Temat: testowanie bezpieczeństwa - narzędzia
Wilhelm W.:
- "ogólnie tym narzędziom sporo brakuje - np. potrafią niewykryć trywialnych i przy okazji krytycznych błędów"
- "owe skanery nie potrafią niestety w wielu przypadkach odnaleźć podstawowych błędów"
- "niestety fakt AppScan potrafi wskazac błąd gdzie go nie ma i nie pokazać podstawowych"
Panowie, jak testowaliscie i takie wnioski, podajcie prosze konkretne przyklady
1. Prosty przykład (widziałem to w praktyce :)- nietypowa budowa URL-i (choćby pod SEO). Skaner w fazie jeden nie wykrywa w ogóle poprawnie inputów, no i mamy game over ;-)
2. Wszelakie błędy logiczne (np. w bankowosciach elektronicznych).
3. Czasem historie typu SQLi lubią być w backendach do apletów java / komponentów flash. Auto skanerom może być ciężko zlokalizować te inputy.
4. Podatności wykrywalne opóźnieniami - np. z wykorzystaniem pinga do wykrycia OS commanding czy wszelakie benchmarki() na SQLi
5. Błędy proste do wykrycia ale osadzone w "skomplikowanych" warunkach. np. kilkustronicowy formularz z nawigacją gdzie jest jakiś ewidentny błąd dla człowieka. Maszyna stosuje zazwyczaj bruteforce i biorąc pod uwagę mnogość pól i możliwości na takim formularzu często "wymięka".
6. Wykrycie gotowych OSlibów z podatnościami / podatnej infrastruktury na której całość stoi. Na tyle jest dużo możliwości że chyba nikt nie ma zintegrowanej ze skaneram pełnej bazy tego typu komponentów wraz z podatnościami.
7. Wdrożony mechanizm CAPTCHA ;-)
To tak na gorąco :-)
- "Tak w ogóle powoli zabieram się za przygotowania do porównania kilku narzędzi do pen testów"
Michał, jak idzie porównanie narzedzi ?? interesuja mnie 1,2,3,5 :-)
Powoli... Generalnie gotową mam pierwszą część o burpie pro, w następnej kolejności czeka na testy pełna wersja komercyjnego Acunetixa..jak tylko znajdę chwilę :)
Michał Sajdak edytował(a) ten post dnia 13.08.09 o godzinie 13:02