-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Pełen raport z prawdziwych testów bezpieczeństwa

11 września 2017, 12:13 | Aktualności | komentarzy 7

Dla niecierpliwych – można pobrać pełen, nieocenzurowany, przeszło 30-stronicowy raport z testów bezpieczeństwa systemu do zarządzania klientami (CRM – Customer Relationship Management) – YetiForce. Testy realizowała załoga Securitum. Dla pewności – raport publikujemy  za formalnym pozwoleniem YetiForce; sam system jest dostępny w modelu OpenSource.

Czytając materiał warto pamiętać, że nie są to pełne testy aplikacji YetiForce – zgodnie z założeniami liczba dni poświęcona na testy była znacznie ograniczona, audyt skupiał się na najistotniejszych podatnościach – a do tego bez posiadania uprawnień administracyjnych.

Spis treści

Na początek zobaczycie  jak z poziomu konta zwykłego użytkownika można było otrzymać nieautoryzowany dostęp na system operacyjny. Podobną rzecz można było zrealizować – przy pewnych założeniach – wysyłając „niezwykły” e-mail, który był importowany do CRM-a.

Jest też klasyka gatunku testów penetracyjnych – podatności XSS oraz SQL injection.

Wśród rzeczy, które z rozpędu można przeoczyć, warto spojrzeć na podatność nr 8: „Niedziałające zabezpieczenie przed bruteforce przy niezgodności stref czasowych„. Co ma jedno do drugiego? Zobaczcie w samym raporcie.

 

Jeśli myślicie, że i Wasza aplikacja może mieć podobne problemy – zachęcam do spojrzenia na ofertę Securitum – audyty bezpieczeństwa.

Warto też zwrócić uwagę, że wszystkie wskazane przez ekipę Securitum problemy zostały załatane.

PS
Aby zwiększyć aspekt edukacyjny całej operacji, udostępniamy też maszynę wirtualną z wersją systemu, w której zostały znalezione błędy (można je więc na spokojnie odtworzyć u siebie). Instrukcja instalacji:

mkdir yetipentest
cd yetipentest
wget https://www.sekurak.pl/vagrant/yeti/Vagrantfile
vagrant up
curl 127.0.0.1:8080

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. oi

    świetna opcja z tą wirtualką do pobrania!

    Odpowiedz
  2. Karol

    dzieki za tego boxa do vagranta!

    Odpowiedz
  3. Bardzo dobry pomysł z udostępnieniem raportu dla osób, które zajmują się pen-testami (nie tylko) dobry materiał do edukacji.
    Oby więcej takich :)

    Odpowiedz
  4. Hey,

    Dlaczego nie zglaszacie server banner disclosure?

    Server: Apache/2.4.7 (Ubuntu)

    Dlaczego nie zglaszacie Missing Security Headers?

    Takie jak X-FRAME-OPTIONS, X-XSS-Protection, CSP, HSTS itd?

    Pzd

    Odpowiedz
    • Hej. Bo skupialiśmy się tylko na aplikacji – co jest wpisane w raporcie w pierwszym zdaniu ;-)

      Jak ktoś zainstaluje to na Apache ze starym PHPem i na nieaktulizowanym OS – to nie kwestia aplikacji.

      Nagłówki – testy skupiały się wykryciu największych problemów – patrz bugi czerwone. Drobnicy to można by wykryć i z 20 stron. Co też zresztą uczyniliśmy, ale w kolejnych iteracjach :-)

      Odpowiedz
  5. Odpowiedz
  6. Mirek

    Hej,
    Kupiłem Waszą ksiązkę i właśnie oglądam webinar z nią związany. Stąd dowiedziałem się o w/wym testach. Niestety vagrant zgłasza błędy przy wczytuwaniu pliku. Używam wersji Vagrant 2.2.6 na Ubuntu 20.04, a plik pewnie był dostosowany do starszej. Prośba o info jakiej wersji użyć by odpalić środowisko. BTW – błędy jakie vagrant pokazuje są poniżej:

    Vagrant failed to initialize at a very early stage:

    There is a syntax error in the following Vagrantfile. The syntax error
    message is reproduced below for convenience:

    /home/mirek/Security/yetipentest/Vagrantfile:1: syntax error, unexpected '<'

    ^
    /home/mirek/Security/yetipentest/Vagrantfile:3: syntax error, unexpected '<'

    ^
    /home/mirek/Security/yetipentest/Vagrantfile:7: syntax error, unexpected '<'

    … ^~~~~~~

    Pozdrawiam

    Odpowiedz

Odpowiedz