Средства анализа защищенности - Форум по вопросам информационной безопасности

В отношении нормативной базы: согласен с Вами абсолютно.
В отношении методической базы: с указанными Вами документами мне ни разу не приходилось работать. Большое спасибо, я обязательно с ними познакомлюсь, т.к. тема анализа защищённости в последнее время уж больно актуальной становится. Если появятся вопросы (а они появятся точно), то буду вынужден Вас опять побеспокоить. Вы, г-н malotavr, тогда уж не обессудьте... ;-)

Не вопрос :)

Может кому пригодится.

Наткнулся вчера на неплохую книгу немного по тематике "средства анализа защищенности". Автор Алексей Лукацкий, название "Обнаружение атак". Я только начал читать, но уже довольно интересно.

Да, книга хороша для тех, кто стоит перед выбором IDS/IPS.

malotavr, а можно как нибудь ознакомится с регламентами разработанными вами, для использования как примера?

Профессионально занимаемся поиском уязвимостей в веб-приложениях по методологии Web Application Security Consortium Thread Classification (WASC).
http://imitozashchita.ru
Обычно мы используем следующие автоматизированные ПС:
• Acunetix Web Vulnerability Scanner;
• Web Application Security Scanner Netsparker;
• Owasp Zed Attack Proxy Project;
• Nikto-scanner;
• Web Application Attack and Audit Framework;
• Mantra Security Framework.

Если интересно, могу подробнее описать их преимущества и недостатки

Михаил, очень интересно будет узнать преимущества и недостатки перечисленных Вами сканеров

Не все из мною перечисленных ПС являются сканерами уязвимостей, например, OWASP Mantra - браузерная сборка, позволяющая проводить поверхностный анализ веб-содержимого: определять CMS, подключенные js-скрипты, имеет в своем арсенале http-сниффер с базовым функционалом. На данный момент утилита распространяется в релизе beta, как и многие инструменты OWASP. Отлично подходит для 1-ой стадии пентеста - footprinting and reconnaissance.

Acunetix Web Vulnerability Scanner. Мощный сканер уязвимостей, включающий в себя возможность эксплуатации уявимостей типа Blind SQL injection, проведения атаки bruteforce. Также стоит отметить, что в Acunetix разработана система профилей тестирования веб-приложений, это значит, что Вы можете обозначить scope (перечень тестируемых компонентов), тем самым оптимизировав процесс сканирования. По опыту, Acunetix дает крайне мало false positive срабатываний.
Как бонус, у Acunetix в наличии мощное средство генерации отчетов по результатам сканирования.
Минус один и существенный - стоимость лицензии.

Nikto-scanner - "грубый" сканер уязвимостей под *nix. Обычно используем его для проведения поверхностного тестирования, для определения возможных векторов атак. На выходе дает множество false positive срабатываний, зато имеет в своем составе хороший краулер для определения скрытых директорий и скриптов, легко составит конкуренцию утилите Dir Buster!


Необходимо понимать, что использование любого сканера уязвимостей без последующей проверки ручным методом является ошибочным подходом по своей сути. Каждая выявленная уязвимость требует отдельной проверки, подтверждения, более того, сканеры обычно находят типовые ошибки веб-приложений, не касаясь общей логики системы и связанных с ней уязвимостей.

Пока писал пост понял, что информацию по каждому ПС надо привязать в соответствии со стадиями проведения пентеста, тогда можно получить более ясную оценку функционала рассматриваемых утилит. По оставшимся ПС напишу позже. Если есть вопросы по сканерам или по проведению анализа веб-приложений на уязвимости в целом - пишите!

Спасибо, надеюсь на продолжение.

Сам то я был "сфомирован" как бумажный безопасник, но вот уже втягиваюсь и в техническую составляющую. И есть вопрос. Какие основные шаги по анализу web, различаются ли они в lan и в wan? И есть ли явные признаки web, когда сканер в целом или отдельные его модули опасно запускать на него?

Основные шаги - вот тут: https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf
Сканер - только первый шаг, 90% работы - это ручная верификация и оценка уязвимостей.