Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

CodeFest 2012 - Пентест на стероидах

157.923 Aufrufe

Veröffentlicht am

codefest.ru/program/2012-03/pentest-on-steroids/

  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

CodeFest 2012 - Пентест на стероидах

  1. 1. Пентест на стероидах.Автоматизируем процесс Белов Сергей Penetration tester
  2. 2. Тестирование на проникновение«Пентест» - оценка безопасности конечногоузла или ресурса средствами и методамизлоумышленников
  3. 3. ЦельАвтоматизировать тестирование напроникновение сетевого ресурсапо стратегии «черного ящика»,получив объективные результаты,не потратив ни цента на ПО
  4. 4. Этапы1. Тестирование сетевых сервисов2. Web – Эксплойты, уязвимости – «Слабые аккаунты» – Ошибки конфигурации – Халатность
  5. 5. Часть 1. Сетевые сервисы Armitage (nmap + msf)
  6. 6. Armitage
  7. 7. Уязвимых приложений не обнаруженоУязвимое приложение обнаружено, создана shell-сессия
  8. 8. Часть 2. Web• Nikto• Skipfish• Havij• 1337day.com, exploit-db.com
  9. 9. Nikto
  10. 10. Havij
  11. 11. Чем еще?• Монстрами для тестирования (shareware) –MaxPatrol / XSpider –Acuentix –Nessus (OpenVAS)
  12. 12. А еще...?
  13. 13. Идеальный случай - «Белый ящик»
  14. 14. Примеры
  15. 15. Armitage->Host->Login->ftp->check all credentials anonymous:anonymous - - - - > /var/www
  16. 16. Другой случайXSS, CSRF, phpmyadmin site/scripts/config.ini
  17. 17. Demo
  18. 18. pwn3d!Спасибо за внимание, вопросы? http://sergeybelove.ru sergeybelove@gmail.com belov_sv@bitworks-software.com

×