Архив метки: security testing

OWASP Top 10 2017 RC2 Final has been published

A second release candidate for the list of Most Critical types of vulnerabilities/risks for Web Apps by version of OWASP, has been published recently on their GitHub space.

There was significant changes since the previous OWASP Top 10 2013 list: some threats are not so actual these days, but another ones arose (such as XML External Entity (XXE), Insecure Deserealization, and Insufficient Logging & Monitoring).

The RC2 has Final postfix in its name meaning the document is ready to review and investigation.

Читать далее

Kali Linux 2017.2 Release

A state-of-art Linux build for all those who interested in security testing has been upgraded. For more details, including what’s new and upgrade instructions please proceed the link https://www.kali.org/news/kali-linux-2017-2-release/

Behind the proxy: оффлайн-установка Nessus в условиях корпоративной среды

Nessus — это полнофункциональный сканер системы безопасности. Модульная архитектура Nessus позволяет пользователям настраивать его для своих систем и сетей. Как и любой другой сканер, Nessus хорош настолько, насколько хороша его база данных сигнатур. К счастью, Nessus часто обновляется. Он выдаёт подробные отчёты, позволяет сканировать узлы и способен искать уязвимости в реальном времени.

Хитросплетение отношений прямого и прокси-доступа в корпоративных сетях может повергнуть в уныние даже бывалого пользователя. Установка Nessus требует регистрации лицензии, при установке его в офисе может возникать проблема с доступом через прокси, однако разработчик сканера Tenable предоставили возможность проведения оффлайн-активации продукта и установки плагинов (сигнатур) уязвимостей.

Ставить будем на Kali Linux 2016.2

Читать далее

Dradis installation on Kali Rolling 2016.2

Dradis is a collaboration and reporting framework used by pentesters to accumulate all the statistic gathered from various security testing tools (ZAP, w3af, Nikto, etc.), proceed it and display/export in a user-friendly ‘readable’ manner. It really saves time and manage all this boring stuff of manual processing logs and reports.

It’s an open-source (GPLv2) and free, which is make it effective to use even in commercial projects.

Despite the Dradis is included in the Kali Linux 2016.2 (Rolling), I’ve got some issues running it since I’ve updated my Linux from Kali 2.0 (Sana). Browser show me Unable to connect error, whilst the console said «A server is already running«. I’ve managed to install the correct instance of Dradis from the latest Github available version and would like to share my experience with you.

  1. Follow the «Installing Dradis on Kali Linux» and run all the commands from there. If you’re working behind the proxy, check if you set http_proxy and https_proxy system variables.
  2. Once you get redis-server installed, follow the «Installing Dradis from Git» guide with my version:
    root@kali:/opt# git clone https://github.com/dradis/dradis-ce.git
    root@kali:/opt# cd dradis-ce/
    root@kali:/opt/dradis-ce# ./bin/setup
    root@kali:/opt/dradis-ce# gem install vegas
    root@kali:/opt/dradis-ce# bundle install --path vendor/cache
    
  3. Now try to run the Dradis
    Applications -> System Services -> start dradis
    Applications -> Reporting Tools -> dradis

If everything was ok, a browser started with URL like http://127.0.0.1:3000/setup where you’re welcomed to set your Dradis password and start the work with the framework.

2016_09_09_16_24_22_dradis-installation-on-kali-rolling-2016-2

 

Announce for SEI Webinar: From Secure Coding to Secure Software

sei-webinar-20160808_580px

Systems exploits, intrusions, and stolen data are more prevalent than ever. It seems there are daily headlines related to system security and privacy. Many, if not most, of these incidents could have been prevented with more secure coding practices. Software and systems are more connected than ever, often in ways that were not originally designed leading to unforeseen and unprotected attack vectors.

The CERT Secure Coding Standards are lists of rules and recommendations for developing secure software. In this webinar, we will discuss how you can improve your organization’s secure coding capabilities. We will discuss how to improve your workforce, processes, and tools to develop and verify the security of your software before it is deployed. We will also explain how the CERT Secure Coding Standards can help and how you can adopt them through training, tools, and process improvements.

Date: August 17, 2016
Time: 1:30-2:30 pm ET
Cost:  Free (prior registration is required)

Обзор сканера уязвимостей Vega

vega-transparent_200pxAuthor: Subgraph
Licence: Open Source / Free
Platforms: Windows, Linux, Mac

Vega — довольно мощный, универсальный сканер уязвимостей и сниффер пакетов. Интерфейс достаточно простой и не перегружен функционалом. Сканер позволяет проводить автоматический аудит сайта на наличие наиболее распространённых уязвимостей (OWASP Top 10), автоматически ранжирует найденные уязвимости по серьёзности и отображает исчерпывающую информацию (на какой страничке найдена уязвимость, её полное описание и используемый эксплоит, как исправить, отправленный/полученный TCP пакет). Из минусов — разработчики довольно медленно развивают продукт и на данный момент (07/2016) по-прежнему не реализована выгрузка результатов во внешние форматы (отчёты).

Vega, как любой приличный сканер, поддерживает работу с сайтами которые требуют аутентификацию и это сильно расширяет возможности сканирования, если у нас есть credentials или хотя бы cookies пользователя тестируемого сайта. Собственно, давайте начнём с того, что воспользуемся встроенным сниффером и перехватим наши же cookies для сайта-тренажёра WebGoat.

Читать далее

Обзор сканера уязвимостей OpenVAS

OpenVAS — Мощный и, что немаловажно, бесплатный сканер для тестирования защищённости веб-приложений и серверов. Обладает впечатляющим функционалом, объединяет в себе как встроенные возможности сканирования (обновляемые словари сигнатур эксплоитов NVT/SCAP/CERT), так и использование общепризнанных утилит типа nmap.

Если вы используете Kali Linux 2, OpenVAS уже входит в состав сборки, но перед первым использованием рекомендуется обновить пакеты в системе (apt-get update, apt-get dist-upgrade) и провести инициализацию сканера (Applications->Vulnerability Analysis->openvas initial setup). В консоли, где у вас будет проходить инициализация, обратите внимание на строку «User created with password..», используйте логин admin и сгенерированный пароль (который может выглядеть как длинная хеш-строка) для доступа в панель управления сканером:
OpenVAS_vulnerability_scanner_600px

Пользоваться сканером просто — в разделе Scan Management (либо на главной странице после запуска) вводите адрес сканируемого хоста и жмёте Start Scan. Можно оставить на ночь, сканер весьма неторопливый. Хм, что-то нашлось 🙂
OpenVAS_found_issues_630px

Trainers: Gruyere

Gruyere (Грюйер, назван в честь одномённого сорта сыра) — веб-приложение для тренировки поиска уязвимостей, разработанное Google. Может работать как удалённо без установки (https://google-gruyere.appspot.com/start) — этот вариант весьма удобен, так и локально (все файлы сайта — https://google-gruyere.appspot.com/gruyere-code.zip). Само приложение написано на Python, но его знание не требуется если вы хотите просто потренироваться ломать этот сайт :), однако будет полезным если вы захотите (а вдруг?) исследовать исходный код и пофиксить баги.

Что можно потестить/повнедрять на этом сайте (ниже указаны ссылки на лекции-задания):

Нужно отметить, что сайт не использует SQL, т.е. SQL Injection потестить не получится.

Напоследок, нужно отметить, что в случае с онлайн-версией каждому пользователю генерируется уникальная сессия (обратите внимание на номер в адресной строке) в sandbox, т.е. у каждого тестировщика будет своя копия сайта и чьи-то эксплоиты не смогут вам повредить когда вы зайдёте на сайт. При этом всегда можно скопировать ссылку, содержащую ваш номер сессии, чтобы например показать коллеге найденную уязвимость.

Gruyere_Main_blog

Обзор сканера уязвимостей Skipfish

Авторы: Google (Michael Zalewski, Niels Heinen, Sebastian Roschke, etc.)
Лицензия: Apache 2.0 (бесплатно)sf_name
Страница проекта: code.google.com/p/skipfish/
Последняя версия: 2.10b (Dec 4, 2012) / входит в сборку Kali Linux, отдельно ставить не надо.
Аналоги: Nikto, Websecurify, Netsparker, w3af, Arachni

Согласно описанию разработчика, утилита предназначена для проведения разведки на предмет защищённости тестируемого веб-приложения. Она создаёт интерактивную карту сайта с помощью рекурсивного- и основанного на словарях анализе, после чего сканер применяет к полученным элементам различные проверки защищённости (обещают, что non-disruptive, но в любом случае тестирование лучше проводить не на продакшне). По окончанию работ формируется отчёт для анализа результатов человеком.
Читать далее

Обзор онлайн-сканера уязвимостей QualysGuard

qualys-horizontal-580

Qualys Guard — продукт компании Qualys, специализирующейся на разработке инструментов тестирования на уязвимости веб приложений и соответствия политикам безопасности (н-р, PCI Compliance).

Как часто водится, есть две версии продуктов — бесплатная с ограниченным функционалом (Qualys Free Scan) и Enterprise. Будем изучать бесплатную версию.

Итак, это онлайн-сканер и это очень удобно, нам не нужно ничего настраивать и выделять ресурсы. Из минусов — не можем протестировать интранет и сайты с «чувствительной» информацией бесплатному продукту скармливать боязно.

Что может предложить бесплатный сканер? Как заявляют разработчики:

  1. Scan computers and apps on the Internet or in your network.
  2. Detect security vulnerabilities and the patches needed to fix them.
  3. View interactive scan reports by threat or by patch.
  4. Test websites & apps for OWASP Top Risks and malware.
  5. Test computers against SCAP security benchmarks.

ОК, уговорили. Идём на сайт сканера по ссылке выше, регистрируемся (кстати говоря, вы знали что можно использовать временные e-mail для «одноразовых/анонимных регистраций»?). Сразу после регистрации сайт предлагает нам воспользоваться следующими инструментами: Читать далее