Инструменты и методика пентестинга

• Nikto

Известный сканнер веб-уязвимостей, способный сканировать удаленные хосты и проводить сложные тесты безопасности. В базе программы имеется информация об более чем 3500 уязвимых сценариев. Информация об уязвимостях обновляется в виде специальных баз, подключаемых к программе как плагины. Увы, последний апдейт приложения был еще в далеком 2007 году, но базы с уязвимостями по-прежнему обновляются. Программа даже поддерживает автоматическое обновление баз, но лучше б этот плюс компенсировался более частыми и серьезными апдейтами.

Программа написана на Perl'е, поэтому вся работа осуществляется из командной строки. Помимо поиска уязвимых сценариев, Nikto попробуем определить версию веб-демона, отыскать файлы с открытыми паролями, а также выполнить десяток других проверок. Полноценная поддержка прокси (с возможностью авторизации), а также SSL-соединения при правильном подходе гарантируют твою безопасность. Правда, о незаметном сканированию придется забыть. С самого начала разработчики сделали упор на скорость скана, не заморачиваясь по поводу stealth-методов. С другой стороны, Nikto поддерживает ряд методик для обмана IDS, реализованных в библиотеке LibWhisker, но, увы, и они по большей части устарели.[4]

• OpenVAS

Несмотря на то, что исходные коды Nessus стали закрытыми, движок Nessus 2 и часть плагинов по-прежнему распространяются по лицензии GPL в виде проекта OpenVAS (OpenSource Vulnerability Assessment Scanner). Сейчас проект развивается совершенно независимо от своего старшего брата и делает немалые успехи. Неудивительно, что OpenVAS так же использует клиент-серверную архитектуру, где все операции сканирования выполняются серверной частью - она работает только под никсами. Для запуска потребуется закачать пакеты openvas-scanner, а также набор библиотек openvas-libraries.

В качестве клиентской части  для OpenVAS 3.0 доступна только никсовая GUI-программа, но, думаю, что, как у предыдущих версий, скоро появится порт для винды. В любом случае, проще всего воспользоваться OpenVAS при помощи небезызвестного LiveCD Bactrack (4-ая версия), в котором он уже установлен. Все основные операции для начала работы вынесены в пункты меню: OpenVAS Make Cert (создание SSL-сертификата для доступа к серверу), Add User (создание юзера для доступа к серверу), NVT Sync (обновление плагинов и баз уязвимостей), и, в конце концов, OpenVAS Server (запуск сервера через пункт меню). Далее остается только запустить клиентскую часть и выполнить подключение к серверу для начала пентеста.

Открытость и расширяемость  OpenVAS позволила сильно прокачать программу. Помимо непосредственно плагинов для анализа защищенности, в нее интегрировано немало известных утилит: Nikto для поиска уязвимых CGI-сценариев, nmap для сканирования портов и моря других вещей, ike-scan для обнаружения IPSEC VPN узлов, amap для идентификации сервисов на портах, используя fingerprinting, ovaldi для поддержки OVAL - стандартного языка для описания уязвимостей — и множество других.[5]

• IBM Rationa Appscan

Маститый коммерческий продукт, который изначально разрабатывался авторитетной компанией Watchfire, а потом был куплен IBM. Это уже не любительская поделка вроде Nikto. Rational Appscan предназначен для аудита WEB-приложений и содержит не один десяток эвристических методов для корректного изучения каждого узла. Многие организации готовы выложить за него немалые деньги потому, что он действительно здорово облегчает работу.

Поиск уязвимостей осуществляется автоматически, главное - правильно  задать все параметры сканирования с помощью специального мастера. На выходе ты получишь отчет о проделанной  работе паука, с помощью которой  воссоздается, структура сайта, а  также возможных уязвимостях. Appscan конкретно указывает уязвимые сценарии, распределяя уязвимые места в соответствии с категорией уязвимостей. SQL Injection, Cross-Site Cripting, Posion Null Byte Files Retrieval, HTTP response splitting, parameter tampering, hidden field manipulation, backdoors/debug options, buffer overflows - это все лишь малая часть списка.

Список возможных брешей впечатляет: если взять SQL Injection, то в отчете ты легко найдешь разделы с возможными слепыми инъекциями, инъекциями с помощью кукисов, инъекции на странице авторизации и т.д. Причем сам сканнер покажет, какой именно параметр можно эксплуатировать. Одна из немаловажных особенностей это сканирование сложных приложений, содержащих обилие Java Script / AJAX - кода, Adobe Flash вставки. Специалистам по информационной безопасности Appscan полезен еще и тем, что содержит 40 готовых отчетов о соответствии требованиям, включая требования стандартов безопасности данных PCI, ISO 17799, ISO 27001, Basel II, SB 1386 и PABP (Payment Application Best Practices), что не может не радовать.[4]

Заключение.

Ниша услуг по пентесту мала по сравнению с нишей разработки и внедрения информационных систем, поэтому исполнители очень востребованы на рынке, и их профессионализм стоит очень дорого. На данный момент область успешно развивается, внутри неё работают самые грамотные специалисты. Сложилась и своя методология, которая подробно изложена, например, в документах Open Source Security Testing Methodology Manual или Open Web Application Security Project, которые доступны публично. Пентест является не только услугой, к которой прибегают для аудита готовых реализаций, но иногда и полноценным (наряду с тестированием) этапом разработки программной архитектуры.

Список использованных источников информации.

1. http://www.topauthor.ru/CHto_takoe_pentest_2509.html
2. http://ru.wikipedia.org/wiki
3. http://www.evraasit.ru/?m=ac1&an=aaaaf
4. http://www.xakep.ru/magazine/xa/129/036/1.asp
5. http://www.xakep.ru/magazine/xa/133/026/1.asp