Сергей Белов
TRANSCRIPT
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании
Сергей Белов
Аудитор ИБ @ Digital Security
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
# whoami • Исследователь информационной безопасности в Digital Security
• BugHunter: Google, VK, Yandex, Digital Ocean и другие
• Принимаю участие в организации DEFCON Russia и ZeroNights
• Специализируюсь на безопасности клиент-серверных приложениях и веб-технологиях
• Докладчик: CodeFest (2012, 2014), ZeroNights, РИТ++, CEE-SECR, FrontendConf, Hack In Paris, BlackHat USA, OWASP (RU & PL) и др.
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
CodeFest?
• 2012 - Пентест на стероидах. Автоматизируем процесс
• 2014 - BlackBox тестирование безопасности клиент-серверного API
• 2016 - Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
План
Кейсовая структура:
• Мобильные приложения
• Десктопное ПО (Linux, !reverse)
• Десктопное ПО (Windows !reverse)
• HTTP(S)
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Мобильные приложения
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Мобильные приложения
27 марта в 16:10, секция Mobile
Дмитрий Евдокимов
Комбайны безопасности для iOS и Android
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Десктопное ПО (Linux)
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Десктопное ПО (Linux) Стандартные инструменты – всегда полезны:
bash
grep
netstat
tcpdump + wireshark
lsof
strings
... gdb / strace?...
А также:
AFL (American fuzzy lop)
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
American fuzzy lop Разработка известного сотрудника Google – Michał Zalewski
Динамический анализ (fuzzing)
Нужен исходный код
Прост в использовании
«Вкрапливает» свой код на этапе компляции (gcc / g++)
Коллега при помощи AFL нашел несколько 0day в PHP 7.1-dev
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Давайте тоже поффазим PHP :)
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
afl.mp4 в студию!
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Tips & tricks Использование готовых тестов для мутаций
Автоматический анализ крашей при помощи afl-analyze
Замена сокетов на stdin:
$ LD_PRELOAD="/path/to/preeny/x86_64-linux-gnu/desock.so" /
afl-fuzz ...
https://habrahabr.ru/post/259671/ - Быстрый security-oriented fuzzing c AFL от @kyprizel
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Десктопное ПО (Windows)
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Sysinternals Сеть - от мониторов подключений до анализаторов безопасности ресурсов.
Сведения о системе - программы для просмотра и настройки использования системных ресурсов.
Сервисные программы системы безопасности - программы для настройки и управления системой безопасности
Процессы и потоки - программы, позволяющие заглянуть "под капот" и определить задачи, выполняемые теми или иными процессами и потребляемые ими ресурсы.
Разное - Собрание разнообразных сервисных программ, в том числе заставок, средств представления и инструментов отладки.
Служебные программы для работы с файлами и дисками - программы для просмотра и наблюдения за доступом к файлам и дискам и их использовани
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Дебаг HTTP(S)
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
CSP
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
CSP – Firefox: security csp
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Промежуточные HTTP(S) прокси Burp Suite
Fiddler
Charles
Live HTTP Headers
...
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Burp!
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Burp Proxy Server
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Burp Suite Модули:
Перехват запросов/ответов и их редактирование «на лету»
Repeater
Intruder
И другие
Присутствует возможность писать свои модули (python / java / ruby)
SSL pinning? – нужен root / jailbreak -> sslkill и подобные инструменты
Есть много минусов, но не будем о них.
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Burp Suite Завернуть можно любое приложение:
Браузер –настройки
Мобильные устройства – зависит от ОС
PC приложения – proxifier (windows) / proxychain (linux)
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Перехват HTTPS трафика instagram (iOS)
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Repeater / Intruder в действии
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Burp Suite - repeater Алгортим поиска Reflected XSS: Собираем все параметры, которые передаются на сервер
Добавляем произвольную строку, легкую для поиска – 123
Добавляем в поле поиска (в ответе)
Добавляем три магических символа ‘ “ > и пробуем вырваться из
контекста (например, из атрибутов )
Ищем их в ответе
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Burp Suite - repeater Алгортим поиска IDOR и похожих штук: Собираем все запросы и параметры, где передаются ID (например –
userid)
Меняем на чужой ID и проверяем результат
Примеры:
• Чтение чужих сообщений
• Удаление / редактирование чужих данных
• Выполнение других различных действий
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
© 2002—2016, Digital Security
[email protected] @sergeybelove
Digital Security в Москве: (495) 223-07-86 Digital Security в Санкт-Петербурге: (812) 703-15-47
Тестируйте безопасность!