Co w pentestach piszczy – przykłady, narzędzia, porady. The Hack Summit 2021

Co w pentestach piszczy - przykłady, narzędzia, porady. The Hack Summit 2021

„Co w pentestach piszczy – przykłady, narzędzia, porady” – prezentacja, którą miałem przyjemność przedstawić w ramach konferencji The Hack Summit 2021. Znajduje się w niej trochę statystyk z testów penetracyjnych, narzędzi, przykładów znalezionych podatności oraz porad jak sobie z nimi radzić.

Trochę statystyk z pracy pentestera 2018-2020

Top 12 Vulnerabilities pentesting

Od kilku ostatnich lat zbieram dane statystyczne z wyników swoich badań nad bezpieczeństwem komputerowym. Postanowiłem się nimi nieco podzielić. Tutaj możesz znaleźć przykładowy raport z testu penetracyjnego – raport. W dużej liczbie wywiadów z testerami penetracyjnymi słyszę pytanie – „Czy bezpieczeństwo aplikacji internetowych poprawiło się na przestrzeni lat?”. Moim zdaniem… Continue reading

Retire.js – odpowiedź na pytanie czy nie używasz przestarzałych komponentów

komponenty ze znanymi podatnościami

Ręczne przekopywanie się przez kod źródłowy w celu identyfikacji wszystkich przestarzałych i podatnych na atak bibliotek naszej aplikacji webowej jest ogromnie czasochłonne. Możemy to zadanie nieco zautomatyzować za pomocą narzędzia Retire.js. Jest ono dostępne zarówno z poziomu przeglądarki (Chrome, Firefox) jak i wtyczki do Burpa. „Używanie komponentów ze znanymi podatnościami”… Continue reading

Przykładowy raport z rzeczywistego testu penetracyjnego

Przykładowy raport z rzeczywistego testu penetracyjnego

W ramach swojej pracy magisterskiej miałem okazję przeprowadzić pełny test penetracyjny komercyjnej aplikacji webowej napisanej z użyciem ASP.NET. Wynikiem moich badań jest raport, którym postanowiłem podzielić się w „zaciemnionej” formie z szerszym gronem osób. Materiały tego typu w naszym ojczystym języku są towarem deficytowym. W zasadzie jedyny, który znam z… Continue reading

Jak powinien wyglądać dobry raport z testu penetracyjnego?

dobry raport z testu penetracyjnego

Doświadczony pentester, wie że dobrze napisany raport cechuję się tym, że po jego prezentacji klient nie ma żadnych dodatkowych pytań. Aby było to możliwe powinien on zawierać co najmniej cztery podstawowe sekcje z informacjami przeznaczonymi dla różnej grupy odbiorców. Sekcja 1: Ogólne informacje i statystyki Podczas, gdy programista mający naprawić… Continue reading

Testowanie pod kątem wstrzykiwania kodu javascript.

Testowanie pod kątem wstrzykiwania kodu javascript

XSS to atak pozwalający na wstrzyknięcie i wykonanie mogącego wykonać złośliwe działanie kodu HTML lub JavaScript. Może to zostać wykorzystane do kradzieży krytycznych danych (na przykład danych sesji) z plików cookie. Jako, że kod zostaje wykonany w kontekście podatnej aplikacji umożliwia to wykonanie innych ataków jak phishing, logowanie klawiatury, czy przekierowanie… Continue reading

Najczęstsze podatności aplikacji webowych

Najczęstsze podatności aplikacji webowych

Zgodnie ze statystykami prowadzonymi przez organizację OWASP (Open Web Application Security Project) zajmującą się tematyką bezpieczeństwa aplikacji internetowych można wyróżnić dziesięć najczęściej występujących błędów bezpieczeństwa. Grafika poniżej przedstawia częstość wykrywania tych podatności podczas wstępnej oceny ryzyka przez organizację Veracode zajmującej się badaniem bezpieczeństwa aplikacji internetowych. Częstość wykrywania podatności z listy… Continue reading