Пентест (pentest). обзор требований и цен в россии

Что такое пентестинг?

Пентестинг включает в себя серию тестов на проникновение, основанных на атаках ИТ-систем для выявления их слабых мест или уязвимостей. Они предназначены для классификации и определения масштабов брешей безопасности, а также их степени влияния. В результате таких тестов вы можете получить достаточно четкое представление об опасностях для вашей системы и эффективности вашей защиты.

Пентесты помогают определить вероятность успеха атаки, а также выявить дыры безопасности, которые являются следствием уязвимостей с низким уровнем риска, но использующихся определенным образом. Они также позволяют выявлять другие уязвимости, которые невозможно обнаружить с помощью автоматизированного сетевого ПО или специальных программ, а также могут использоваться для оценки того, способны ли менеджеры по безопасности успешно обнаруживать атаки и эффективно реагировать на них.

Агрессивный ARP Spoofing

В тестировании на проникновение нередко приходится прибегать к атакам канального уровня, таким как ARP spoofing. Эта атака до сих пор эффективна, если нет соответствующей защиты. Как ты наверняка понял, атаки канального уровня обычно используются на этапе внутреннего тестирования на проникновение.

Находясь со своим ноутбуком в офисе заказчика, многие не брезгуют отравлять ARP кэш сразу целым диапазоном , а то и . И если ноут не справляется с нагрузкой, можно воспользоваться физическим доступом. Да-да, никто не отменял атаки на канальный уровень в том случае, если ты, преодолев сетевой периметр заказчика, развиваешь атаку внутри сети. Тогда, запустив на захваченном хосте, можно круто обломаться и навсегда потерять доступ не только к хосту, но и к сети.

Причины просты — тормоза на уровне сети возникнут не только у тебя, но и у легитимных пользователей. Это заметят администраторы, которых наверняка в крайне строгой форме попросят объяснить, почему и как произошел подобный инцидент. С большой вероятностью точку входа во внутреннюю сеть закроют, пентест или атака перестанет быть секретом, администраторы будут внимательнее — и это все не говоря об организационной составляющей вопроса, ведь подобные действия серьезно мешают доступу к ресурсам.

Кейс кажется фантастикой? Как бы не так. Когда я был начинающим пентестером, схожая ситуация произошла со мной во время подготовки к работе с реальными заказчиками. Подключившись к своему рабочему компьютеру через VPN, я без задней мысли запустил Cain и врубил ARP spoofing. Перед тем, как соединение разорвалось, я успел лишь подумать, что утро — лучшее время для сбора доменных учеток, ведь все приходят на работу и начинают логиниться в домен. Это, пожалуй, была моя первая и последняя грубая ошибка в подходе к проведению пентеста.

Сетевой дестрой продолжался на протяжении получаса, после чего я сумел найти своего человека в организации, который обезвредил рабочий компьютер, выдернув из него шнур питания. Естественно, администраторы нашли по MAC-адресу мой компьютер, но тут их ждал сюрприз — он был выключен. Никто не подумал, что MAC можно подменить (я тоже об этом тогда не подумал, если честно), его включили и залогинились под учетной записью администратора домена (!), чтобы найти улики. И, конечно, нашли их.

Тогда все вместе посмеялись и продолжили работать, но после этого мне некоторое время было неловко общаться с админами. А ещё после этой истории я думал, что можно было бы установить себе на машину кейлоггер и получить учетную запись администратора домена — этакая ловля на живца. Однако все это осталось теорией, которую не пришлось проверять на практике.

Комфортный DevOpsSec: Nemesida WAF Free для NGINX с API и личным кабинетом

Nemesida WAF Free — бесплатная версия Nemesida WAF, обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного анализа. Nemesida WAF Free имеет собственную базу сигнатур, выявляет атаки на веб-приложения при минимальном количестве ложных срабатываний, обновляется из Linux-репозитория, устанавливается и настраивается за несколько минут, не требует компиляции и может быть подключена к уже установленному NGINX версии 1.12.2 или выше.Что может произойти, если не следить за безопасностью и не использовать WAF
Некоторое время назад мы анонсировали поддержку Nemesida WAF Free для NGINX Mainline и Plus версий (раньше поддерживалась только Stable ветка). Решив на этом не останавливаться, мы добавили во Free-версию функционал отправки выявленных атак в личный кабинет.

Sniffing

• Burp Suite — Burp Suite is an integrated platform for performing security testing of web applications. Its various tools work seamlessly together to support the entire testing process, from initial mapping and analysis of an application’s attack surface, through to finding and exploiting security vulnerabilities.

• DNSChef — DNSChef is a highly configurable DNS proxy for Penetration Testers and Malware Analysts. A DNS proxy (aka “Fake DNS”) is a tool used for application network traffic analysis among other uses. For example, a DNS proxy can be used to fake requests for “badguy.com” to point to a local machine for termination or interception instead of a real host somewhere on the Internet.
  Author: thesprawl
  License: GPLv3

• Ettercap — Ettercap is a comprehensive suite for man in the middle attacks. It features sniffing of live connections, content filtering on the fly and many other interesting tricks. It supports active and passive dissection of many protocols and includes many features for network and host analysis.
  Author: Alberto Ornaghi (ALoR), Marco Valleri (NaGA), Emilio Escobar (exfil), Eric Milam (J0hnnyBrav0)
  License: GPLv2

• ngrep — ngrep is a pcap-aware tool that will allow you to specify extended regular expressions to match against data payloads of packets.

• Network Miner — NetworkMiner can be used as a passive network sniffer/packet capturing tool in order to detect operating systems, sessions, hostnames, open ports etc. without putting any traffic on the network. NetworkMiner can also parse PCAP files for off-line analysis and to regenerate/reassemble transmitted files and certificates from PCAP files.
  Author: NETRESEC

• Responder — Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication.
  Author: SpiderLabs
  License: GPLv3

• SSlStrip — It will transparently hijack HTTP traffic on a network, watch for HTTPS links and redirects, then map those links into either look-alike HTTP links or homograph-similar HTTPS links. It also supports modes for supplying a favicon which looks like a lock icon, selective logging, and session denial.
  Author: Moxie Marlinspike
  License: GPLv3

• WinDump — WinDump is the Windows version of tcpdump, the command line network analyzer for UNIX. WinDump is fully compatible with tcpdump and can be used to watch, diagnose and save to disk network traffic according to various complex rules.
  License: BSD

• Wireshark — Wireshark is the world’s foremost network protocol analyzer. It lets you see what’s happening on your network at a microscopic level. It is the de facto (and often de jure) standard across many industries and educational institutions. Wireshark development thrives thanks to the contributions of networking experts across the globe.
  Author: Gerald Combs and contributors
  License: GPLv2

• Zaproxy — The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications. It is designed to be used by people with a wide range of security experience and as such is ideal for developers and functional testers who are new to penetration testing as well as being a useful addition to an experienced pen testers toolbox.
  Author: Simon Bennetts

Android Security

• AndroBugs Framework — AndroBugs Framework is an Android vulnerability analysis system that helps developers or hackers find potential security vulnerabilities in Android applications. No splendid GUI interface, but the most efficient (less than 2 minutes per scan in average) and more accurate.
  Author: AndroBugs
  Author: GPLv3

• Androguard — Reverse engineering, Malware and goodware analysis of Android applications … and more (ninja !)
  Author: Anthony Desnos
  License: Apache v2.0

• Androwarn — Androwarn is a tool whose main aim is to detect and warn the user about potential malicious behaviours developped by an Android application.
  Author: Thomas D
  License: GPLv3

• ApkTool — A tool for reverse engineering 3rd party, closed, binary Android apps. It can decode resources to nearly original form and rebuild them after making some modifications; it makes possible to debug smali code step by step. Also it makes working with an app easier because of project-like file structure and automation of some repetitive tasks like building apk, etc.
  Author: Connor Tumbleson, Ryszard Wiśniewski
  License: Apache v2.0

• ByteCode Viewer — Bytecode Viewer is an Advanced Lightweight Java Bytecode Viewer, GUI Java Decompiler, GUI Bytecode Editor, GUI Smali, GUI Baksmali, GUI APK Editor, GUI Dex Editor, GUI APK Decompiler, GUI DEX Decompiler, GUI Procyon Java Decompiler, GUI Krakatau, GUI CFR Java Decompiler, GUI FernFlower Java Decompiler, GUI DEX2Jar, GUI Jar2DEX, GUI Jar-Jar, Hex Viewer, Code Searcher, Debugger and more.It’s written completely in Java, and it’s open sourced.
  Author: konloch
  License: GPLv3

• dex2jar — Convert .dex file to .class files (zipped as jar)
  Author: Bob Pan
  License: Apache v2.0

• Jadx — Dex to Java decompiler
  Author: skylot
  License: Apache

• JD-GUI — JD-GUI is a standalone graphical utility that displays Java source codes of “.class” files. You can browse the reconstructed source code with the JD-GUI for instant access to methods and fields.
  License: Free for Non-Commercial Use

• Pidcat — Colored logcat script which only shows log entries for a specific application package.
  Author: Jake Wharton

Browser

PentestBox also contains a modified version of Mozilla Firefox with all the security addons pre installed in it. To see all the addons which are pre installed in it, click here

Also, we have included SQLite Browser in it.

Disclaimer

All the tools contained in PentestBox belong to their individual developers whose names are mentioned above along their respective tools. All credits to those tools go to their respective developers.
All the tools are maintained inside the bin folder, no tool/product has been modified unless specified in the product description above.
Tools are directly fetched from the respective Github repositories and/or their product websites. All Copyright Notice, License file, Disclaimer files are maintained in
their respective folder if given on their products site/pages.

The developer assumes no liability and is not responsible for any misuse or damage caused by this program. Do not use it for illegal purposes!

Coming soon… IP » Target

An exciting change is coming to the PTWS system. Currently, Hosts are tracked by IP Address. After the IP->Target mod included in the next release, it will be possible to enter a fully qualified domain name (FQDN) as the Host’s primary identifier.

All tools will be updated to support a Target in addition to an IP Address. Import an Nmap XML scan based on a FQDN? No problem. Need to launch a dirsearch command against a FQDN? Sure!

This change will be a big boost for all the Bug Bounty Hunters in our community. Each sub-domain in the program’s scope could have its own Host record, with separate port lists, notes and findings.

We’re always looking for ways to improve the PenTest.WS platform. Head on over to the Support Forums and submit a Feature Request.

Нестабильные эксплоиты

Для решения некоторых задач, будь то получение паролей из конфигурационных файлов или проведение ARP спуфинга, пентестеру необходимы максимальные привилегии в системе. В большинстве случаев они получаются через эксплуатацию уязвимостей в ядре.

Как известно, публичные эксплоиты — это скорее продвинутые proof-of-concept с возможностью выплевывать рутовый шелл, нежели отлаженные программы. Сужу по себе — все мои эксплоиты работают, но я не тестирую и не отлаживаю их ради стабильности. Если на следующей системе эксплоит не срабатывает, тогда-то я его и доработаю. Уверен, логика тебе понятна.

В ночной погоне за рутом несложно забыть, что эксплоит не стабилен, и что не следует его запускать без предварительного согласования с заказчиком. Но адреналин и желание достичь цели любым путем делают своё дело. Ты надеешься, что всё будет окей, но если есть ощущение риска, то лучше не спешить. Желание удивить заказчика своим мастерством — это хорошо, но малейшая вероятность нарушить доступность ресурса должна охладить тебя и остановить от рискованной попытки.

Конечно, эксплуатация эксплуатации рознь. Одно дело, когда сервис выдает ошибку отказа в обслуживании после попытки запустить кернел эксплоит, загруженный с . Другое — отказ в обслуживании из-за того, что пентестер был стеснен во времени, не имел полного доступа к сети и вслепую запустил только что написанный им непротестированный эксплоит. Второй вариант, безусловно, выглядит куда более благородным, несмотря на схожий результат.

Один мой знакомый как-то попал в такую ситуацию и уронил сервис из-за некорректного шеллкода в своем эксплоите. Он не растерялся и предъявил заказчику примерно следующее: «Вы знаете, что у вас сервер X недоступен? Мы тут работаем и у нас время ограничено, срочно решите проблему!» Социальная инженерия на практике! Через пару минут уязвимый сервис снова стал доступен; за это время знакомый успел поправить шеллкод. В результате он получил доступ к серверу со второго раза. Однако рассмотренная ситуация — скорее исключение из правил, ведь знакомый был уверен, что шеллкод на этот раз отработает как надо.

«HR lab» — оценка квалификации специалистов в области информационной безопасности

Оценка квалификации специалистов в области ИБ

При приеме на работу технических специалистов одним из основных этапов является определение реального уровня их знаний. Как правило, рекрутеры руководствуются сертификатами и навыками, указанными в резюме, не имея возможности точно определить квалификацию соискателя. Наиболее подходящие (на их взгляд) кандидаты сразу направляются на собеседование непосредственно в компанию, открывшую вакансию. При таком подходе процесс подбора квалифицированных кадров может быть очень длительным и занимать до полугода, при этом основная часть кандидатов отсеивается уже внутри компании, во время собеседования с техническими специалистами, отвлекая сотрудников от работы и вызывая их недовольство большим потом низкоквалифицированных кандидатов.
Длительный поиск кандидатов не устраивает ни кадровые агентства, ни работодателей, ни самих кандидатов. Для эффективного подбора персонала мы запустили новый сервис оценки квалификации специалистов в области информационной безопасности «HR lab», позволяющий быстро и точно определить уровень квалификации специалистов. Сервис одинаково хорош как для кадровых агентств, так и для сотрудников HR-отделов.

Дело в шляпе

Освоить профессию программиста, системного администратора или веб-мастера в наши дни относительно несложно — было бы желание. А вот пентестерам повезло меньше: до недавнего времени этому направлению нигде целенаправленно не учили. Поэтому большинство практикующих хакеров (независимо от того, выступают они на стороне атаки или защиты) — это самоучки, достигшие вершин мастерства годами кропотливого сбора и анализа информации.

При этом у профессии пентестера есть важные особенности, о которых могут рассказать только практики. В отличие от некоторых других IT-специальностей, эта работа по-настоящему творческая: методы поиска брешей в защите, способы их исследования и эксплуатации ты выбираешь сам. Есть, конечно, общепринятые методологии и протоколы тестирования, но большинство из них носит рекомендательный характер.

То есть труд пентестера чем-то сродни деятельности ученого или детектива: нужно обнаружить слабое место в защите и придумать стратегию его использования. По сравнению с тем же программированием рутины тут куда меньше, а драйва — на порядок больше, хотя пентестеру часто и приходится написать скрипт-другой для автоматизации некоторых процессов.

Самый скучный, на мой взгляд, этап — это составление отчетов. Но и эту задачу можно решать с огоньком, особенно если ты умеешь излагать свои мысли на бумаге и тебе это нравится. Если нет, в некоторых Red Team складыванием букв в слова занимается специально обученный технический писатель.

Вторая важнейшая вещь — это сообщество. Хакерское комьюнити — очень тесное и весьма сплоченное, здесь буквально все знают всех, потому что год от года тусуются на одних и тех же ивентах вроде PHDays или Zero Nights, не говоря уж про камерные пивные сборища вроде «2600». Заметь: я имею в виду не «анонимные сообщества по интересам» на всем известных форумах, а именно профессиональные мероприятия для спецов по информационной безопасности, где можно не только послушать интереснейшие доклады, но и пообщаться с крутыми ребятами, готовыми обменяться с тобой последними сплетнями актуальными знаниями и обсудить новейшие технологии. Это крайне интересно и безумно вдохновляет. А технический уровень участников таких конференций очень высок, у многих из них действительно есть чему поучиться.

Ну и наконец, работа пентестера неплохо оплачивается. Иногда — очень неплохо. К тому же это, пожалуй, единственный легальный способ быть хакером и получать за это деньги — то есть заниматься любимым делом (например, взломом) без опасения присесть за это увлечение на нары. Думается, перечисленных аргументов вполне достаточно для того, чтобы у всякого разумного человека пробудилось желание освоить эту профессию. А значит, ей нужно учиться.