Pentesting - ¿mejor por tu dinero? (con credenciales versus sin credenciales)

Question

Pentesting - ¿mejor por tu dinero? (con credenciales versus sin credenciales)

#1 de Lucas Kauffman (1 votos)
#2 de Bryan (0 votos)

2

Mis actividades diarias consisten principalmente en pruebas de penetración (blanco / gris / negro). A lo largo de mis compromisos, trato de educar a mis clientes sobre las diferencias de tipos de prueba. Por ejemplo, una prueba con credenciales desde una perspectiva interna (usuario de bajo nivel) en lugar de una prueba completa de "conocimiento cero". Para cualquier persona con experiencia en la realización de las pruebas, la participación en un pentester, cuál ha sido el mejor valor en términos de inteligencia de seguridad.

Opino e intento convencer a mis clientes para que realicen pruebas de bajo nivel con credenciales. Estas pruebas a menudo cubren el conocimiento cero, ya que puedo demostrar la explotación y los privilegios de with , así como la escalada, y también los without privilegios Este tipo de prueba puede cubrir la amenaza interna, así como un actor de amenazas que realiza un lado del cliente (comprometiendo) el acceso de un empleado.

Muchas veces, desde la perspectiva de los resultados, los atacantes están aprovechando la fruta común, pero solo después de han "puesto del lado del cliente" a un empleado. Los ataques externos de "conocimiento cero" se han minimizado en gran medida, y a muchos clientes no les gustan las pruebas de aplicaciones web, ya que creen que "derribarán la casa" y, a menudo, no sirven para nada, ya que muchas organizaciones trasladaron su infraestructura a la nube.

¿Qué consideraría que, desde la perspectiva del diseño / seguridad / red / sistemas, es el mejor valor si participara en este tipo de pruebas?

penetration-test whitebox black-box

pregunta munkeyoto 18.05.2016 - 01:31

fuente

2 respuestas

Lea otras preguntas en las etiquetas penetration-test whitebox black-box

¿La eliminación de la interacción del usuario crea un entorno seguro que anula XSS? gpg2 export-secret-keys

score 1 · Answer 1

Depende de cuales sean tus metas. Si el objetivo es encontrar tantas vulnerabilidades y riesgos como sea posible, la caja blanca es el mejor enfoque. Si el objetivo es "¿Qué puede hacer un atacante si le da X cantidad de tiempo a mi aplicación?", Entonces la mejor opción es el cuadro negro.

Nos desempeñamos tanto en nuestros clientes como en la principal diferencia cuando quieren lo que generalmente depende de qué tipo de resistencia están probando. El enfoque de caja blanca es lo que comúnmente haremos para pruebas continuas y estructuradas de aplicaciones. El objetivo aquí no es encontrar una única vulnerabilidad y luego cerrar la tienda una vez que haya empeñado sus sistemas. Es proporcionar la mayor cobertura posible y descubrir tantas vulnerabilidades como sea posible, pasando de buenas prácticas (encabezados de CSP y HSTS) a vulnerabilidades adecuadas como XSS.

Este último es el que más utilizamos durante los compromisos en los que el cliente desea probar su capacidad de detección o respuesta a incidentes. El objetivo es acceder de cualquier manera que sea necesario utilizando cualquier información que se encuentre en la naturaleza.

Al final, también aparece con qué tipo de cliente está tratando, pero también es su trabajo informar a sus clientes sobre la razón por la que necesitan este tipo de pruebas. Siempre les digo que si es la primera vez, es probable que descubramos muchas cosas. Es importante hacer que ellos y su gerencia entiendan que esto no es algo malo y que es algo que pueden usar como una oportunidad para mejorar o solicitar más presupuestos para atraer a más personas con habilidades relacionadas con la seguridad. El cliente aún decide, usted puede informarles sobre lo que sugiere que necesitan, pero si han decidido que también deben respetar eso, es su dinero, después de todo.

score 0 · Answer 2

Sin credenciales IMO, lo llamamos prueba de caja negra. Muestra al cliente lo que podría suceder si un atacante rompiera la red y pudiera "explorar". Creo que esto es más valioso ya que la cantidad de sistemas que otorgarán las credenciales sin conocimiento. Es una forma de probar sin 'ayuda' desde el interior, como enfrentaría un verdadero atacante.