Накіруйце свайго ўнутранага хакера, уварваўшыся ў сістэму без назвы

Вы калі-небудзь задумваліся, як зламыснік можа ўзламаць сістэму, не маючы ўнутраных ведаў? Не ўступаючы ў шэрагі Anonymous або Lizard Squad, вывучэнне тэсціравання на пранікненне з дапамогай чорнай скрыні - гэта, напэўна, самае блізкае да таго, каб хадзіць на іх месцы. У Sekurno мы спецыялізуемся на мастацтве і навуцы выяўлення слабых месцаў, і мы рады прывесці вас у наш свет.

Незалежна ад таго, пачатковец вы ў кібербяспецы або дасведчаны пентэстар, у гэтым кіраўніцтве кожны знойдзе што-небудзь для сябе. Пачаткоўцы знойдуць ясную пакрокавую інструкцыю па дэмістыфікацыі працэсу, у той час як эксперты змогуць атрымаць новы погляд і перагледзець асноватворныя прынцыпы . Уявіце сабе, што вы пачынаеце толькі з назвы кампаніі або дамена і сістэматычна выдаляеце пласты, каб выявіць уразлівасці.

Мы вывучым поўны жыццёвы цыкл пентэставання чорнай скрыні , ад разведкі да справаздачнасці , паказваючы, як кожны этап абапіраецца на апошні, каб выявіць уразлівасці і даць дзейсныя вынікі. У канцы вы зразумееце, чаму пентэставанне чорнай скрыні - гэта больш, чым проста тэхнічнае практыкаванне, а стратэгічная неабходнасць для апярэджання пагроз, якія развіваюцца.

Што такое пентэст Black-Box?

Тэст на пранікненне ў «чорную скрыню» - гэта метад кібербяспекі, пры якім тэстар ацэньвае бяспеку сістэмы без папярэдняга веды аб яе ўнутраных функцыях, такіх як архітэктура, зыходны код або канфігурацыі. Імітуючы перспектыву знешняга зламысніка, пентэставанне чорнай скрыні дае неацэнную інфармацыю аб тым, наколькі сістэма схільная пагрозам рэальнага свету. Тэсціроўшчыкі часта абапіраюцца на прызнаныя структуры і метадалогіі, каб структураваць свой падыход. Папулярныя варыянты ўключаюць:

• Кіраўніцтва па тэсціраванні вэб-бяспекі OWASP : у цэнтры ўвагі вэб-праграмы.

• PTES (Стандарт выканання тэставання на пранікненне) : ахоплівае працэсы скразнога тэсціравання.

• OSSTMM (Кіраўніцтва па метадалогіі тэсціравання бяспекі з адкрытым зыходным кодам) : Забяспечвае вымерныя тэсты бяспекі.

  
  

Выбар метадалогіі залежыць ад такіх фактараў, як тып заяўкі, патрабаванні кліента і аб'ём удзелу.

Этап разведкі

Мы заўсёды пачынаем з этапу рэкагнасцыроўкі (разведкі). Гэты фундаментальны крок прадугледжвае збор як мага большай колькасці агульнадаступнай інфармацыі аб мэты. Імітуючы падыход сапраўднага зламысніка да сістэмы, мы вызначаем адкрытыя актывы, выяўляем патэнцыйныя кропкі ўваходу і наносім карту паверхні атакі. Ёсць два асноўных тыпу разведкі на этапе разведкі тэстаў на пранікненне: пасіўная і актыўная.

Пасіўная разведка

Пасіўная разведка прадугледжвае збор інфармацыі аб мэты без непасрэднага ўзаемадзеяння з яе сістэмамі. Такі падыход мінімізуе рызыку выяўлення, што робіць яго ідэальнай адпраўной кропкай для адлюстравання плошчы паверхні мэты. Выкарыстоўваючы агульнадаступную інфармацыю, пасіўная разведка дае каштоўную інфармацыю, захоўваючы ўтоенасць. Ніжэй прыведзены прыклады інструментаў, якія звычайна выкарыстоўваюцца:

Выяўленне даменаў і актываў

рыс.ш

Адным з магутных інструментаў для выяўлення схаваных субдаменаў з'яўляецца crt.sh , пошукавая сістэма часопіса празрыстасці сертыфіката (CT) . Журналы CT публічна адсочваюць сертыфікаты SSL/TLS, выдадзеныя даменам, якія могуць выявіць субдамены, якія не павінны былі быць агульнадаступнымі.

Напрыклад, у 2018 годзе даследчыкі выкарыстоўвалі журналы CT, каб выявіць ненаўмысныя паддамены, звязаныя з Tesla , у тым ліку пастановачнае асяроддзе, патэнцыйна ўразлівае для эксплуатацыі. Выкарыстоўваючы crt.sh, этычныя хакеры, даследчыкі і тэстары на пранікненне могуць хутка ідэнтыфікаваць няправільна настроеныя або адкрытыя актывы, якія могуць прадстаўляць значную пагрозу бяспецы, што робіць яго важным інструментам на этапе разведкі пры тэсціраванні на пранікненне ў «чорную скрыню».

DNSDumpster

DNSDumpster - гэта магутны інструмент разведкі DNS, які дае падрабязную інфармацыю аб запісах DNS дамена, такіх як запісы A, MX і TXT, а таксама аб звязаных IP-адрасах. Гэта асабліва карысна для адлюстравання паверхні атакі падчас разведкі, ідэнтыфікацыі схаваных актываў і выяўлення патэнцыйных няправільных канфігурацый, якія могуць быць выкарыстаны.

Google Dorks

Google Dorks - гэта аператары пашыранага пошуку, якія дазваляюць тэсціроўшчыкам знаходзіць агульнадаступную інфармацыю, праіндэксаваную Google. Выкарыстоўваючы такія аператары, як site: , filetype: , intitle: : і inurl: , тэсціроўшчыкі могуць знаходзіць канфідэнцыяльныя файлы, каталогі або старонкі, звязаныя з мэтавай арганізацыяй.

Напрыклад, запыт накшталт site:example.com filetype:pdf можа выявіць агульнадаступныя PDF-дакументы, а intitle:"index of" можа адкрыць каталогі, якія засталіся неабароненымі. Google Dorks - гэта неверагодна эфектыўны, але часта недаацэнены інструмент выведкі для выяўлення патэнцыйнага ўздзеяння на ранніх этапах тэсціравання.

Шодан

Спецыялізаваная пошукавая сістэма для выяўлення прылад і сэрвісаў, падлучаных да Інтэрнэту, якая прапануе унікальную інфармацыю аб інтэрнэт-інфраструктуры мэты. У адрозненне ад традыцыйных пошукавых сістэм, Shodan індэксуе такія прылады, як адкрытыя серверы, прылады IoT, базы дадзеных і няправільна настроеныя сістэмы. Напрыклад, просты запыт можа выявіць адкрытыя парты, неабароненыя базы дадзеных або састарэлае праграмнае забеспячэнне, якое працуе ў агульнадаступных сістэмах. Яго здольнасць фільтраваць вынікі па IP, месцазнаходжанні або тыпе службы робіць Shodan неацэнным інструментам для тэстараў на пранікненне на этапе разведкі.

Уцечкі дадзеных

Дэхэшаваны / Intelx

Гэтыя інструменты дапамагаюць ідэнтыфікаваць уцечку дадзеных, такіх як уліковыя дадзеныя або канфідэнцыяльныя дакументы. Абодва патрабуюць падпіскі для поўнай функцыянальнасці. Intelligence X індэксуе цёмны вэб-кантэнт і публічны інтэрнэт-кантэнт, узломы і гістарычныя даныя вэб-сайтаў.

Прыклады запытаў:

• [email protected] , каб знайсці парушэнні або згадкі, звязаныя з адрасам электроннай пошты.
• example.com каб выявіць уцечку ўліковых дадзеных або дакументаў.

Ці быў я асуджаны (HIBP)

Бясплатны анлайн-сэрвіс, які правярае, ці былі асабістыя даныя скампраметаваны ў выніку вядомых парушэнняў даных. Шырока выкарыстоўваецца для павышэння дасведчанасці і зніжэння рызык, звязаных з уліковымі дадзенымі.

Waybackurls

Waybackurls - гэта інструмент, які здабывае заархіваваныя URL-адрасы з Wayback Machine, прапаноўваючы зазірнуць у гістарычныя вэб-канфігурацыі мэты. Ён можа выявіць схаваныя рэсурсы, састарэлыя старонкі або канчатковыя кропкі, якія могуць больш не быць бачнымі на жывым сайце, але ўсё яшчэ могуць прадстаўляць пагрозу бяспецы. Аналізуючы гэтыя заархіваваныя URL-адрасы, тэсціроўшчыкі могуць вызначыць заканамернасці, састарэлыя ўразлівасці або забытыя актывы, якія ў іншым выпадку маглі б застацца незаўважанымі.

Прыклад каманды:

 echo "sekurno.com" | waybackurls > urls.txt 

Актыўная разведка

Актыўная разведка прадугледжвае непасрэднае ўзаемадзеянне з сістэмамі мэты для збору падрабязнай інфармацыі. Нягледзячы на тое, што гэты падыход дае дакладную і дзейсную інфармацыю для тэсціравання на пранікненне або планавання нападаў, ён нясе больш высокі рызыка выяўлення, паколькі мэтавыя сістэмы могуць рэгістраваць або папярэджваць аб падазроных дзеяннях. Гэта вельмі важна для выяўлення слабых месцаў і разумення тэхнічных дэталяў інфраструктуры мэты.

Пералік субдаменаў

Ідэнтыфікацыя субдаменаў з'яўляецца найважнейшым крокам у тэставанні на пранікненне, паколькі субдамены часта размяшчаюць сэрвісы або прыкладанні, якія могуць быць уразлівымі або няправільна настроенымі. Субдамены таксама могуць забяспечваць кропкі ўваходу, такія як панэлі адміністратара або API, якія не бачныя адразу.

Падспіс3р

Гэта шырока распаўсюджаны інструмент з адкрытым зыходным кодам для пераліку субдаменаў. Ён аб'ядноўвае даныя з розных крыніц, уключаючы пошукавыя сістэмы, запісы DNS і API, для ідэнтыфікацыі субдаменаў, звязаных з мэтавым даменам. Яго здольнасць запытваць такія платформы, як Google, Bing і VirusTotal, робіць яго надзейным варыянтам для хуткага адлюстравання знешняй паверхні атакі арганізацыі.

Прыклад каманды:

 python3 sublist3r.py -d sekurno.com 

Адкрыццё службы

Пасля ідэнтыфікацыі субдаменаў выявіце адкрытыя парты, службы і аперацыйныя сістэмы з дапамогай такіх інструментаў, як dig і Nmap . Гэты крок дапамагае адлюстраваць паверхню атакі мэты.

dig (Інфармацыя аб дамене)

Інструмент каманднага радка, які выкарыстоўваецца для запыту запісаў DNS. Ён змяшчае падрабязную інфармацыю аб наладах DNS дамена, уключаючы запісы A, MX, TXT, CNAME і NS. dig з'яўляецца адным з асноўных элементаў пошуку і выведкі сетак, што дазваляе тэсціроўшчыкам правяраць канфігурацыі, выяўляць няправільныя канфігурацыі і збіраць інфармацыю аб інфраструктуры дамена. Яго хуткасць і дакладнасць робяць яго папулярным інструментам для аналізу DNS.

Прыклад каманды:

 dig sekurno.com 

Nmap

Універсальны інструмент для выяўлення і аўдыту сеткі. Nmap ідэнтыфікуе адкрытыя парты, службы і аперацыйныя сістэмы, даючы крытычную інфармацыю аб паверхні атакі мэты.

Асноўнае сканаванне:

 nmap <IP address> 

Сканаванне партоў:

 nmap -p <port> -sV <IP address> 

Агрэсіўнае сканаванне: спалучае ў сабе выяўленне АС, выяўленне сэрвісаў і напісанне сцэнарыяў

 nmap -A <IP address> 

Выяўленне каталогаў і файлаў

Выяўленне схаваных старонак, файлаў канфігурацыі і панэляў адміністратара можа даць крытычную інфармацыю для тэставання на пранікненне. Звычайна выкарыстоўваюцца такія інструменты, як Dirb , Gobuster і ffuf .

Dirb

Dirb - гэта сканер вэб-кантэнту, які грубым метадам апрацоўвае каталогі і URL-адрасы, каб выявіць схаваны або неабаронены кантэнт на вэб-серверы. Выкарыстоўваючы папярэдне сканфігураваныя або карыстальніцкія спісы слоў, Dirb можа ідэнтыфікаваць файлы, каталогі і канчатковыя кропкі, якія не могуць быць агульнадаступнымі, але могуць раскрыць канфідэнцыяльную інфармацыю або ўразлівасці. Гэта просты і магутны інструмент для адлюстравання структуры вэб-сервера падчас тэставання на пранікненне.

Асноўная каманда для агульных каталогаў:

 dirb http://example.com 

Карыстальніцкі спіс слоў:

 dirb http://example.com /usr/share/wordlists/dirb/common.txt 

Дадатковыя параметры:

 dirb https://example.com -X .php,.html -N 403 

Альтэрнатыўныя інструменты для пераліку каталогаў

Сярод іншых папулярных інструментаў:

Бастун

Gobuster - гэта хуткі і эфектыўны інструмент для падбору URL-адрасоў, каталогаў, паддаменаў DNS і іншага. Распрацаваны для апрацоўкі вялікіх спісаў слоў , ён выдатна спраўляецца з хуткім выяўленнем схаваных рэсурсаў на вэб-серверах. Gobuster падтрымлівае рэкурсіўнае сканаванне , што робіць яго асабліва карысным для вывучэння глыбока ўкладзеных каталогаў або субдаменаў падчас тэставання на пранікненне.

 gobuster dir -u http://example.com -w /path/to/wordlist.txt 

ффуф (Fuzz Faster, ты дурань)

Універсальны і высакахуткасны фаззер для выяўлення каталогаў, параметраў і іншых схаваных рэсурсаў на вэб-серверах. Ён падтрымлівае пашыраныя параметры фільтрацыі на аснове кодаў адказаў, памеру або слоў, што дазваляе тэсціроўшчыкам эфектыўна вызначаць адпаведныя вынікі. Дзякуючы сваёй гнуткасці, ffuf можа выкарыстоўвацца для такіх задач, як пералік каталогаў, фаззінг параметраў і выяўленне канцавых кропак API.

 ffuf -u http://example.com/FUZZ -w /path/to/wordlist.txt 

Вывучэнне загалоўкаў адказаў HTTP

Нарэшце, прааналізуйце загалоўкі адказаў HTTP, каб вызначыць праграмнае забеспячэнне, структуры або канфігурацыі сервера, якія выкарыстоўваюцца. Гэты крок дае падрабязную інфармацыю, але больш канкрэтны, чым папярэднія этапы.

Wappalyzer

Пашырэнне браўзера і інструмент, які вызначае фрэймворкі, платформы CMS, мовы праграмавання, інструменты аналітыкі і іншыя тэхналогіі, якія выкарыстоўваюцца вэб-сайтамі. Вызначаючы версіі праграмнага забеспячэння, тэстары могуць перакрыжаваць спасылкі на вядомыя ўразлівасці ў агульнадаступных базах дадзеных.

Сканаванне

Пасля разведкі надыходзіць этап сканавання , дзе тэстары актыўна аналізуюць мэта на наяўнасць уразлівасцяў. Аўтаматызаваныя інструменты важныя для хуткага выяўлення шырокага спектру ўразлівасцяў. Гэтыя інструменты надзейныя, часта абнаўляюцца і адаптаваны да новых пагроз. Звычайна выкарыстоўваюцца сканеры:

• Acunetix : сканер вэб-прыкладанняў, які вызначае SQL-ін'екцыі, XSS і іншыя ўразлівасці.
• Nessus : комплексны сканер уразлівасцяў для сетак і сістэм.
• Nexpose : інструмент для выяўлення і расстаноўкі прыярытэтаў уразлівасцяў у актывах.

У асноўным мы выкарыстоўваем Burp Suite для сканавання вэб-прыкладанняў, паколькі ён прапануе шырокія магчымасці для розных праграмных структур і тыпаў уразлівасцяў.

Адрыжка Люкс

Burp Suite - адзін з найбольш часта выкарыстоўваюцца інструментаў для тэсціравання вэб-прыкладанняў. Ён спалучае аўтаматызаваныя і ручныя магчымасці, што робіць яго прыдатным для выяўлення распаўсюджаных і пашыраных уразлівасцяў. Асноўныя функцыі ўключаюць у сябе:

• Выяўленне ўразлівасцяў : укараненне SQL, XSS, укараненне каманд, абыход каталога, недахопы аўтэнтыфікацыі і многае іншае.

• Тэставанне API : вызначае зламаныя элементы кіравання доступам, ін'екцыю JSON і небяспечныя канчатковыя кропкі.

• Пашыранае тэсціраванне : выяўляе такія ўразлівасці, як CSRF, XXE, SSRF і падробку параметраў.

• Пашырэнні BApp Store : пашырае функцыянальнасць з дапамогай спецыяльных інструментаў для сканавання ўразлівасцяў, тэсціравання аўтарызацыі і стварэння карыснай нагрузкі.

  
  

Агляд папулярных пашырэнняў Burp

1. AuthMatrix - кіруе і правярае логіку аўтарызацыі для некалькіх карыстальнікаў або роляў.
2. Logger++ - забяспечвае падрабязную рэгістрацыю HTTP-запытаў і адказаў.
3. Hackvertor - Пераўтварае фарматы даных (напрыклад, кадаванне/дэкадаванне) і аўтаматызуе пераўтварэнні карыснай нагрузкі.
4. Active Scan++ - паляпшае актыўны сканер Burp дадатковымі праверкамі.
5. JS Beautifier - упрыгожвае/памяншае файлы JavaScript для палягчэння аналізу.
6. Param Miner - знаходзіць схаваныя параметры ў вэб-праграмах.
7. Retire.js - выяўляе састарэлыя бібліятэкі JavaScript з вядомымі ўразлівасцямі.
8. Burp Bounty - наладжвае сканаванне з дапамогай зададзеных карыстальнікам карысных нагрузак і ўмоў матчу.
9. Рэдактар вэб-токенаў JSON (JWT) - маніпулюе і правярае JWT на ўразлівасці, такія як фальсіфікацыя подпісу.
10. Аўтарызацыя - аўтаматызуе праверку абыходу аўтарызацыі шляхам прайгравання запытаў з рознымі ролямі

Testssl

Для тэсціравання канфігурацый SSL/TLS мы выкарыстоўваем testssl.sh , інструмент каманднага радка з адкрытым зыходным кодам. Ён ацэньвае:

• Слабыя або састарэлыя пратаколы (напрыклад, SSLv2, SSLv3, TLS 1.0).

• Няправільна сканфігураваныя сертыфікаты (напрыклад, з самаподпісам, са скончаным тэрмінам дзеяння).

• Такія ўразлівасці, як Heartbleed, BEAST або POODLE.

• Адсутнічаюць канфігурацыі HTTPS, такія як загалоўкі HSTS.

  
  

Прыклад каманды:

 [testssl.sh](http://testssl.sh) <domain> 

Вызначэнне ўразлівасці

Пасля завяршэння этапу разведкі мы пяройдзем да этапу вызначэння ўразлівасці . Гэты этап уключае ў сябе аналіз сабраных даных для выяўлення недахопаў бяспекі, такіх як няправільныя канфігурацыі, састарэлае праграмнае забеспячэнне або слабыя ўліковыя дадзеныя. Камбінуючы інструменты аўтаматызаванага сканавання з ручным зандзіраваннем, мы можам дакладна вызначыць уразлівасці, якія могуць быць выкарыстаны ў рэальных сітуацыях.

Кіраўніцтва па тэставанні вэб-бяспекі OWASP (WSTG)

OWASP WSTG - гэта комплексны рэсурс, які змяшчае структураваныя метадалогіі тэсціравання бяспекі вэб-праграм. Ён забяспечвае сістэматычныя і дбайныя ацэнкі, накіроўваючы тэсціроўшчыкаў праз агульныя тэсты на ўразлівасці, такія як:

• SQL Injection : Тэставанне палёў уводу для эксплуатацыйных запытаў SQL.
• Хібы кіравання сеансам : Ацэнка такіх механізмаў, як тайм-аўт сеанса і бяспечная апрацоўка файлаў cookie.
• Праблемы з аўтэнтыфікацыяй : Праверка слабых уліковых дадзеных і няправільнай рэалізацыі шматфактарнай аўтэнтыфікацыі.

Прытрымліваючыся WSTG, тэсціроўшчыкі забяспечваюць паслядоўнасць і глыбіню працэсу вызначэння ўразлівасцяў.

Прыклад: аналіз уразлівасці Keycloak

Падчас аднаго ўзаемадзеяння мы выявілі, што вэб-сервер працуе састарэлай версіяй Keycloak : "version": "23.0.4" . Далейшы аналіз паказаў, што гэтая версія падвяргалася ўздзеянню некалькіх вядомых уразлівасцей (CVE), у тым ліку:

• CVE-2024-1132
• CVE-2023-6484
• CVE-2024-1249
• CVE-2023-0657
• CVE-2024-2419
• CVE-2023-6717
• CVE-2023-6544
• CVE-2023-3597

Выяўлены патэнцыйныя эксплойты

У ходзе нашага аналізу мы вызначылі, што зламыснікі могуць выкарыстоўваць гэтыя ўразлівасці для:

• Доступ да канфедэнцыйных URL праз Path Traversal .
• Увядзіце шкоднаснае змесціва ў журналы праз няправільную праверку ўводу .
• Выклікаць DDoS-атакі з выкарыстаннем памылкі праверкі крыніцы.
• Атрымайце несанкцыянаваны доступ, выкарыстоўваючы абыход аўтэнтыфікацыі .
• Выкрадайце токены і выдавайце сябе за карыстальнікаў праз Open Redirect .
• Выканайце адвольны JavaScript з міжсайтавым сцэнарыем (XSS) .
• Рэгіструйце неаўтарызаваных кліентаў праз Аўтарызацыю .
• Абыход шматфактарнай аўтэнтыфікацыі з-за адсутнасці крытычных крокаў у працэсе аўтэнтыфікацыі.

Эксплуатацыя

Чацвёрты крок, эксплуатацыя , прадугледжвае выкарыстанне вынікаў фазы ідэнтыфікацыі ўразлівасці для мадэлявання рэальных атак. Гэты працэс дэманструе, як зламыснік можа выкарыстоўваць уразлівасці для ўзлому сістэм, крадзяжу дадзеных або атрымання несанкцыянаванага доступу. Эксплуатацыя, якая праводзіцца ў кантраляваным асяроддзі, дае каштоўную інфармацыю аб магчымым уздзеянні выяўленых уразлівасцяў.

Кантраляваная эксплуатацыя: праверка вынікаў

Эксплуатацыя пачынаецца з тэставання ўразлівасцяў, выяўленых на папярэднім этапе, каб пацвердзіць іх сапраўднасць і зразумець іх магчымыя наступствы. Напрыклад, падчас нядаўняй ацэнкі мы выявілі некалькі публічных CVE, звязаных з састарэлай версіяй Keycloak. Сярод гэтых уразлівасцяў мы паспяхова праверылі адкрытую праблему перанакіравання . Выкарыстоўваючы Burp Suite Collaborator , мы прадэманстравалі ўразлівасць, пратэставаўшы сцэнар перанакіравання. Адказ сервера пацвердзіў сапраўднасць эксплойта, як паказана ніжэй:

Уплыў у рэальным свеце

На этапе эксплуатацыі паказваецца, як можна выкарыстоўваць уразлівасці для дасягнення розных мэтаў, такіх як:

• Крадзеж дадзеных : выкарыстанне адкрытых перанакіраванняў або няправільнага кантролю доступу для крадзяжу канфідэнцыйнай інфармацыі.
• Несанкцыянаваны доступ : абыход механізмаў аўтэнтыфікацыі для атрымання адміністрацыйных прывілеяў.
• Кампраметацыя сістэмы : увядзенне шкоднасных карысных нагрузак для выканання каманд або парушэння працы службаў.

Рэкамендацыі па змякчэнні наступстваў

Пасля фазы эксплуатацыі для вырашэння выяўленых праблем неабходны дакладныя крокі па выпраўленні. У прыкладзе Keycloak мы рэкамендавалі кліенту абнавіць праграмнае забеспячэнне да апошняй версіі, каб выправіць вядомыя ўразлівасці.

Важныя меркаванні

Падчас эксплуатацыі часта сустракаюцца наступныя сітуацыі:

1. Не ўсе CVE можна выкарыстоўваць : распрацоўшчыкі маглі выправіць або паменшыць уразлівасці без абнаўлення радка версіі праграмнага забеспячэння, што прыводзіць да ілжывых спрацоўванняў.
2. Кантэкст мае значэнне : некаторыя ўразлівасці могуць быць выкарыстаны толькі пры пэўных умовах або канфігурацыях.
3. Кантраляванае тэсціраванне : эксплуатацыя павінна праводзіцца асцярожна, каб пазбегнуць ненаўмыснага пашкоджання мэтавага асяроддзя.

Справаздачнасць

Апошнім этапам жыццёвага цыкла пентэставання з'яўляецца этап справаздачнасці і выпраўлення . На гэтым этапе ўсе высновы аб'ядноўваюцца ў падрабязную справаздачу, у якой апісваюцца ўразлівасці, іх сур'ёзнасць і дзейсныя рэкамендацыі па зніжэнні рызык. Добра складзеная справаздача ліквідуе разрыў паміж тэхнічнымі групамі і зацікаўленымі бакамі, забяспечваючы разуменне і эфектыўнае ліквідацыю ўразлівасцяў.

Ключавыя элементы справаздачы пра пентэстынг

Каб атрымаць максімальны эфект, справаздачы павінны адпавядаць лепшым практыкам:

1. Класіфікацыя па ступені сур'ёзнасці : выразна класіфікуйце ўразлівасці як высокі, сярэдні або нізкі на аснове іх патэнцыйнага ўздзеяння і магчымасці выкарыстання.
2. Падрабязныя апісанні ўразлівасцяў : уключыце рэзюмэ, этапы прайгравання, патэнцыйнае ўздзеянне і ўзровень складанасці выпраўлення для кожнай знаходкі.
3. Дзейсныя рэкамендацыі : Дайце дакладныя і выканальныя крокі па ліквідацыі выяўленых уразлівасцяў.
4. Спецыялізаваны кантэнт : змяшчае рэзюмэ для зацікаўленых бакоў і падрабязныя тэхнічныя раздзелы для каманд бяспекі.

Інструменты для справаздачнасці

Такія інструменты, як Pwndoc, спрашчаюць працэс справаздачнасці, прапаноўваючы наладжвальныя шаблоны і забяспечваючы паслядоўнасць. Выкарыстанне такіх інструментаў паскарае стварэнне справаздач і падтрымлівае прафесійнае фарматаванне.

Каб атрымаць натхненне, азнаёмцеся з публічным сховішчам справаздач пра пентэстынг , дзе прадстаўлены прыклады прафесійных справаздач пентэстынгу.

Прыклад: парушаны кантроль доступу

Прыклад справаздачы аб уразлівасцях для праблемы са зламаным кантролем доступу ўключае:

• Апісанне : Несанкцыянаваны доступ да адчувальных канчатковых кропак.
• Уплыў : зламыснікі могуць абысці абмежаванні роляў і атрымаць адміністрацыйныя прывілеі.
• Выпраўленне : укараніць належныя праверкі праверкі ролі як на ўзроўні кліента, так і на серверы.

Важныя вынікі і выпраўленне

Для крытычных або вельмі сур'ёзных уразлівасцяў, такіх як выяўленыя з дапамогай калькулятара CVSS , справаздача ўключае:

• Вычарпальныя апісанні : падрабязнае тлумачэнне праблемы, магчымасці яе выкарыстання і яе ўздзеяння.

• Рэкамендуемыя выпраўленні : крокі па эфектыўным ліквідацыі ўразлівасці.

  
  

Каб дапамагчы распрацоўшчыкам, спасылка на такія рэсурсы, як OWASP ASVS (стандарт праверкі бяспекі прыкладанняў), гарантуе ім доступ да структураванай структуры. ASVS забяспечвае падрабязныя патрабаванні бяспекі і рэкамендацыі па распрацоўцы, тэсціраванню і абслугоўванню бяспечных прыкладанняў, прывядзенню праектаў у адпаведнасць з галіновымі стандартамі.

Агульныя праблемы ў пентэстынгу Blackbox

Пентэставанне Blackbox дае каштоўную інфармацыю аб знешніх уразлівасцях арганізацыі, але сутыкаецца з пэўнымі праблемамі і абмежаваннямі, з якімі павінны арыентавацца тэстары.

Абмежаванні

Тэставанне Blackbox патрабуе рэсурсаў і па сутнасці абмежавана адсутнасцю інсайдэрскіх ведаў пра сістэму ў тэстара. Асноўныя абмежаванні ўключаюць:

• Прапушчаныя ўнутраныя ўразлівасці : без доступу да зыходнага кода або ўнутранай архітэктуры некаторыя праблемы могуць застацца незаўважанымі.
• Абмежаванні па часе : у тэсціроўшчыкаў часта не хапае часу на стварэнне складаных эксплойтаў, каб цалкам скампраметаваць сістэму.
• Меры абароны : брандмаўэры, строгія фільтры і іншыя механізмы бяспекі могуць блакаваць тэсты і скажаць вынікі.
• Эфектыўнасць : абмежаваныя веды аб сістэме могуць прывесці да залішняга тэсціравання або ігнаравання праблем.

Белая скрыня ці чорная скрыня?

У той час як тэсціраванне чорнай скрыні дае каштоўную знешнюю перспектыву, яно лепш за ўсё працуе як частка шматузроўневай стратэгіі тэсціравання. Арганізацыі могуць выйграць ад камбінавання метадалогій тэсціравання:

1. Тэставанне белай скрыні : прадугледжвае поўны доступ да ўнутраных сістэм, што дазваляе ўсебаковы аналіз зыходнага кода, канфігурацый і архітэктуры.
2. Тэставанне чорнай скрыні : імітуе падыход зламысніка, правяраючы ўразлівасці, выяўленыя ў выніку тэсціравання белай скрыні.
3. Red Teaming : забяспечвае пашыраную ацэнку, імітуючы складаныя і пастаянныя пагрозы для праверкі як тэхнічных сродкаў абароны, так і арганізацыйных працэсаў.

Выклікі AI

Інтэграцыя штучнага інтэлекту (AI) у пентэставанне змяніла спосаб выяўлення ўразлівасцяў. Інструменты на аснове штучнага інтэлекту павышаюць эфектыўнасць тэсціравання за кошт аўтаматызацыі паўтаральных задач і апрацоўкі вялікіх набораў даных. Асноўныя меркаванні ўключаюць:

• Інструменты з выкарыстаннем штучнага інтэлекту :
  • DeepExploit : аўтаматызуе выкарыстанне выяўленых уразлівасцяў.
  • Shodan : выкарыстоўвае машыннае навучанне для адлюстравання адкрытых прылад і адкрытых партоў.
  • SpiderFoot і Recon-ng : Аўтаматызуйце збор OSINT і карэляцыю даных.
• Прымяненне AI :
  • Аналіз IP-адрасоў, субдаменаў і паслуг у маштабе.
  • Паляпшэнне тэсціравання ўласнага воблачнага асяроддзя, уключаючы API і мікрасэрвісы.
• Абмежаванні ІІ :
  • Інструменты штучнага інтэлекту вылучаюцца аўтаматызацыяй, але не маюць кантэкстуальнага разумення і магчымасці прыняцця рашэнняў.
  • Чалавечы вопыт застаецца важным для інтэрпрэтацыі вынікаў і іх эфектыўнага прымянення.

Рэзюмэ

Тэставанне Blackbox на пранікненне з'яўляецца жыццёва важным падыходам для ацэнкі стану знешняй бяспекі арганізацыі. Мадэлюючы рэальныя сцэнары нападаў, ён дае інфармацыю аб слабых месцах, якія могуць быць выкарыстаны знешнімі зламыснікамі. У гэтай публікацыі ў блогу разглядаецца поўны жыццёвы цыкл пентэставання чорнай скрыні, вылучаючы яго ключавыя этапы і праблемы:

1. Разведка : Збор інфармацыі аб мэты з выкарыстаннем пасіўных і актыўных метадаў для адлюстравання паверхні атакі.

2. Сканіраванне : выкарыстанне аўтаматызаваных інструментаў, такіх як Burp Suite і testssl.sh, для эфектыўнага выяўлення ўразлівасцей, дапоўненае ручным зандаваннем для выяўлення складаных праблем.

3. Ідэнтыфікацыя ўразлівасці : Аналіз знаходак для дакладнага выяўлення недахопаў, такіх як састарэлае праграмнае забеспячэнне, няправільныя канфігурацыі або слабыя ўліковыя дадзеныя, выкарыстанне фрэймворкаў, такіх як OWASP WSTG, для сістэматычнага тэставання.

4. Эксплуатацыя : дэманстрацыя таго, як зламыснікі могуць выкарыстоўваць уразлівасці для ўзлому сістэм, гарантуючы, што высновы пацверджаны і прымяняюцца да дзеяння.

5. Справаздачнасць : Прадстаўленне ўсёабдымнай справаздачы, якая класіфікуе ўразлівасці, апісвае іх уплыў і дае дзейсныя рэкамендацыі па выпраўленні.

   
   

Нягледзячы на свае перавагі, пентэставанне чорнай скрыні мае абмежаванні, такія як немагчымасць выявіць пэўныя ўнутраныя ўразлівасці і праблемы, звязаныя з абмежаваннямі па часе і абарончымі мерамі. Аднак спалучэнне яго з такімі метадалогіямі, як тэсціраванне ў белай скрыні або чырвонае аб'яднанне, стварае больш шматслаёвую і дбайную ацэнку бяспекі.

Новыя тэхналогіі, такія як штучны інтэлект, павышаюць эфектыўнасць пентэставання за кошт аўтаматызацыі задач і аналізу шырокіх набораў даных, але чалавечы вопыт застаецца незаменным для разумення кантэксту і прыняцця стратэгічных рашэнняў.

Прыняўшы структураваны падыход да пентэставання з дапамогай «чорнай скрыні», арганізацыі могуць актыўна выяўляць і ліквідаваць слабыя месцы, забяспечваючы больш моцную абарону ад знешніх пагроз. У Sekurno мы праводзім дбайныя і эфектыўныя ацэнкі, каб дапамагчы прадпрыемствам заставацца ўстойлівымі перад тварам новых праблем бяспекі.

FAQ

1. Што такое пентэстынг Blackbox?

   Pentesting Blackbox імітуе знешнія атакі для выяўлення ўразлівасцяў у сістэмах без папярэдняга ведама інсайдэра.

2. Як праводзіцца пентэставанне Blackbox?

   Ён уключае разведку, ідэнтыфікацыю ўразлівасцяў, сканаванне і выкарыстанне для ацэнкі стану бяспекі прыкладанняў і сетак.

3. Чым тэставанне ў чорнай скрыні адрозніваецца ад тэсціравання ў шэрай і белай скрынях?

   • Blackbox: імітуе знешнія атакі.
   • Greybox: спалучае знешнія атакі з частковымі інсайдэрскімі ведамі.
   • White-box: забяспечвае поўны доступ да ўнутраных сістэм для комплекснага тэсціравання.

4. Якія інструменты выкарыстоўваюцца ў пентэстынгу чорнай скрыні?

   Агульныя інструменты ўключаюць Nmap , Burp Suite , Metasploit і рэсурсы OSINT, такія як Shodan .

5. Чаму пентэставанне Blackbox важна?

   Ён забяспечвае пункт гледжання зламысніка, гарантуючы, што знешнія ўразлівасці будуць выяўлены і ліквідаваны да таго, як адбудзецца эксплуатацыя.

Пра аўтара

Гэты артыкул падрыхтавала Анастасія Талкачова , інжынер па тэсціраванні бяспекі ў Sekurno , а рэцэнзаваў Алекс Ражнятоўскі , сузаснавальнік і тэхнічны дырэктар Sekurno . Анастасія мае больш за пяць гадоў практычнага вопыту ў тэсціраванні на пранікненне і ацэнцы бяспекі. Яна спецыялізуецца на тэсціраванні вэб-праграм, інфраструктуры (як лакальнай, так і воблачнай) і мабільных платформаў (iOS і Android). Яе вопыт ахоплівае метадалогіі Чорнай скрыні, Шэрай скрыні і Белай скрыні, а таксама майстэрства ў ацэнцы ўразлівасцяў і праверцы бяспекі зыходнага кода. Алекс мае сем гадоў вопыту ў распрацоўцы і кібербяспецы. Ён з'яўляецца ўдзельнікам AWS з адкрытым зыходным кодам, прысвечаны прасоўванню метадаў бяспечнага кадавання. Яго вопыт ліквідуе разрыў паміж распрацоўкай праграмнага забеспячэння і бяспекай, даючы каштоўную інфармацыю аб абароне сучасных вэб-прыкладанняў.

Спасылкі

Інструменты і рэсурсы

1. Празрыстасць сертыфіката (crt.sh)
2. DNSDumpster
3. 40 Google Dorks, якія можна выкарыстоўваць у розных мэтах
4. Waybackurls ад tomnomnom
5. Wayback Machine (вэб-архіў)
6. Шодан
7. Дэхэшаваны
8. Intelx
9. Ці быў я асуджаны (HIBP)
10. Wappalyzer
11. Падспіс3р
12. Dirb на Kali Tools
13. Бастун
14. ффуф (Fuzz Faster, ты дурань)
15. Nmap
16. Нацыянальная база дадзеных аб уразлівасцях (NVD)
17. База даных эксплойтаў (Exploit-DB)
18. CVE мітр
19. Акунецікс
20. Несус
21. Nexpose
22. Крама Burp BApp
23. Testssl.sh

Кіраўніцтва і артыкулы

1. Кіраўніцтва па тэставанні вэб-бяспекі OWASP (WSTG)
2. Публічнае сховішча справаздач пра пентэстынг
3. Стандарт праверкі бяспекі прыкладанняў OWASP (ASVS)
4. Кіраўніцтва па пентэставанні API ад Sekurno
5. Кіраўніцтва па бяспецы прыкладання Node.Js ад Sekurno