Средства анализа защищенности - Форум по вопросам информационной безопасности

Для понимания основных фаз проведения тестов на уязвимости (пентестов) я бы все-таки рекомендовал обратиться к документу: EC-Council - Attack Phases.

Согласно документу, выделяют основные фазы типовой атаки на защищаемый ресурс:
1) Reconnaissance: получаем информацию об атакуемом объекте пассивными средствами.
2) Scanning: сканируем автоматизированными средствами, выявляем уязвимости.
3) Gaining access: получаем доступ через уязвимости (эксплуатация уязвимости)
4) Maintaining access повышения прав на атакуемом объекте
5) Covering tracks "зачистка" логов.

При проведения пентестов фазы не сильно отличаются от приведенных выше. Фаза "Covering tracks" отсутствует по понятным причинам. Более подробно можно ознакомиться в документах, прилагаемых к курсу CEH.
Что касается нашего опыта - количество и последовательность фаз зависит в первую очередь от ТЗ, которое составляется совместно с клиентом. А вообще, в пентестах очень много творчества, мы против излишне формализованного подхода к этой работе, но стандарты стараемся соблюдать!

" И есть ли явные признаки web, когда сканер в целом или отдельные его модули опасно запускать на него?"
Отвечаю!
Основной риск от автоматизированных сканеров - это возможная вероятность случайного проведения атаки "отказ в обслуживании":) Необходимо настроить сканер таким образом, чтобы снизить вероятность большого количества одновременных запросов к исследуемому объекту.

Обычно мы предлагаем клиентам (если объект - веб-приложение), разместить сайт на нашем макете, тем самым снизив возможные риски при проведении тестирования!

> Для понимания основных фаз проведения тестов на уязвимости (пентестов) я бы все-таки рекомендовал обратиться к документу: EC-Council - Attack Phases.

Во втором издании авторы этой чудесной книжки, наконец вспомнили, что надо и в веб-приложениях уязвимости искать? :) В первом издании, помнится, не было ни веба, ни сетевого оборудования, ни беспроводных сетей. Хотя для понимания того, как и с помощью чего делается внутренний пентест - да, полезный материал.

Так что если кому-то интересен именно веб - добро пожаловать в мир OWASP :)

> malotavr

Да, конечно, я привел этот материал для общего понимания проведения пентеста (общая концепция), веб-приложения это частный случай.

Если мы рассматриваем только веб, то OWASP - это лучший набор рекомендательных методик и все-возможных best practice! Ну и инструменты пентеста конечно тоже:)

Еще я бы порекомендовал обратить внимание на книгу Syngress "Web Application Vulnerabilities Detect, Exploit, Prevent", свежих изданий я не встречал, но чтиво достаточно годное, порог вхождения низкий. Книга многим будет интересна!

> malotavr

Вы работали с OWASP ZAP бывш. Paros Proxy? Если да, то по Вашему мнению, это достойный конкурент другим комплексным средствам анализа защищенности?

> Вы работали с OWASP ZAP бывш. Paros Proxy?

Я методолог, собственно анализом занимаются совсем другие наши сотрудники. Так что за сравнение САЗов ничего не скажу.

Если действительно интересно, вот https://ru.linkedin.com/in/leonovav человек, который профессионально занимается сравнением САЗов, регулярно публикует обзоры и результаты сравнения.