¿cuáles son las credenciales necesarias para analizar las vulnerabilidades de un servidor de base de datos utilizando herramientas de evaluación de vulnerabilidades como Rapid 7 Nexpose?
Hay dos tipos generales de herramientas (y me doy cuenta de que estoy simplificando demasiado el asunto), a las que llamaré herramientas de penetración y herramientas de análisis de riesgos. También podríamos referirnos a ellos con otros nombres, como herramientas de prevención y herramientas de análisis de mitigación, que tienen un significado similar en la mayoría de los casos. La prevención cubre la prevención de un ataque y la mitigación se refiere a minimizar el impacto de un ataque exitoso.
Las herramientas de penetración cubren la suplantación de sesiones, los scripts entre sitios, la comprobación de explotaciones, las inyecciones de SQL, la escalada de privilegios, etc. Todos estos ataques deben realizarse desde la perspectiva de un usuario sin privilegios, por lo que no se deben especificar credenciales (o, posiblemente, un usuario invitado o un usuario básico con privilegios limitados). Después de todo, si registra una herramienta como "raíz", ya ha penetrado en el sistema, negando así el propósito de las pruebas. No hay necesidad de "probar" cuánto daño puede hacer la raíz, porque todos saben (o deberían saber) que una vez que la raíz está comprometida, todo el servidor no es confiable hasta que se haya resguardado completamente físicamente y en modo sin conexión.
La segunda clase de herramientas, el análisis de riesgo, pretende cubrir el impacto de lo que sucede después de que se haya producido la penetración. Por ejemplo, si hay una vulnerabilidad de inyección SQL, tal prueba mostraría si puede engañar al sistema para que descargue cada nombre de usuario y contraseña. Estas herramientas pueden requerir credenciales administrativas o no administrativas, aunque solo sea para analizar el riesgo de una cuenta comprometida o acceso directo a la base de datos.
Las herramientas específicas que está utilizando deben decirle qué hace cada prueba y qué tipo de credenciales requerirá la prueba. Proporcionar las credenciales incorrectas, o proporcionar credenciales cuando no se debe dar ninguna, invalidará los resultados de la prueba.
Esto es algo que deberá sentarse y pensar lógicamente para cada prueba que vaya a realizar. Haga preguntas como "¿esta prueba intenta obtener acceso al sistema?" o "¿esta prueba comprueba la estructura de mis bases de datos?" Si la prueba trata de obtener acceso, no debe requerir credenciales. Si la prueba trata de analizar lo que sucede después de la penetración, probablemente se requieran credenciales.
Como consejo final, si no se siente cualificado para ejecutar estas herramientas, o si no sabe con seguridad qué hace una herramienta, consulte a un experto. Las únicas preguntas estúpidas son las que quedan sin hacer. Si bien un foro como IS SE es un excelente lugar para obtener respuestas a preguntas difíciles, probablemente encontrará que un diálogo de 10 minutos entre alguien con más experiencia con una herramienta o prueba en particular tendrá un impacto mucho mayor que un foro como este. , donde aparecen las preguntas y finalmente se responden.
La regla general aquí es que si una pregunta es particularmente amplia, debe esperar tener que hacer muchas preguntas, lo que significa que un chat está en orden. IS SE ofrece una sala de chat, que sugiero que visite, así como muchos otros lugares donde puede encontrar personas con experiencia en el tema, como IRC o incluso el personal de asistencia de las herramientas que está utilizando.
Lea otras preguntas en las etiquetas vulnerability-scanners