə biləcəyini nümayiş etdirmək, tapıntıların təsdiqini və hərəkətə keçməsini təmin etmək.

5. Hesabat : Zəiflikləri kateqoriyalara ayıran, onların təsirlərini təsvir edən və aradan qaldırılması üçün təsirli tövsiyələr verən hərtərəfli hesabatın təqdim edilməsi.

   
   

Üstünlüklərinə baxmayaraq, blackbox pentesting müəyyən daxili zəiflikləri üzə çıxara bilməməsi və vaxt məhdudiyyətləri və müdafiə tədbirlərinin yaratdığı problemlər kimi məhdudiyyətlərə malikdir. Bununla belə, onu ağ qutu testi və ya qırmızı komanda kimi metodologiyalarla birləşdirmək daha laylı və hərtərəfli təhlükəsizlik qiymətləndirməsi yaradır.

Süni intellekt kimi inkişaf etməkdə olan texnologiyalar tapşırıqları avtomatlaşdırmaq və geniş məlumat dəstlərini təhlil etməklə testin effektivliyini artırır, lakin insan təcrübəsi kontekstli anlayış və strateji qərarların qəbulu üçün əvəzolunmaz olaraq qalır.

Qara qutu pentestinə strukturlaşdırılmış yanaşma tətbiq etməklə, təşkilatlar zəiflikləri fəal şəkildə müəyyən edə və həll edə, xarici təhlükələrə qarşı daha güclü müdafiə təmin edə bilər. Sekurno-da biz bizneslərin inkişaf edən təhlükəsizlik problemləri qarşısında dayanıqlı qalmasına kömək etmək üçün hərtərəfli və təsirli qiymətləndirmələr təqdim edirik.

Tez-tez verilən suallar

1. Blackbox pentesting nədir?

   Blackbox pentesting insayder məlumatı olmadan sistemlərdə zəiflikləri müəyyən etmək üçün xarici hücumları simulyasiya edir.

2. Blackbox pentesting necə aparılır?

   Tətbiqlərin və şəbəkələrin təhlükəsizlik vəziyyətini qiymətləndirmək üçün kəşfiyyat, zəifliyin müəyyən edilməsi, skan edilməsi və istismarını əhatə edir.

3. Qara qutu testi boz qutu və ağ qutu testindən nə ilə fərqlənir?

   • Qara qutu: Xarici hücumları simulyasiya edir.
   • Greybox: Xarici hücumları qismən daxili məlumatlarla birləşdirir.
   • Ağ qutu: Hərtərəfli sınaq üçün daxili sistemlərə tam girişi təmin edir.

4. Qara qutu pentestinqində hansı vasitələrdən istifadə olunur?

   Ümumi alətlərə Nmap , Burp Suite , Metasploit və Shodan kimi OSINT resursları daxildir .

5. Blackbox pentesting niyə vacibdir?

   O, təcavüzkarın perspektivini təmin edərək, istismar baş verməzdən əvvəl xarici zəifliklərin müəyyən edilməsini və yumşaldılmasını təmin edir.

Müəllif haqqında

Bu məqalə Sekurnoda Təhlükəsizlik Test Mühəndisi Anastasiya Tolkaçova tərəfindən hazırlanmış və Sekurno şirkətinin həmtəsisçisi və texniki direktoru Aleks Rojniatovski tərəfindən nəzərdən keçirilmişdir . Anastasiyanın nüfuz sınağı və təhlükəsizliyin qiymətləndirilməsi üzrə beş ildən artıq praktiki təcrübəsi var. O, veb proqramların, infrastrukturun (həm yerli, həm də bulud) və mobil platformaların (iOS və Android) sınaqdan keçirilməsində ixtisaslaşıb. Onun təcrübəsi zəifliklərin qiymətləndirilməsi və mənbə kodu təhlükəsizliyinin nəzərdən keçirilməsində bacarıqla yanaşı, Qara Qutu, Boz Qutu və Ağ Qutu metodologiyalarını əhatə edir. Aleksin inkişaf və kibertəhlükəsizlik sahəsində yeddi illik təcrübəsi var. O, təhlükəsiz kodlaşdırma təcrübələrini inkişaf etdirməyə həsr olunmuş AWS Açıq mənbəli töhfəçidir. Onun təcrübəsi proqram təminatının inkişafı və təhlükəsizlik arasındakı boşluğu aradan qaldırır, müasir veb proqramların qorunması ilə bağlı dəyərli fikirlər təqdim edir.

İstinadlar

Alətlər və Resurslar

1. Sertifikat Şəffaflığı (crt.sh)
2. DNSDumpster
3. Müxtəlif məqsədlər üçün istifadə edə biləcəyiniz 40 Google Dorks
4. tomnomnom tərəfindən Waybackurls
5. Wayback Machine (Veb Arxiv)
6. Şodan
7. DeHashed
8. Intelx
9. Mən məyus oldum (HIBP)
10. Wappalyzer
11. Alt siyahı 3r
12. Kali Alətlərində Dirb
13. Qobuster
14. ffuf (Fuzz Faster U Fool)
15. Nmap
16. Milli Zəiflik Məlumat Bazası (NVD)
17. İstismar Verilənlər Bazası (Exploit-DB)
18. CVE Mitre
19. Acunetix
20. Nessus
21. Nexpose
22. Burp BApp Mağazası
23. Testssl.sh

Bələdçilər və Məqalələr

1. OWASP Veb Təhlükəsizliyi Test Bələdçisi (WSTG)
2. Public Pentesting Reports Repository
3. OWASP Tətbiq Təhlükəsizliyi Doğrulama Standartı (ASVS)
4. Sekurno tərəfindən API Pentesting Bələdçisi
5. Sekurno tərəfindən Node.Js Tətbiq Təhlükəsizliyi Bələdçisi