Защита от sql-инъекций

Взломайте нас, чтобы было красиво»

что при


Данная статья отражает личный опыт и мнение её авторов и написана с целью призвать сообщество к обсуждению. Здесь не будут называться имена, ни на кого не будут показывать пальцем.
Мы попытаемся обратить внимание на то, что считаем проблемой современного российского рынка услуг в сфере информационной безопасности.
Чтобы читателям был понятен контекст, мы решили начать с бэкграунда. проверить безопасность сервера Статья написана аналитиком информационной безопасности (мной) и специалистом по тестированию на проникновение (моим коллегой InfiniteSuns ).
Работая с заказчиками, мы систически сталкиваемся с непониманием сути оказываемых нами услуг. Нередко это непонимание вызвано тем, что оно перенеслось на заказчика от компании, которая оказывала эти услуги. аудит безопасность Однажды в ходе проведения внутреннего пентеста повышение привилегий и устранение средств защиты на предоставленной заказчиком офисной машине вызвало недоумение у начальника службы ИБ.
Далее в ходе обсуждения выяснилось, что до этого под названием «пентест» заказчику продавали сканирование внутренней сети при помощи «nmap» с параметром «--script vuln». Естественно, в очередной раз заказчик ожидал от пентестеров подобного поведения и искренне удивился, когда они начали захватывать его контроллер домена.
Временами случается, что при проведении работ отдельным этапом выделяют контроль устранения уязвимостей, выявленных в ходе предыдущего исследования. проверка сайта на безопасность яндекс А также случается, что для этого заказчик предоставляет отчёт об этом самом предыдущем исследовании. Тестирование на проникновение Глядя в такой отчёт, иногда дивишься находчивости коллег по рынку.
Автоматизированное сканирование уязвимостей временами продают хоть как пентест, хоть как анализ защищённости. В таких условиях неудивительно, что приходится слышать от заказчиков нечто вроде «Взломайте нас, чтобы было красиво». В какой-то момент мы поняли, что мы далеко не первые, кто это заметил:
Оставляем читателю для размышления вопрос — почему нет четкого понимания заказываемых услуг и их результата? Из-за некомпетентности участников рынка инфосек-услуг? Или они намеренно водят клиентов за нос, продавая более простые услуги под видом комплексных и дорогих?
Поскольку нас ни одна из двух опций не радует, мы почувствовали в себе желание поделиться собственным видением и сформировали небольшой CheatSheet по услугам в сфере практической информационной безопасности.
Давайте рассмотрим пять различных работ:

    • Редтиминг (Red Team Assessment)

    • Анализ защищенности (Security Analysis)

    • Сканирование уязвимостей (Vulnerability Scanning)



    Всю информацию, касающуюся перечисленных выше работ, для удобства мы разделили на два уровня:

      • Базовый (в основном теле статьи)

      • Расширенный (спрятан под спойлером для тех, кто хочет узнать больше)



      В «Базовом уровне» рассматриваются следующие ключевые моменты:
      В «Расширенном уровне» рассматриваются следующие ключевые моменты:

        • Примеры задач

        • Методы достижения цели

        • План работ

        • Критерии завершения



        Определить, может ли текущий уровень защищённости инфраструктуры выдержать попытку вторжения потенциального злоумышленника с определённой целью.
        Достижение поставленной задачи. проверить безопасность При этом вопрос полноты обнаруженных уязвимостей не стоит, но отражаются все уязвимости, причастные к векторам атаки.
        Фокус: Важнее глубина исследования, чем ширина.
        Уровень зрелости ИБ: От среднего до высокого.
        Результаты: Факт и/или вероятность взлома (проникновения) и получения информации злоумышленником.

        Похожие статьи Pentest