Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00459 009700 11027409 na godz. na dobę w sumie
Kali Linux. Testy penetracyjne - książka
Kali Linux. Testy penetracyjne - książka
Autor: , Liczba stron: 336
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-246-9013-8 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> systemy operacyjne >> linux
Porównaj ceny (książka, ebook, audiobook).

Podręcznik pentestera!

W dobie internetu możemy cieszyć się globalną dostępnością każdego z systemów informatycznych. Z jednej strony daje to ogromne możliwości wymiany informacji, z drugiej naraża system na ataki z zewnątrz. Zastanawiasz się, jak zapewnić bezpieczeństwo Twojej sieci? Spróbuj się do niej włamać lub zleć to profesjonaliście! Wykonywane w ten sposób testy penetracyjne to jedna z najskuteczniejszych metod weryfikacji bezpieczeństwa w sieci.

Jeżeli zainteresował Cię temat testów penetracyjnych, to trafiłeś na doskonałą książkę. Znajdziesz w niej omówienie specjalnej dystrybucji Kali Linux. Zawiera ona zestaw niezbędnych narzędzi oraz pozwoli Ci przeprowadzić testy. W trakcie lektury zrozumiesz, jak przygotować środowisko pracy i jak przeprowadzić atak na popularne serwery aplikacji internetowych oraz ich klientów. W kolejnych rozdziałach dowiesz się, jak zweryfikować zabezpieczenia aplikacji internetowych oraz serwerów WWW. Na sam koniec poznasz najlepsze metody przeciwdziałania i zapobiegania atakom oraz dowiesz się, jak przygotować raport końcowy, w którym zaprezentujesz uzyskane rezultaty. Książka ta jest obowiązkową lekturą dla wszystkich osób, którym bezpieczeństwo sieci nie jest obojętne!

Sięgnij po tę książkę i:

Bezpieczeństwo sieci jest w Twoich rękach!

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tytuł oryginału: Web Penetration Testing with Kali Linux Tłumaczenie: Grzegorz Kowalczyk ISBN: 978-83-246-9013-8 Copyright © 2013 Packt Publishing. First published in the English language under the title „Web Penetration Testing with Kali Linux”. Polish edition copyright © 2014 by Helion S.A. All rights reserved. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: helion@helion.pl WWW: http://helion.pl (księgarnia internetowa, katalog książek) Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/kalili Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność Spis tre(cid:258)ci O autorach O recenzentach Wst(cid:218)p Co znajdziesz w tej ksi(cid:200)(cid:285)ce? Czego potrzebujesz do pracy z ksi(cid:200)(cid:285)k(cid:200)? Dla kogo przeznaczona jest ta ksi(cid:200)(cid:285)ka? Konwencje Errata Piractwo Rozdzia(cid:239) 1. Przygotowania Podstawowe za(cid:239)o(cid:285)enia testów penetracyjnych aplikacji internetowych Metodologia przeprowadzania testów penetracyjnych Ocena ryzyka Testy penetracyjne z wykorzystaniem systemu Kali Linux — za(cid:239)o(cid:285)enia Etap 1. Rekonesans Etap 2. Wyszukiwanie podatno(cid:258)ci Etap 3. Wykorzystywanie zidentyfikowanych podatno(cid:258)ci Etap 4. Podnoszenie uprawnie(cid:241) Etap 5. Utrzymanie zdobytego przyczó(cid:239)ka Wprowadzenie do systemu Kali Linux Konfiguracja systemu Kali Linux Uruchamianie systemu Kali Linux z no(cid:258)nika zewn(cid:218)trznego Instalowanie systemu Kali Linux Kali Linux i pierwsze uruchomienie w maszynie wirtualnej Przegl(cid:200)d narz(cid:218)dzi dost(cid:218)pnych w systemie Kali Linux Podsumowanie 9 11 15 16 17 17 18 18 19 21 23 24 30 34 34 35 36 37 37 38 39 39 40 46 46 49 Kup książkęPoleć książkę Spis tre(cid:286)ci Rozdzia(cid:239) 2. Rekonesans Zadania rekonesansu Rozpoznanie wst(cid:218)pne Strona internetowa firmy (cid:189)ród(cid:239)a przechowuj(cid:200)ce historyczne wersje witryn internetowych Regional Internet Registries, czyli regionalni administratorzy adresów IP System EDGAR Zasoby serwisów spo(cid:239)eczno(cid:258)ciowych Zaufanie Oferty pracy Lokalizacja Wyszukiwarka Shodan Google hacking GHDB, czyli Google Hacking Database Badanie zasobów sieci komputerowych Rekonesans z wykorzystaniem protoko(cid:239)u ICMP Rekonesans z wykorzystaniem serwerów DNS Nmap FOCA — wyszukiwanie i analiza metadanych Podsumowanie Rozdzia(cid:239) 3. Ataki na serwery aplikacji internetowych Wyszukiwanie podatno(cid:258)ci i luk w zabezpieczeniach Webshag Skipfish ProxyStrike Vega Owasp-Zap Websploit Wykorzystywanie znalezionych luk w zabezpieczeniach (exploity) Metasploit w3af Wykorzystywanie luk w zabezpieczeniach systemów poczty elektronicznej Ataki typu brute-force Hydra DirBuster WebSlayer (cid:146)amanie hase(cid:239) John the Ripper Ataki typu man-in-the-middle SSLStrip Podsumowanie 4 51 52 53 53 54 57 57 58 59 59 60 60 61 63 65 69 71 76 83 89 91 92 92 95 98 101 105 112 113 113 120 123 125 125 128 131 137 137 139 140 145 Kup książkęPoleć książkę Spis tre(cid:286)ci Rozdzia(cid:239) 4. Ataki na klienty aplikacji internetowych In(cid:285)ynieria spo(cid:239)eczna Pakiet SET — Social Engineer Toolkit Zastosowanie pakietu SET do ataku z klonowaniem MitM Proxy Skanowanie hostów Skanowanie hostów za pomoc(cid:200) pakietu Nessus Przechwytywanie i (cid:239)amanie hase(cid:239) u(cid:285)ytkowników Has(cid:239)a w systemie Windows Has(cid:239)a w systemie Linux Narz(cid:218)dzia do (cid:239)amania hase(cid:239) dost(cid:218)pne w systemie Kali Linux Johnny Programy hashcat i oclHashcat samdump2 chntpw Ophcrack Crunch Inne narz(cid:218)dzia dost(cid:218)pne w systemie Kali Linux Hash-identifier dictstat RainbowCrack (rcracki_mt) findmyhash phrasendrescher CmosPwd creddump Podsumowanie Rozdzia(cid:239) 5. Ataki na metody uwierzytelniania Ataki na zarz(cid:200)dzanie sesjami Clickjacking Przechwytywanie ciasteczek sesji Narz(cid:218)dzia do przechwytywania sesji Wtyczki przegl(cid:200)darki Firefox Cookie Cadger Wireshark Pakiety Hamster i Ferret Atak typu man-in-the-middle Narz(cid:218)dzia dsniff i arpspoof Ettercap Driftnet Wstrzykiwanie kodu SQL sqlmap Ataki typu XSS (cross-site scripting) Testowanie podatno(cid:258)ci na ataki XSS Techniki XSS cookie stealing i Authentication hijacking 147 148 149 151 161 162 162 169 171 173 174 174 177 178 180 183 185 188 188 189 189 190 190 190 191 191 193 195 196 197 198 198 203 206 208 211 212 214 217 218 221 223 224 225 5 Kup książkęPoleć książkę Spis tre(cid:286)ci Inne narz(cid:218)dzia urlsnarf acccheck hexinject Patator DBPwAudit Podsumowanie Rozdzia(cid:239) 6. Ataki na aplikacje internetowe i serwery WWW BeEF — Browser Exploitation Framework FoxyProxy — wtyczka przegl(cid:200)darki Firefox BURP Proxy OWASP-ZAP Przechwytywanie hase(cid:239) — pakiet SET Fimap Ataki typu DoS THX-SSL-DOS Scapy Slowloris LOIC, czyli Niskoorbitalne Dzia(cid:239)o Jonowe… Inne narz(cid:218)dzia DNSChef SniffJoke Siege Inundator TCPReplay Podsumowanie Rozdzia(cid:239) 7. Przeciwdzia(cid:239)anie i zapobieganie Testowanie mechanizmów obronnych Podstawowe wymogi bezpiecze(cid:241)stwa STIG Zarz(cid:200)dzanie aktualizacjami i poprawkami zabezpiecze(cid:241) Polityka zarz(cid:200)dzania has(cid:239)ami Klonowanie (cid:258)rodowiska HTTrack Inne narz(cid:218)dzia do klonowania witryn Obrona przed atakami typu man-in-the-middle Obrona przed atakami SSLstrip Obrona przed atakami typu DoS Obrona przed przechwytywaniem ciasteczek Obrona przed atakami typu Clickjacking Informatyka (cid:258)ledcza Uruchamianie systemu Kali Linux w trybie Forensics Analiza systemu plików za pomoc(cid:200) narz(cid:218)dzi systemu Kali Linux Inne narz(cid:218)dzia (cid:258)ledcze w systemie Kali Linux Podsumowanie 6 227 227 228 228 229 229 229 231 232 236 238 245 249 254 255 257 259 261 263 266 266 267 268 269 270 270 271 273 273 274 275 277 278 279 281 281 284 285 286 287 287 290 291 295 300 Kup książkęPoleć książkę Spis tre(cid:286)ci Rozdzia(cid:239) 8. Tworzenie raportów ko(cid:241)cowych Zgodno(cid:258)(cid:202) ze standardami i procedurami Us(cid:239)ugi profesjonalne Dokumentacja Format raportu Strona tytu(cid:239)owa O(cid:258)wiadczenie o zachowaniu poufno(cid:258)ci Zarz(cid:200)dzanie wersjami dokumentacji Ramy czasowe projektu Streszczenie raportu Metodologia Szczegó(cid:239)owe procedury testowania Podsumowanie ustale(cid:241) Podatno(cid:258)ci i luki w zabezpieczeniach Wnioski i rekomendacje dla (cid:258)rodowiska sieciowego Dodatki Glosariusz Wykaz prac Zewn(cid:218)trzne testy penetracyjne Dodatkowe elementy wykazu prac Narz(cid:218)dzia wspomagaj(cid:200)ce tworzenie raportów Dradis KeepNote Maltego CaseFile MagicTree CutyCapt Podsumowanie Skorowidz 301 303 304 306 307 307 307 308 308 309 310 312 313 315 316 319 319 319 321 323 325 325 326 326 327 327 327 329 7 Kup książkęPoleć książkę Spis tre(cid:286)ci 8 Kup książkęPoleć książkę 6 Ataki na aplikacje internetowe i serwery WWW W tym rozdziale skoncentrujemy si(cid:218) na atakach przeprowadzanych z wykorzystaniem inter- netu. Administratorzy odpowiedzialni za bezpiecze(cid:241)stwo (cid:258)rodowiska komputerowego firmy czy organizacji doskonale zdaj(cid:200) sobie spraw(cid:218) z tego, (cid:285)e w internecie nie brakuje czarnych charak- terów, które nieustannie szukaj(cid:200) nowych sposobów prze(cid:239)amywania zabezpiecze(cid:241). W odpowiedzi na takie zagro(cid:285)enia administratorzy staraj(cid:200) si(cid:218) implementowa(cid:202) coraz bardziej skomplikowane systemy zabezpiecze(cid:241). Do najcz(cid:218)(cid:258)ciej spotykanych mechanizmów obronnych nale(cid:285)(cid:200) zapory sieciowe, systemy wykrywania w(cid:239)ama(cid:241) i zapobiegania im (IPS/IDS — ang. Intrusion Prevention System/Intrusion Detection System) czy systemy instalowane bezpo(cid:258)rednio na hostach, takie jak programy antywirusowe lub monitoruj(cid:200)ce wykorzystanie zasobów. W przesz(cid:239)o(cid:258)ci takie rozwi(cid:200)- zania by(cid:239)y w zupe(cid:239)no(cid:258)ci wystarczaj(cid:200)ce, aczkolwiek spotykane obecnie z(cid:239)o(cid:258)liwe programy i inne zagro(cid:285)enia, które czyhaj(cid:200) w sieci, staj(cid:200) si(cid:218) coraz bardziej wyrafinowane i cz(cid:218)sto umo(cid:285)liwiaj(cid:200) (cid:239)atwe obej(cid:258)cie mechanizmów zabezpieczaj(cid:200)cych oferowanych przez standardowe, komercyj- ne produkty „z pó(cid:239)ki” (COTS — ang. Commercial Off The Shelf). Narz(cid:218)dzia, które b(cid:218)dziemy omawiali w tym rozdziale, pozwalaj(cid:200) pentesterowi na zdalne omijanie standardowych zabez- piecze(cid:241) atakowanych systemów. Przedstawiane tu zagadnienia i oprogramowanie stanowi(cid:200) dope(cid:239)nienie arsena(cid:239)u technik i na- rz(cid:218)dzi ka(cid:285)dego pentestera aplikacji internetowych. Z lektury poprzednich rozdzia(cid:239)ów dowie- dzia(cid:239)e(cid:258) si(cid:218), w jaki sposób przeprowadza(cid:202) rozpoznanie i gromadzi(cid:202) informacje o (cid:258)rodowisku b(cid:218)d(cid:200)cym celem testu penetracyjnego, jak wyszukiwa(cid:202) podatno(cid:258)ci i luki w zabezpieczeniach zarówno po stronie serwerów, jak i klientów aplikacji internetowych, oraz pozna(cid:239)e(cid:258) sposoby wykorzystywania znalezionych luk do uzyskania nieautoryzowanego dost(cid:218)pu do atakowanego Kup książkęPoleć książkę Kali Linux. Testy penetracyjne systemu. Teraz zajmiemy si(cid:218) technikami b(cid:218)d(cid:200)cymi niejako uwie(cid:241)czeniem ca(cid:239)ego procesu ata- kowania aplikacji internetowych podczas przeprowadzania testów penetracyjnych. Dodatko- wo poka(cid:285)emy, w jaki sposób do ataku u(cid:285)y(cid:202)… serwera b(cid:218)d(cid:200)cego celem ataku oraz jak z(cid:239)ama(cid:202) zabezpieczenia aplikacji internetowych w ramach ataków na przegl(cid:200)darki, ataków z wykorzy- staniem serwerów proxy oraz przechwytywania hase(cid:239) dost(cid:218)pu. Omówimy równie(cid:285) wybrane metody zak(cid:239)ócania pracy us(cid:239)ug internetowych za pomoc(cid:200) ataków typu DoS. BeEF — Browser Exploitation Framework Podatno(cid:258)ci i luki w zabezpieczeniach przegl(cid:200)darek mog(cid:200) by(cid:202) wykorzystywane przez z(cid:239)o(cid:258)liwe oprogramowanie do zmiany zachowania przegl(cid:200)darki w okre(cid:258)lonych sytuacjach. Podatno(cid:258)ci przegl(cid:200)darek internetowych to bardzo popularny wektor ataku, poniewa(cid:285) zdecydowana wi(cid:218)k- szo(cid:258)(cid:202) systemów operacyjnych, pod których kontrol(cid:200) dzia(cid:239)aj(cid:200) klienty aplikacji internetowych, wyposa(cid:285)ona jest w tak(cid:200) czy inn(cid:200) przegl(cid:200)dark(cid:218). Przyjrzyjmy si(cid:218) zatem jednemu z najpopular- niejszych narz(cid:218)dzi przeznaczonych do wykorzystywania luk w zabezpieczeniach przegl(cid:200)darek internetowych. Istnieje wiele interesuj(cid:200)cych narz(cid:218)dzi wspomagaj(cid:200)cych przeprowadzanie testów penetracyjnych. Narz(cid:218)dzia te powinny si(cid:218) znale(cid:283)(cid:202) w Twoim „hakerskim” arsenale. Jednym z nich z pewno(cid:258)ci(cid:200) jest program BeEF (ang. Browser Exploitation Framework). BeEF to pakiet zbudowany w oparciu o przegl(cid:200)dark(cid:218), który „podpina si(cid:218)” do jednej przegl(cid:200)darki lub nawet kilku przegl(cid:200)darek w syste- mie klienta i tworzy przyczó(cid:239)ek, który mo(cid:285)na wykorzysta(cid:202) jako baz(cid:218) do dalszych ataków. U(cid:285)yt- kownik mo(cid:285)e zosta(cid:202) „zaatakowany”, kiedy odwiedza specjalnie przygotowan(cid:200) stron(cid:218) internetow(cid:200), po czym kontynuuje przegl(cid:200)danie innych witryn, nie zdaj(cid:200)c sobie zupe(cid:239)nie sprawy z tego, (cid:285)e napastnik ma ju(cid:285) pe(cid:239)ny dost(cid:218)p do jego sesji. BeEF potrafi omin(cid:200)(cid:202) zarówno sieciowe urz(cid:200)dze- nia zabezpieczaj(cid:200)ce, jak i mechanizmy ochronne instalowane bezpo(cid:258)rednio na hostach, takie jak systemy antywirusowe. Staje si(cid:218) to mo(cid:285)liwe dzi(cid:218)ki wykorzystywaniu luk w zabezpieczeniach powszechnie spotykanych przegl(cid:200)darek, takich jak Internet Explorer czy Firefox. Pakiet BeEF nie jest do(cid:239)(cid:200)czany do wersji 1.0 systemu Kali Linux, ale mo(cid:285)esz pobra(cid:202) go ze strony http://beefproject.com/. Mamy jednak nadziej(cid:218), (cid:285)e ze wzgl(cid:218)du na swoj(cid:200) du(cid:285)(cid:200) popularno(cid:258)(cid:202) w (cid:258)rodowisku pentesterów i nie tylko BeEF znajdzie si(cid:218) w kolejnych wydaniach systemu Kali Linux. Aby zainstalowa(cid:202) pakiet BeEF, powiniene(cid:258) otworzy(cid:202) okno terminala i z poziomu u(cid:285)ytkownika root wykona(cid:202) nast(cid:218)puj(cid:200)ce polecenia: 232 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW apt-get update apt-get install beef-xss Polecenie apt-get update mo(cid:285)e zapyta(cid:202) Ci(cid:218) o zgod(cid:218) na aktualizacj(cid:218) lub nadpisanie starszych wersji niektórych plików. W wi(cid:218)kszo(cid:258)ci przypadków powiniene(cid:258) po prostu zaakceptowa(cid:202) od- powiedzi domy(cid:258)lne. Po zako(cid:241)czeniu procesu aktualizacji mo(cid:285)esz wykona(cid:202) drugie polecenie, apt-get install beef-xss, które rozpocznie instalacj(cid:218) pakietu BeEF: Kiedy przedstawione wy(cid:285)ej polecenie zako(cid:241)czy dzia(cid:239)anie, pakiet BeEF b(cid:218)dzie gotowy do u(cid:285)ytku. Aby uruchomi(cid:202) program BeEF, w oknie terminala przejd(cid:283) do katalogu /usr/share/beef-xss i wpisz polecenie ./beef, co spowoduje uruchomienie serwera pakietu. Gdy serwer zostanie uru- chomiony, na ekranie wy(cid:258)wietl(cid:200) si(cid:218) adresy URL pozwalaj(cid:200)ce na zarz(cid:200)dzanie pakietem i ata- kowanie u(cid:285)ytkowników. Aby zarz(cid:200)dza(cid:202) serwerem pakietu, uruchom przegl(cid:200)dark(cid:218) i w polu adresu wpisz adres URL ko(cid:241)- cz(cid:200)cy si(cid:218) ci(cid:200)giem znaków /ui/panel. Je(cid:285)eli chcesz przechwyci(cid:202) sesj(cid:218) ofiary za pomoc(cid:200) pakietu BeEF, powiniene(cid:258) przekierowa(cid:202) j(cid:200) na adres URL serwera, ko(cid:241)cz(cid:200)cy si(cid:218) ci(cid:200)giem znaków hook.js. Aby to zrobi(cid:202), b(cid:218)dziesz musia(cid:239) opracowa(cid:202) odpowiedni(cid:200) strategi(cid:218) post(cid:218)powania, która pozwoli Ci przekona(cid:202) potencjalne ofiary do odwiedzenia takiego adresu. Mo(cid:285)esz do tego celu wyko- rzysta(cid:202) ró(cid:285)ne techniki, takie jak phishing czy ataki socjotechniczne. 233 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne W naszym przypadku panel zarz(cid:200)dzania pakietu jest dost(cid:218)pny pod adresem http://172.16.86.144: 3000/ui/panel. Domy(cid:258)lna nazwa u(cid:285)ytkownika i has(cid:239)o dost(cid:218)pu brzmi(cid:200) identycznie: beef. Kiedy ofiara ataku wejdzie lub zostanie przekierowana na stron(cid:218) hook.js, napastnik zobaczy na panelu zarz(cid:200)dzania serwera BeEF informacj(cid:218) o nowej przegl(cid:200)darce. BeEF doda nowy system do listy potencjalnych celów i b(cid:218)dzie wy(cid:258)wietla(cid:239) go za ka(cid:285)dym razem, kiedy ofiara ataku po- jawi si(cid:218) w sieci. Przegl(cid:200)darki ofiar, które w danej chwili s(cid:200) od(cid:239)(cid:200)czone od internetu, b(cid:218)d(cid:200) po- datne na atak, kiedy znowu pod(cid:239)(cid:200)cz(cid:200) si(cid:218) do sieci, niezale(cid:285)nie od tego, czy ponownie odwiedz(cid:200) wcze(cid:258)niej stron(cid:218) hook.js. Na kolejnym rysunku przedstawiono wygl(cid:200)d g(cid:239)ównego okna panelu zarz(cid:200)dzania serwera BeEF z widocznymi opcjami ataku na przechwycony system. 234 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW Widoczny na poprzednim rysunku host, którego przegl(cid:200)darka zosta(cid:239)a przechwycona, to lap- top pracuj(cid:200)cy pod kontrol(cid:200) systemu Windows. BeEF potrafi odkry(cid:202) bardzo wiele szczegó(cid:239)ów na temat przechwyconego systemu, na przyk(cid:239)ad to, czy ofiara u(cid:285)ywa przegl(cid:200)darki Firefox, czy host pracuje pod kontrol(cid:200) 32-, czy 64-bitowego systemu operacyjnego, jakie dodatkowe wtyczki zosta(cid:239)y zainstalowane w przegl(cid:200)darce, czy obs(cid:239)uga skryptów i apletów Java jest w(cid:239)(cid:200)- czona itp. Na skompromitowanych systemach napastnik mo(cid:285)e zdalnie wykonywa(cid:202) ró(cid:285)ne po- lecenia, w(cid:239)(cid:200)cza(cid:202) sygna(cid:239) d(cid:283)wi(cid:218)kowy, przechwytywa(cid:202) ciasteczka sesji, tworzy(cid:202) zrzuty ekranu, przechwytywa(cid:202) wszystkie znaki wpisywane z klawiatury, a nawet wykorzystywa(cid:202) przechwy- con(cid:200) przegl(cid:200)dark(cid:218) jako serwer proxy do atakowania innych systemów. Przyk(cid:239)adem zastoso- wania pakietu mo(cid:285)e by(cid:202) sytuacja, w której u(cid:285)ytkownik skompromitowanego systemu loguje si(cid:218) do serwisu takiego jak Facebook. Napastnik dzi(cid:218)ki pakietowi BeEF mo(cid:285)e przechwyci(cid:202) ciasteczko takiej sesji, a nast(cid:218)pnie u(cid:285)y(cid:202) go w swojej przegl(cid:200)darce do przechwycenia sesji u(cid:285)ytkownika i uzyskania dzi(cid:218)ki temu pe(cid:239)nego dost(cid:218)pu do konta Facebook ofiary. Nietrudno sobie wyobrazi(cid:202), (cid:285)e w takiej sytuacji z(cid:239)o(cid:258)liwe i destrukcyjne mo(cid:285)liwo(cid:258)ci napastnika s(cid:200) prak- tycznie nieograniczone. Raz uchwycony przyczó(cid:239)ek daje nieograniczony dost(cid:218)p do przegl(cid:200)- darki ofiary i jej sesji. BeEF dostarcza napastnikowi szczegó(cid:239)owych informacji na temat zaatakowanego systemu i loguje wszystkie wykonywane w nim polecenia. Informacje o zaatakowanym systemie oraz dziennik wykonanych polece(cid:241) mog(cid:200) by(cid:202) bez problemu skopiowane i wklejone do raportu ko(cid:241)cowego. 235 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne Obrona przed atakami dokonywanymi z u(cid:285)yciem narz(cid:218)dzi penetracyjnych opartych na prze- gl(cid:200)darkach jest bardzo trudna. Najlepszym rozwi(cid:200)zaniem jest oczywi(cid:258)cie zadbanie o to, aby zaw- sze korzysta(cid:202) z najnowszej wersji przegl(cid:200)darki z zainstalowanymi najnowszymi pakietami aktuali- zacji oraz z wy(cid:239)(cid:200)czon(cid:200) mo(cid:285)liwo(cid:258)ci(cid:200) uruchamiania apletów Java czy animacji Flash. Oprócz tego dodatkow(cid:200) warstw(cid:218) zabezpiecze(cid:241) mog(cid:200) zapewni(cid:202) rozwi(cid:200)zania pozwalaj(cid:200)ce na wykrywanie najcz(cid:218)(cid:258)ciej spotykanych zagro(cid:285)e(cid:241), takie jak system NGIPS (ang. Next Generation Intrusion Prevention System). Znacz(cid:200)c(cid:200) wi(cid:218)kszo(cid:258)(cid:202) ofiar ataków przeprowadzonych z wykorzystaniem narz(cid:218)dzi takich jak BeEF stanowi(cid:200) u(cid:285)ytkownicy, którzy klikn(cid:218)li specjalnie przygotowane (cid:239)(cid:200)cze, zamieszczone w wiadomo(cid:258)ci poczty elektronicznej lub udost(cid:218)pnione w popularnych serwi- sach spo(cid:239)eczno(cid:258)ciowych przez napastnika podaj(cid:200)cego si(cid:218) za kogo(cid:258) innego, godnego zaufania. FoxyProxy — wtyczka przegl(cid:200)darki Firefox Je(cid:285)eli masz przegl(cid:200)dark(cid:218) Firefox i chcesz u(cid:285)ywa(cid:202) serwerów proxy, takich jak ZAP — Zed At- tack Proxy czy BURP do testowania aplikacji internetowych, to mo(cid:285)esz skorzysta(cid:202) z wtyczki FoxyProxy, która znakomicie upraszcza proces prze(cid:239)(cid:200)czania oraz w(cid:239)(cid:200)czania i wy(cid:239)(cid:200)czania po- szczególnych serwerów proxy. Inaczej mówi(cid:200)c, FoxyProxy to wtyczka przegl(cid:200)darki Firefox, pozwalaj(cid:200)ca na (cid:239)atwe zarz(cid:200)dzanie serwerami proxy, modyfikacj(cid:218) ich ustawie(cid:241) oraz ich w(cid:239)(cid:200)- czanie i wy(cid:239)(cid:200)czanie. Wtyczk(cid:218) FoxyProxy mo(cid:285)esz pobra(cid:202) z sieciowego repozytorium rozsze- rze(cid:241) programy Firefox. Gdy zainstalujesz wtyczk(cid:218), na pasku narz(cid:218)dzi, w górnej cz(cid:218)(cid:258)ci g(cid:239)ównego okna przegl(cid:200)darki, pojawi si(cid:218) ikona FoxyProxy. Kiedy j(cid:200) klikniesz lewym przyciskiem myszy, wy(cid:258)wietli si(cid:218) okno opcji i ustawie(cid:241) wtyczki. 236 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW Aby doda(cid:202) nowy serwer proxy do wtyczki FoxyProxy, powiniene(cid:258) wykona(cid:202) polecenia przed- stawione poni(cid:285)ej: 1. Kliknij przycisk Add New Proxy. Na ekranie pojawi si(cid:218) nowe okno dialogowe. 2. Wybierz opcj(cid:218) Manual Proxy Configuration. 3. Wpisz adres IP lub nazw(cid:218) serwera proxy oraz podaj numer jego portu komunikacyjnego. 4. Kliknij przycisk OK, aby zapisa(cid:202) ustawienia nowego serwera. W tym momencie wtyczka FoxyProxy jest jeszcze wy(cid:239)(cid:200)czona, co oznacza, (cid:285)e ca(cid:239)y ruch sieciowy generowany przez przegl(cid:200)dark(cid:218) odbywa si(cid:218) bez po(cid:258)rednictwa serwera proxy (w polu Select Mode jest ustawiona opcja Completely disable FoxyProxy). Aby u(cid:285)y(cid:202) wybranego serwera proxy, rozwi(cid:241) list(cid:218) Select Mode i wybierz z niej (cid:285)(cid:200)dan(cid:200) opcj(cid:218). Jak wida(cid:202), dzi(cid:218)ki takiemu rozwi(cid:200)zaniu mo(cid:285)esz szybko prze(cid:239)(cid:200)cza(cid:202) przegl(cid:200)dark(cid:218) na ró(cid:285)ne serwery proxy lub ca(cid:239)kowicie wy(cid:239)(cid:200)czy(cid:202) mo(cid:285)liwo(cid:258)(cid:202) korzystania z serwera proxy. 237 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne BURP Proxy BURP Proxy to narz(cid:218)dzie, które przechwytuje ruch HTTP oraz HTTPS, co pozwala pentesterowi na badanie funkcjonowania aplikacji internetowych, wyszukiwanie luk w ich zabezpieczeniach oraz analizowanie ruchu sieciowego, generowanego mi(cid:218)dzy serwerem aplikacji a klientem. Pakiet BURP Proxy cieszy si(cid:218) ogromn(cid:200) popularno(cid:258)ci(cid:200) nie tylko ze wzgl(cid:218)du na zdolno(cid:258)(cid:202) prze- prowadzania analizy ruchu sieciowego, ale równie(cid:285), a mo(cid:285)e przede wszystkim ze wzgl(cid:218)du na mo(cid:285)liwo(cid:258)(cid:202) modyfikacji i retransmitowania przesy(cid:239)anych (cid:285)(cid:200)da(cid:241) „w locie”. Za chwil(cid:218) wyja(cid:258)nimy, jak wykorzysta(cid:202) pakiet BURP Proxy do modyfikowania (cid:285)(cid:200)da(cid:241) i wykradania danych uwierzytel- niaj(cid:200)cych u(cid:285)ytkowników. Pami(cid:218)taj, (cid:285)e BURP Proxy to narz(cid:218)dzie wchodz(cid:200)ce w sk(cid:239)ad rozbudowanego pakietu narz(cid:218)dzi o nazwie Burp Suite. Kiedy u(cid:285)ytkownik wpisuje na pasku adresu swojej przegl(cid:200)darki wybrany adres URL, taki jak na przyk(cid:239)ad http://www.DrChaos.com, oczekuje, (cid:285)e zostanie przeniesiony na tak(cid:200) stron(cid:218). Serwer proxy przechwytuje takie (cid:285)(cid:200)danie i przesy(cid:239)a je do serwera niejako „w imieniu” danego klienta. Serwery proxy s(cid:200) zazwyczaj wykorzystywane do monitorowania ge- nerowanego ruchu sieciowego oraz ochrony klientów przed potencjalnie szkodliwymi danymi (np. witrynami ze z(cid:239)o(cid:258)liwym oprogramowaniem czy witrynami zainfekowanymi). Jako pente- ster mo(cid:285)esz wykorzystywa(cid:202) serwery proxy do przechwytywania ruchu sieciowego wysy(cid:239)anego przez klienta, a nast(cid:218)pnie kopiowania, modyfikowania i retransmitowania jego (cid:285)(cid:200)da(cid:241): Aby w systemie Kali Linux uruchomi(cid:202) program BURP Suite, w menu g(cid:239)ównym przejd(cid:283) do grupy Kali Linux, a nast(cid:218)pnie wybierz polecenie Sniffing/Spoofing/Web Sniffers/burpsuite. Na ekranie pojawi si(cid:218) g(cid:239)ówne okno pakietu Burp Suite. 238 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW Aby skonfigurowa(cid:202) serwer proxy, przejd(cid:283) na kart(cid:218) Proxy. Jak (cid:239)atwo zauwa(cid:285)y(cid:202), opcja przechwyty- wania ruchu sieciowego jest domy(cid:258)lnie w(cid:239)(cid:200)czona (Intercept is on). Kiedy jest w(cid:239)(cid:200)czona, BURP Proxy zatrzymuje wszystkie (cid:285)(cid:200)dania wysy(cid:239)ane z przegl(cid:200)darki klienta do serwera WWW, dzi(cid:218)ki czemu pentester ma mo(cid:285)liwo(cid:258)(cid:202) pe(cid:239)nej analizy takiego po(cid:239)(cid:200)czenia. Po zako(cid:241)czeniu przegl(cid:200)da- nia pentester mo(cid:285)e r(cid:218)cznie zezwoli(cid:202) na kontynuowanie po(cid:239)(cid:200)czenia. Opcj(cid:218) Intercept musisz wy(cid:239)(cid:200)czy(cid:202) r(cid:218)cznie, w przeciwnym wypadku wszystkie (cid:285)(cid:200)dania wysy(cid:239)ane przez klienta b(cid:218)d(cid:200) przechwytywane i zatrzymywane na poziomie BURP Proxy. Kolejne opcje konfiguracyjne, na które musisz zwróci(cid:202) uwag(cid:218), s(cid:200) umieszczone na karcie Options. Znajdziesz tutaj opcje pozwalaj(cid:200)ce na sprawdzenie lub zmian(cid:218) domy(cid:258)lnego portu komunikacyjnego, wykorzystywanego przez BURP Proxy, czy skonfigurowanie interfejsu sie- ciowego, wykorzystywanego przez pakiet. Domy(cid:258)lnie serwer BURP Proxy jest skonfigurowa- ny do pracy na interfejsie p(cid:218)tli zwrotnej, jak przedstawiono na rysunku zamieszczonym poni(cid:285)ej. Interfejs p(cid:218)tli zwrotnej to specjalny rodzaj interfejsu sieciowego, reprezentuj(cid:200)cy komputer lokal- ny, do którego przypisany jest zazwyczaj adres IP 127.0.0.1. Interfejs p(cid:218)tli zwrotnej nie jest powi(cid:200)zany z (cid:285)adnym urz(cid:200)dzeniem fizycznym i jest stosowany po to, aby korzystaj(cid:200)c z po(cid:239)(cid:200)- czenia sieciowego, system operacyjny Twojego komputera móg(cid:239) si(cid:218) komunikowa(cid:202) sam ze so- b(cid:200). Inaczej mówi(cid:200)c, je(cid:285)eli chcesz poprzez sie(cid:202) wysy(cid:239)a(cid:202) do siebie wiadomo(cid:258)ci, powiniene(cid:258) u(cid:285)y(cid:202) interfejsu p(cid:218)tli zwrotnej. Je(cid:285)eli chcesz wykorzystywa(cid:202) pakiet Burp Suite do pracy z innymi komputerami, powiniene(cid:258) w konfiguracji pakietu doda(cid:202) odpowiedni interfejs Ethernet oraz poda(cid:202) jego adres IP. 239 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne W naszym przyk(cid:239)adzie b(cid:218)dziemy u(cid:285)ywa(cid:202) interfejsu p(cid:218)tli zwrotnej: Kolejnym etapem b(cid:218)dzie skonfigurowanie przegl(cid:200)darki do pracy z pakietem Burp Suite. Praktycznie wszystkie przegl(cid:200)darki mo(cid:285)na skonfigurowa(cid:202) w niemal identyczny lub przynajm- niej bardzo zbli(cid:285)ony sposób. Na kolejnym rysunku przedstawiamy konfiguracj(cid:218) serwera proxy w przegl(cid:200)darce Firefox. Gdy zako(cid:241)czysz konfiguracj(cid:218) serwera proxy w przegl(cid:200)darce, przejd(cid:283) na dowoln(cid:200) stron(cid:218) WWW, na przyk(cid:239)ad wpisuj(cid:200)c (cid:285)(cid:200)dany adres URL w pasku przegl(cid:200)darki (na przyk(cid:239)ad www.DrChaos.com). Z pewno(cid:258)ci(cid:200) zauwa(cid:285)ysz, (cid:285)e nic si(cid:218) nie wydarzy(cid:239)o. Dzieje si(cid:218) tak, poniewa(cid:285) opcja Intercept, 240 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW jak pami(cid:218)tasz, jest domy(cid:258)lnie w(cid:239)(cid:200)czona. Je(cid:285)eli przyjrzysz si(cid:218) teraz karcie Intercept, to przeko- nasz si(cid:218), (cid:285)e zmieni(cid:239) si(cid:218) jej kolor t(cid:239)a, co oznacza, (cid:285)e przechwycone zosta(cid:239)o nowe (cid:285)(cid:200)danie. Kiedy klikniesz kart(cid:218) Intercept, b(cid:218)dziesz móg(cid:239) dok(cid:239)adnie zbada(cid:202) natur(cid:218) przechwyconego (cid:285)(cid:200)- dania. Po zako(cid:241)czeniu mo(cid:285)esz klikn(cid:200)(cid:202) przycisk Forward lub Drop, co spowoduje odpowied- nio przes(cid:239)anie dalej lub zablokowanie przechwyconego (cid:285)(cid:200)dania. Je(cid:285)eli klikniesz przycisk Forward, zobaczysz, (cid:285)e przechwycone (cid:285)(cid:200)danie zostaje przekazane dalej, do serwera WWW, a serwer odsy(cid:239)a odpowied(cid:283). Co wi(cid:218)cej, powiniene(cid:258) równie(cid:285) zobaczy(cid:202), (cid:285)e strona WWW zosta(cid:239)a za(cid:239)adowana w oknie przegl(cid:200)darki. Pami(cid:218)taj jednak, (cid:285)e niektóre strony WWW sk(cid:239)adaj(cid:200) si(cid:218) z wielu komponentów i ich za(cid:239)adowanie b(cid:218)dzie wymaga(cid:239)o r(cid:218)cznego prze- kazania wielu (cid:285)(cid:200)da(cid:241) (czyli b(cid:218)dziesz musia(cid:239) wiele razy klika(cid:202) przycisk Forward). Kolejn(cid:200) ciekaw(cid:200) i u(cid:285)yteczn(cid:200) funkcj(cid:200) pakietu jest Burp Spider, czyli robot sieciowy pozwala- j(cid:200)cy na zautomatyzowanie procesu wykrywania i mapowania aplikacji internetowych. Zanim b(cid:218)dziesz móg(cid:239) z niego skorzysta(cid:202), musisz najpierw skonfigurowa(cid:202) serwer BURP Proxy do pracy z internetem, tak jak to pokazywali(cid:258)my wcze(cid:258)niej. Nast(cid:218)pnie w(cid:239)(cid:200)cz modu(cid:239) Burp Spider, który mo(cid:285)e automatycznie mapowa(cid:202) wszystkie przechwycone (cid:285)(cid:200)dania i wyszukiwa(cid:202) nowe, potencjalne cele ataku. Aby u(cid:285)y(cid:202) modu(cid:239)u Burp Spider, przejd(cid:283) na kart(cid:218) Spider, gdzie zobaczysz domy(cid:258)lne ustawienia konfiguracyjne robota sieciowego. Aby w(cid:239)(cid:200)czy(cid:202) robota, kliknij przycisk Spider is paused, co uruchomi robota i zmieni nazw(cid:218) przycisku na Spider is running (zobacz pierwszy rysunek na nast(cid:218)pnej stronie). Burp Spider mapuje wszystkie (cid:285)(cid:200)dania przechwycone przez serwer proxy i wy(cid:258)wietla je na karcie Target. Aby zobaczy(cid:202), co zosta(cid:239)o do tej pory przechwycone, przejd(cid:283) na kart(cid:218) Target. Znajdziesz tam list(cid:218) wszystkich przechwyconych przez proxy witryn, z którymi (cid:239)(cid:200)czy si(cid:218) wybrana przez Ciebie witryna podczas (cid:239)adowania. Adresy URL wy(cid:258)wietlone w szarym kolorze oznaczaj(cid:200) witryny, których nie przegl(cid:200)da(cid:239)e(cid:258) bezpo(cid:258)rednio. Adresy URL wyró(cid:285)nione czarnym kolorem oznaczaj(cid:200) witryny, które odwiedzi(cid:239)e(cid:258) bezpo(cid:258)rednio (zobacz drugi rysunek na nast(cid:218)pnej stronie). 241 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne Aby skorzysta(cid:202) z robota sieciowego, kliknij wybrany adres URL prawym przyciskiem myszy i z menu podr(cid:218)cznego wybierz polecenie Spider this host. 242 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW Je(cid:285)eli teraz przejdziesz na kart(cid:218) Spider, to przekonasz si(cid:218), (cid:285)e liczby przetworzonych (cid:285)(cid:200)da(cid:241) w sekcji Spider Status rosn(cid:200) od 0 w gór(cid:218). Gdy Burp napotka jakie(cid:258) formularze, poprosi Ci(cid:218) o ich wype(cid:239)nienie lub zignorowanie. Je(cid:285)eli wype(cid:239)nisz formularz, Burp sprawdzi kolejne strony, które sta(cid:239)y si(cid:218) dost(cid:218)pne po wype(cid:239)nieniu formularza. Kiedy Spider zako(cid:241)czy dzia(cid:239)anie, wró(cid:202) na kart(cid:218) Targets i poszukaj strony, której adres wybra(cid:239)e(cid:258) dla robota sieciowego. Kliknij ikon(cid:218) trójk(cid:200)ta, znajduj(cid:200)c(cid:200) si(cid:218) z lewej strony adresu; spowoduje to rozwini(cid:218)cie listy. Teraz mo(cid:285)esz zobaczy(cid:202) wyniki dzia(cid:239)ania modu(cid:239)u Spider na pierwszym ry- sunku na nast(cid:218)pnej stronie. Burp wy(cid:258)wietla wszystkie strony i (cid:239)(cid:200)cza, które znalaz(cid:239) Spider. Oprócz tego robot przechwytuje równie(cid:285) g(cid:239)ówny katalog hosta, style stron internetowych, podkatalogi oraz skrypty Java. W kolej- nym przyk(cid:239)adzie prezentujemy szereg katalogów przechwyconych z witryny www.Drchaos.com. Burp pozwala równie(cid:285) na filtrowanie wyników. Aby skorzysta(cid:202) z tej mo(cid:285)liwo(cid:258)ci, kliknij pasek Filter, znajduj(cid:200)cy si(cid:218) w górnej cz(cid:218)(cid:258)ci okna programu. Na ekranie pojawi si(cid:218) rozwijane okno, zawieraj(cid:200)ce szereg ró(cid:285)nych opcji filtrowania (zobacz drugi rysunek na nast(cid:218)pnej stronie). 243 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne Modu(cid:239) Spider pakietu Burp Suite pozwala pentesterowi na sprawdzenie, jak dana aplikacja inter- netowa czy strona WWW jest skonfigurowana oraz jakie mo(cid:285)na na niej znale(cid:283)(cid:202) (cid:239)(cid:200)cza i dok(cid:200)d prowadz(cid:200). Dobr(cid:200) analogi(cid:200) funkcjonalno(cid:258)ci tego modu(cid:239)u mo(cid:285)e by(cid:202) sytuacja, w której znajdujemy si(cid:218) w pokoju z dziesi(cid:200)tkami drzwi i mo(cid:285)emy od razu, w tym samym czasie sprawdzi(cid:202), dok(cid:200)d prowadz(cid:200) ka(cid:285)de z nich. 244 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW OWASP-ZAP ZAP to proste w u(cid:285)yciu, zintegrowane narz(cid:218)dzie penetracyjne, przeznaczone do wyszukiwa- nia podatno(cid:258)ci i luk w zabezpieczeniach aplikacji internetowych. Jak pami(cid:218)tasz, w rozdziale 3. do- konali(cid:258)my krótkiej prezentacji tego narz(cid:218)dzia i jego mo(cid:285)liwo(cid:258)ci w zakresie skanowania witryn internetowych pod k(cid:200)tem potencjalnych s(cid:239)abych stron zabezpiecze(cid:241). Powrócimy teraz do pracy z tym narz(cid:218)dziem i poka(cid:285)emy, jak mo(cid:285)na u(cid:285)y(cid:202) programu ZAP do identyfikacji i wykorzy- stywania luk pozwalaj(cid:200)cych na przeprowadzanie ataków typu cross-site scripting (ataków XSS). ZAP jest pakietem preinstalowanym w systemie Kali Linux 1.0. Aby go uruchomi(cid:202), w menu g(cid:239)ównym przejd(cid:283) do grupy Kali Linux i nast(cid:218)pnie wybierz polecenie Sniffing/Spoofing/Web Sniffers/owasp-zap. Zamiast tego mo(cid:285)esz po prostu otworzy(cid:202) nowe okno terminala i wpisa(cid:202) polecenie zap, tak jak to zosta(cid:239)o zaprezentowane na rysunku poni(cid:285)ej: Przedstawiamy krótki opis sposobu konfiguracji pakietu ZAP do pracy z przegl(cid:200)dark(cid:200) Firefox, podobnie jak to mia(cid:239)o miejsce w rozdziale 3. 1. Zaakceptuj postanowienia licencyjne. 2. Wygeneruj nowy certyfikat SSL lub zaimportuj certyfikat istniej(cid:200)cy. 3. Zaimportuj certyfikat do przegl(cid:200)darki. Aby to zrobi(cid:202) w przegl(cid:200)darce Firefox, wybierz z menu polecenie Preferences/Advanced i nast(cid:218)pnie przejd(cid:283) na kart(cid:218) Encryption. 4. Kliknij przycisk View Certificates i zaimportuj certyfikat. 5. Zaznacz wszystkie opcje zaufania zwi(cid:200)zane z u(cid:285)ywaniem nowego certyfikatu. 6. Skonfiguruj przegl(cid:200)dark(cid:218) do pracy z serwerem proxy pakietu ZAP. Aby to zrobi(cid:202) w przegl(cid:200)darce Firefox, wybierz z menu polecenie Preferences/Advanced i nast(cid:218)pnie przejd(cid:283) na kart(cid:218) Network. 7. Jako nazw(cid:218) serwera proxy wpisz localhost i ustaw go do pracy na porcie 8080, który jest domy(cid:258)lnym portem komunikacyjnym serwera proxy pakietu ZAP. 8. Zaznacz opcj(cid:218) pozwalaj(cid:200)c(cid:200) na u(cid:285)ywanie serwera proxy dla wszystkich protoko(cid:239)ów komunikacyjnych. Pami(cid:218)taj, (cid:285)e zanim b(cid:218)dziesz móg(cid:239) u(cid:285)ywa(cid:202) pakietu ZAP, musisz wygenerowa(cid:202) odpowiedni certyfikat SSL. 245 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne Po zako(cid:241)czeniu konfigurowania pakietu ZAP oraz przegl(cid:200)darki Firefox mo(cid:285)esz przej(cid:258)(cid:202) na dowol- nie wybran(cid:200) stron(cid:218) internetow(cid:200). Przekonasz si(cid:218), (cid:285)e nazwy odwiedzanych witryn pojawiaj(cid:200) si(cid:218) na karcie Sites, w oknie pakietu ZAP. W naszym przyk(cid:239)adzie przeszli(cid:258)my na stron(cid:218) www.DrChaos.com i przekonali(cid:258)my si(cid:218), (cid:285)e lista odwiedzonych stron jest dosy(cid:202) poka(cid:283)na. Dzieje si(cid:218) tak dlatego, (cid:285)e strona DrChaos (cid:239)aduje takie czy inne elementy pochodz(cid:200)ce z tych stron. ZAP jest wyposa(cid:285)ony zarówno w aktywne, jak i pasywne skanery stron internetowych. Skane- ry pasywne nie przeprowadzaj(cid:200) (cid:285)adnych ataków i s(cid:200) bezpieczne dla wszystkich aplikacji in- ternetowych. Z kolei skanery aktywne mog(cid:200) przeprowadza(cid:202) ca(cid:239)e serie ró(cid:285)nych ataków i do- konuj(cid:200) prób uruchamiania ró(cid:285)nych skryptów w aplikacjach i na stronach internetowych, co mo(cid:285)e prowadzi(cid:202) do wygenerowania alarmów przez systemy zabezpieczaj(cid:200)ce atakowanych ho- stów i aplikacji. W kolejnym przyk(cid:239)adzie b(cid:218)dziemy wykorzystywa(cid:202) oba rodzaje skanerów, aktywne i pasywne. Z oczywistych wzgl(cid:218)dów dobrze by by(cid:239)o, gdyby(cid:258) dysponowa(cid:239) swoim serwerem testowym, na którym móg(cid:239)by(cid:258) przeprowadza(cid:202) takie testy, poniewa(cid:285) zdecydowanie odradzamy przeprowadzanie ataków za pomoc(cid:200) pakietu ZAP na innym serwerze bez autoryzacji i zgody jego w(cid:239)a(cid:258)ciciela. Poniewa(cid:285) testy podatno(cid:258)ci chcemy przeprowadzi(cid:202) na serwerze, do którego testowania mamy odpowiedni(cid:200) autoryzacj(cid:218), na nasze potrzeby ponownie wykorzystamy znany Ci ju(cid:285) projekt Google Gruyere. Firma Google uruchomi(cid:239)a projekt Gruyere w celu umo(cid:285)liwienia testowania luk w zabezpie- czeniach i mechanizmów obronnych aplikacji internetowych. Strony internetowe projektu Gruyere maj(cid:200) kilka specjalnie przygotowanych luk w zabezpieczeniach, w(cid:239)(cid:200)cznie z podatno- (cid:258)ciami na ataki XSS. Z projektu Gruyere mo(cid:285)esz korzysta(cid:202) interaktywnie w sieci lub mo(cid:285)esz pobra(cid:202) go na swój komputer lokalny. 246 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW Utwórz swoj(cid:200) w(cid:239)asn(cid:200) instancj(cid:218) projektu Gruyere, na której b(cid:218)dziesz pracowa(cid:239) z pakietem ZAP. Po utworzeniu instancji projektu otrzymasz swój w(cid:239)asny, unikatowy adres URL. W naszym przypad- ku adres URL projektu wygl(cid:200)da(cid:239) nast(cid:218)puj(cid:200)co: http://google-gruyere.appspot.com/326352883334/. Powrócimy teraz do pakietu ZAP i wykonamy szybkie skanowanie tego adresu URL. Na powy(cid:285)szym rysunku wida(cid:202) szereg plików SEED, w(cid:239)(cid:200)cznie z plikiem, którego adres URI wy- gl(cid:200)da bardzo interesuj(cid:200)co: http://google-gruyere.appspot.com/326352883334/invalid. Kiedy umie(cid:258)cimy adres tego pliku w przegl(cid:200)darce, otrzymamy nast(cid:218)puj(cid:200)cy komunikat o b(cid:239)(cid:218)dzie: 247 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne Kiedy zabieramy si(cid:218) do przeprowadzania ataków XSS, warto pami(cid:218)ta(cid:202), (cid:285)e z ich punktu widzenia najbardziej „niebezpiecznymi” znakami s(cid:200) znak mniejszo(cid:258)ci oraz znak wi(cid:218)kszo(cid:258)ci . Je(cid:285)eli haker potrafi zmusi(cid:202) aplikacj(cid:218) internetow(cid:200) do wstawienia kodu na stron(cid:218) bezpo(cid:258)rednio za pomoc(cid:200) znaków i , to zazwyczaj otwiera to szeroko drzwi do wstrzykni(cid:218)cia z(cid:239)o(cid:258)liwych skryptów do apli- kacji. Poni(cid:285)ej przedstawiamy jeszcze inne przyk(cid:239)ady interesuj(cid:200)cych plików SEED: Poni(cid:285)ej przedstawiamy przyk(cid:239)ad wykorzystania jednego z adresów plików SEED do wstrzykni(cid:218)- cia kodu. Aby to zrobi(cid:202), utworzymy adres URL i dodamy do niego skrypt alert(1), co pozwoli nam przekona(cid:202) si(cid:218), czy po uruchomieniu na stronie internetowej pojawi si(cid:218) wyskakuj(cid:200)ce okno z komunikatem o wyst(cid:200)pieniu b(cid:239)(cid:218)du (zobacz rysunek na nast(cid:218)pnej stronie). http://google-gruyere.appspot.com/326352883334/ script alert(1); /script Powy(cid:285)szy przyk(cid:239)ad pokazuje, (cid:285)e atakowana aplikacja internetowa wy(cid:258)wietli(cid:239)a na ekranie wyska- kuj(cid:200)ce okno z komunikatem o wyst(cid:200)pieniu b(cid:239)(cid:218)du, dowodz(cid:200)c w ten sposób, (cid:285)e jest podatna na taki atak. Teraz mo(cid:285)emy u(cid:285)y(cid:202) pakietu ZAP do powtórzenia tego ataku, wypróbowania innego ataku lub przetestowania podobnych metod wykorzystuj(cid:200)cych luki w zabezpieczeniach XSS. W takich sytuacjach zawsze zalecamy samodzielne poeksperymentowanie z otrzymywanymi komunikatami o b(cid:239)(cid:218)dach, tak aby sprawdzi(cid:202), czy nie da(cid:239)oby si(cid:218) ich wykorzysta(cid:202) do „zmusze- nia” aplikacji do ujawnienia cennych dla pentestera informacji. Projekt Gruyere jest znako- mitym poligonem do(cid:258)wiadczalnym, dzi(cid:218)ki któremu mo(cid:285)esz testowa(cid:202) i rozwija(cid:202) swoje umie- j(cid:218)tno(cid:258)ci oraz nabiera(cid:202) do(cid:258)wiadczenia w pracy z pakietem ZAP. 248 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW Je(cid:285)eli chcesz sprawdzi(cid:202) mo(cid:285)liwo(cid:258)ci swojej obrony przed zdalnymi atakami, to ZAP równie(cid:285) mo(cid:285)e si(cid:218) tutaj sprawdzi(cid:202) znakomicie, zw(cid:239)aszcza w przypadku ataków takich jak XSS. Niektórzy u(cid:285)ytkownicy wierz(cid:200), (cid:285)e podczas przegl(cid:200)dania zasobów internetu nie musz(cid:200) si(cid:218) przejmowa(cid:202) lukami w zabezpieczeniach XSS, je(cid:285)eli zgodnie z informacjami producenta ich przegl(cid:200)darka posiada mechanizmy obrony przed takimi atakami. Niestety, prawda jest taka, (cid:285)e zabezpieczenia przegl(cid:200)darki nie mog(cid:200) by(cid:202) uwa(cid:285)ane za doskona(cid:239)e ze wzgl(cid:218)du na prosty fakt, (cid:285)e przegl(cid:200)darka nie jest w stanie oszacowa(cid:202), na ile bezpieczny jest kod aplikacji internetowej, której ona jest klientem. Do(cid:258)wiadczeni hakerzy mog(cid:200) by(cid:202) w stanie obej(cid:258)(cid:202) takie zabezpieczenia i umie(cid:258)ci(cid:202) w ko- dzie strony skrypty przeznaczone do atakowania przegl(cid:200)darek odwiedzaj(cid:200)cych dan(cid:200) witryn(cid:218). Z tego powodu najlepszym sposobem zabezpieczania zarówno serwerów aplikacji interneto- wych, jak i korzystaj(cid:200)cych z nich klientów jest wyszukiwanie, identyfikowanie i usuwanie luk w zabezpieczeniach. Mo(cid:285)na tego dokona(cid:202) za pomoc(cid:200) narz(cid:218)dzi takich jak ZAP. Przechwytywanie hase(cid:239) — pakiet SET W rozdziale 4. omówili(cid:258)my pokrótce podstawowe mo(cid:285)liwo(cid:258)ci pakietu SET (ang. Social Engi- neer Toolkit). W tym podrozdziale powrócimy do tego pakietu i skoncentrujemy si(cid:218) na zagad- nieniach zwi(cid:200)zanych z wykorzystywaniem go do gromadzenia hase(cid:239) dost(cid:218)pu oraz przechwy- tywania innych poufnych informacji. Jak pami(cid:218)tasz, aby uruchomi(cid:202) pakiet SET, powiniene(cid:258) w g(cid:239)ównym menu systemu przej(cid:258)(cid:202) do gru- py Kali Linux, a nast(cid:218)pnie wybra(cid:202) polecenie Exploitation Tools/Social Engineering Tools/se-toolkit. 249 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne Przed pierwszym uruchomieniem pakietu upewnij si(cid:218), (cid:285)e dokona(cid:239)e(cid:258) jego aktualizacji do najnow- szej wersji. Szczegó(cid:239)ow(cid:200) instrukcj(cid:218), jak krok po kroku przeprowadzi(cid:202) aktualizacj(cid:218) pakietu SET, znajdziesz w rozdziale 4. Kiedy pakiet SET zako(cid:241)czy klonowanie wybranej witryny internetowej, mo(cid:285)e j(cid:200) uruchomi(cid:202) na w(cid:239)asnym serwerze WWW. Bardzo wa(cid:285)nym elementem ataku jest przekonanie u(cid:285)ytkownika b(cid:218)d(cid:200)cego celem, aby po(cid:239)(cid:200)czy(cid:239) si(cid:218) z kopi(cid:200) witryny dzia(cid:239)aj(cid:200)c(cid:200) na Twoim w(cid:239)asnym serwerze. Oznacza to, (cid:285)e do ataków na cele w internecie b(cid:218)dziesz musia(cid:239) u(cid:285)y(cid:202) maszyny posiadaj(cid:200)cej publiczny adres IP. Oprócz tego b(cid:218)dziesz musia(cid:239) utworzy(cid:202) odpowiednie regu(cid:239)y dla zapory sieciowej, tak aby zdalni u(cid:285)ytkownicy mogli si(cid:218) po(cid:239)(cid:200)czy(cid:202) z ze- wn(cid:200)trz z Twoim serwerem. Po zako(cid:241)czeniu konfiguracji ustawie(cid:241) adresów IP i regu(cid:239) zapory sieciowej nadszed(cid:239) czas na uruchomienie pakietu SET. Tym razem pakietu SET b(cid:218)dziemy u(cid:285)ywa(cid:202) do przechwytywania i zbierania hase(cid:239) dost(cid:218)pu. Jak pami(cid:218)tasz, SET posiada mechanizmy pozwalaj(cid:200)ce na sklonowanie praktycznie dowolnie wybranej witryny internetowej. W naszym przyk(cid:239)adzie wykorzystamy pakiet SET do sklonowania witryny jednego z najpopularniejszych serwisów spo(cid:239)eczno(cid:258)ciowych. Po uruchomieniu pakietu musisz za- akceptowa(cid:202) wszystkie warunki umowy licencyjnej, tak jak zaprezentowano na rysunku na na- st(cid:218)pnej stronie. Po uruchomieniu pakietu SET warto od czasu do czasu wybra(cid:202) z menu g(cid:239)ównego opcj(cid:218) 5) Update the Social-Engineer Toolkit, która sprawdzi, czy korzystasz z najnowszej wersji pakietu. Je(cid:285)eli oka(cid:285)e si(cid:218), (cid:285)e nie, zostan(cid:200) zainstalowane odpowiednie aktualizacje. Je(cid:285)eli po wybraniu tej opcji wy(cid:258)wietli si(cid:218) komuni- kat o b(cid:239)(cid:218)dzie, informuj(cid:200)cy, (cid:285)e repozytoria GIT nie istniej(cid:200), to prawdopodobnie pakiet GIT nie jest zainstalowa- ny lub zosta(cid:239) zainstalowany niepoprawnie (zawsze istnieje równie(cid:285) ryzyko, (cid:285)e co(cid:258) si(cid:218) zmieni(cid:239)o w ca(cid:239)ej procedurze od czasu, kiedy powstawa(cid:239)a ta ksi(cid:200)(cid:285)ka). Wi(cid:218)cej szczegó(cid:239)owych informacji i wskazówek na temat u(cid:285)ytkowania pakietu SET w systemie Kali Linux znajdziesz na blogach autorów ksi(cid:200)(cid:285)ki, Amira Lakhaniego (zobacz stron(cid:218) http://www.DrChaos.com) lub Josepha Muniza (zobacz stron(cid:218) http://www.thesecurity (cid:180)blogger.com). 250 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW 1. Gdy zako(cid:241)czy si(cid:218) aktualizacja pakietu SET do najnowszej wersji, z menu g(cid:239)ównego wybierz opcj(cid:218) 1) Social-Engineering Attacks. 2. Teraz wybierz opcj(cid:218) 2) Website Attack Vectors. 3. Wybierz opcj(cid:218) 3) Credential Harvester Attack Method. Do wyboru masz teraz kilka opcji okre(cid:258)laj(cid:200)cych sposób klonowania wybranej witryny. Pakiet SET posiada swoje w(cid:239)asne, wbudowane szablony dla popularnych witryn, takich jak Facebook czy Gmail. Czasami u(cid:285)ycie szablonu nie jest najlepszym rozwi(cid:200)zaniem, aczkolwiek na pocz(cid:200)tek powinno w zupe(cid:239)no(cid:258)ci wystarczy(cid:202). Je(cid:285)eli zamiast szablonu chcesz u(cid:285)y(cid:202) kopii wybranej witry- ny internetowej, musisz poda(cid:202) jej adres URL — pakiet SET rozpocznie proces klonowania. Je(cid:285)eli posiadasz ju(cid:285) wykonan(cid:200) wcze(cid:258)niej kopi(cid:218) witryny lub samodzielnie utworzy(cid:239)e(cid:258) odpowiednie pliki HTML, mo(cid:285)esz wybra(cid:202) opcj(cid:218) 3) Custom Import. Po wybraniu tej opcji b(cid:218)dziesz móg(cid:239) wskaza(cid:202) lokalizacj(cid:218) plików HTML, których chcesz u(cid:285)y(cid:202). W naszym przyk(cid:239)adzie u(cid:285)yjemy gotowych szablonów witryn internetowych. Pakiet SET poprosi o podanie adresu IP, na którym b(cid:218)dzie nas(cid:239)uchiwa(cid:239) nadchodz(cid:200)cych (cid:285)(cid:200)da(cid:241) — w tym przypadku b(cid:218)dzie to adres IP interfejsu sieciowego naszego systemu Kali Linux. Wyj(cid:200)tkiem od tej regu(cid:239)y mo(cid:285)e by(cid:202) sytuacja, kiedy wykorzystujesz us(cid:239)ug(cid:218) NAT zapory sieciowej. W takim przypadku zamiast lokalnego adresu IP systemu Kali Linux powiniene(cid:258) u(cid:285)y(cid:202) publicznego adresu IP hosta us(cid:239)ugi NAT, tak aby klienty z zewn(cid:200)trz mog(cid:239)y (cid:239)(cid:200)czy(cid:202) si(cid:218) z Twoim systemem. W naszym przy- k(cid:239)adzie u(cid:285)yjemy adresu IP interfejsu p(cid:218)tli zwrotnej, 127.0.0.1. 251 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne Kiedy zdefiniujesz adres IP, pakiet SET poprosi Ci(cid:218) o wybranie szablonu. W naszym przy- padku wybierzemy opcj(cid:218) Facebook. Na kolejnym rysunku przedstawiono okno przegl(cid:200)darki po(cid:239)(cid:200)czonej z serwerem o adresie 127.0.0.1 i wy(cid:258)wietlaj(cid:200)cej nasz(cid:200) fa(cid:239)szyw(cid:200) stron(cid:218) portalu Facebook. Je(cid:285)eli wy(cid:258)wietlona strona nie wygl(cid:200)da przekonuj(cid:200)co, mo(cid:285)esz u(cid:285)y(cid:202) innego szablonu albo po prostu sklonowa(cid:202) aktualn(cid:200) wersj(cid:218) (cid:285)(cid:200)danej strony. Zwró(cid:202) uwag(cid:218), (cid:285)e w pasku adresu przegl(cid:200)darki wy(cid:258)wietlany jest adres 127.0.0.1. W wi(cid:218)kszo(cid:258)ci przypadków b(cid:218)dziesz musia(cid:239) jednak u(cid:285)y(cid:202) nieco bardziej wyrafinowanych wektorów ataku, aby przekona(cid:202) u(cid:285)ytkowników do odwiedzenia Twojej spreparowanej strony internetowej. Mo(cid:285)esz to zrobi(cid:202) na wiele sposobów, na przyk(cid:239)ad poprzez rozsy(cid:239)anie do u(cid:285)ytkowników poczt(cid:200) elektroniczn(cid:200) specjalnie przygotowanej wiadomo(cid:258)ci, zawieraj(cid:200)cej (cid:239)(cid:200)cze do Twojej spreparowanej witryny internetowej (zobacz pierwszy rysunek na nast(cid:218)pnej stronie). Kiedy u(cid:285)ytkownik rozpocznie wpisywanie nazwy konta i has(cid:239)a dost(cid:218)pu na naszej fa(cid:239)szywej stronie udaj(cid:200)cej witryn(cid:218) Facebook, pakiet SET przechwyci ca(cid:239)y zwi(cid:200)zany z tym ruch sieciowy i nast(cid:218)pnie przekieruje u(cid:285)ytkownika do prawdziwej witryny internetowej. Istnieje bardzo du- (cid:285)a szansa na to, (cid:285)e po takim przekierowaniu u(cid:285)ytkownik b(cid:218)dzie przekonany, (cid:285)e po prostu po- myli(cid:239) si(cid:218) podczas wpisywania has(cid:239)a, i zaloguje si(cid:218) jeszcze raz, nie maj(cid:200)c (cid:258)wiadomo(cid:258)ci, (cid:285)e „po drodze” pakiet SET przechwyci(cid:239) nazw(cid:218) jego konta i has(cid:239)o dost(cid:218)pu (zobacz drugi rysunek na nast(cid:218)pnej stronie). Jak wida(cid:202) na powy(cid:285)szym rysunku, pakiet SET przechwyci(cid:239) nazw(cid:218) naszego konta u(cid:285)ytkownika, DrChaos, i nasze has(cid:239)o dost(cid:218)pu, ILoveKali. 252 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW Po zako(cid:241)czeniu tego (cid:202)wiczenia u(cid:285)yj kombinacji klawiszy Ctrl+C, aby zako(cid:241)czy(cid:202) prac(cid:218) programu SET i wygenerowa(cid:202) raport w formacie HTML. SET generuje profesjonalnie wygl(cid:200)daj(cid:200)cy ra- port, którego mo(cid:285)esz z powodzeniem u(cid:285)y(cid:202) podczas tworzenia raportu ko(cid:241)cowego z przepro- wadzonego testu penetracyjnego. 253 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne Fimap Fimap to narz(cid:218)dzie napisane w j(cid:218)zyku Python, przeznaczone do wyszukiwania i wykorzysty- wania podatno(cid:258)ci i luk w zabezpieczeniach aplikacji internetowych, pozwalaj(cid:200)cych na przeprowa- dzanie ataków typu LFI (ang. Local File Inclusion) lub RFI (ang. Remote File Inclusion). Aby uruchomi(cid:202) pakiet Fimap w systemie Kali Linux, przejd(cid:283) do grupy Kali Linux, a nast(cid:218)pnie wybierz polecenie Web Applications/Web Vulnerability Scanners/fimap. Po wybraniu tego polecenia na ekranie pojawi si(cid:218) nowe okno terminala z wy(cid:258)wietlonym ekranem powitalnym polecenia fimap. Dla pakietu fimap istnieje równie(cid:285) kilka dodatkowych wtyczek, które mo(cid:285)esz pobra(cid:202) z internetu i zainstalowa(cid:202) za pomoc(cid:200) nast(cid:218)puj(cid:200)cego polecenia: fimap --install -plugins Dost(cid:218)pne wtyczki zostan(cid:200) wy(cid:258)wietlone w formie listy, z opcj(cid:200) pozwalaj(cid:200)c(cid:200) na zainstalowanie wybranej wtyczki lub zako(cid:241)czenie dzia(cid:239)ania polecenia. Jak wida(cid:202), w naszym przyk(cid:239)adzie do- st(cid:218)pne s(cid:200) dwie dodatkowe wtyczki, st(cid:200)d polecenie instalowania musimy wykona(cid:202) dwukrotnie, indywidualnie instaluj(cid:200)c poszczególne wtyczki (zobacz pierwszy rysunek na nast(cid:218)pnej stronie). Aby u(cid:285)y(cid:202) pakietu Fimap, musisz najpierw poda(cid:202) adres URL witryny, która b(cid:218)dzie celem skanera. Istnieje wiele metod definiowania adresów URL. Mo(cid:285)esz na przyk(cid:239)ad poda(cid:202) jeden wybrany adres URL, ca(cid:239)(cid:200) list(cid:218) adresów URL, mo(cid:285)esz u(cid:285)y(cid:202) wyszukiwarki Google do zebrania adresów URL, 254 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW ale równie dobrze mo(cid:285)esz u(cid:285)y(cid:202) innych metod, takich jak zbieranie wszystkich adresów URL z hiper(cid:239)(cid:200)czy zamieszczonych na danej stronie internetowej czy pozyskiwanie adresów URL z for- mularzy i nag(cid:239)ówków stron. W naszym przypadku celem skanera b(cid:218)dzie witryna http://www. thesecurityblogger.com/. Aby uruchomi(cid:202) skanowanie witryny http://www.thesecurityblogger.com, powiniene(cid:258) wpisa(cid:202) nast(cid:218)puj(cid:200)ce polecenie: fimap -u http://wwwthesecurityblogger.com Pakiet Fimap rozpocznie skanowanie i spróbuje automatycznie wykry(cid:202) podatno(cid:258)ci na ataki typu LFI/RFI. Na rysunku przedstawionym poni(cid:285)ej wida(cid:202) jednak, (cid:285)e witryna www.thesecurity (cid:180)blogger.com jest odporna na tego typu ataki. Ataki typu DoS W zdecydowanej wi(cid:218)kszo(cid:258)ci przypadków celem przeprowadzania testów penetracyjnych jest identyfikacja potencjalnych i rzeczywistych podatno(cid:258)ci i luk w zabezpieczeniach bez umy(cid:258)l- nego zak(cid:239)ócania dzia(cid:239)ania atakowanego systemu i bez robienia mu krzywdy w jakikolwiek in- ny sposób. Jest to kluczowy element odró(cid:285)niaj(cid:200)cy autoryzowanego pentestera od z(cid:239)o(cid:258)liwego napastnika, maj(cid:200)cego niecne zamiary. Prawdziwy napastnik nie przestrzega (cid:285)adnych regu(cid:239) 255 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne i nie zwraca uwagi na to, czy jego dzia(cid:239)ania spowoduj(cid:200) zak(cid:239)ócenia w funkcjonowaniu atako- wanego systemu, je(cid:285)eli tylko takie post(cid:218)powanie b(cid:218)dzie dla niego korzystne. Czasami zdarza si(cid:218) nawet, (cid:285)e napastnik b(cid:218)dzie wr(cid:218)cz za wszelk(cid:200) cen(cid:218) szuka(cid:239) mo(cid:285)liwo(cid:258)ci zak(cid:239)ócenia dzia(cid:239)ania czy nawet ca(cid:239)kowitego wy(cid:239)(cid:200)czenia atakowanego systemu. Z tego powodu w niektórych przypad- kach przeprowadzenie testów odporno(cid:258)ci danej witryny czy aplikacji internetowej na ataki typu DoS (ang. Denial of Service) mo(cid:285)e by(cid:202) bardzo po(cid:285)(cid:200)dane. Testy tego rodzaju cz(cid:218)sto s(cid:200) nazywane testami warunków skrajnych lub testami odporno(cid:258)ci na przeci(cid:200)(cid:285)enie systemu (ang. stress testing). Jedn(cid:200) z najwa(cid:285)niejszych spraw zwi(cid:200)zanych z testami odporno(cid:258)ci na ataki typu DoS jest bezwzgl(cid:218)dne uzyska- nie pisemnej zgody w(cid:239)a(cid:258)ciciela systemu na przeprowadzanie takich ataków. Niektóre metody ataków mog(cid:200) mie(cid:202) negatywny wp(cid:239)yw na funkcjonowanie systemu nawet po zako(cid:241)czeniu testów. Dobrym roz- wi(cid:200)zaniem jest przeprowadzanie takich testów na systemach z redundancj(cid:200), systemach nieprodukcyj- nych czy systemach zainstalowanych w (cid:258)rodowisku laboratoryjnym, o ile to oczywi(cid:258)cie mo(cid:285)liwe. Najcz(cid:218)(cid:258)ciej spotykana metoda ataku DoS polega na „zalewaniu” badanego systemu masowo nap(cid:239)ywaj(cid:200)cymi z zewn(cid:200)trz (cid:285)(cid:200)daniami. Takie przeci(cid:200)(cid:285)enie zazwyczaj skutecznie uniemo(cid:285)liwia systemowi odpowiadanie na rzeczywiste (cid:285)(cid:200)dania od autoryzowanych klientów lub co najmniej tak spowalnia wysy(cid:239)anie odpowiedzi, (cid:285)e ca(cid:239)y system staje si(cid:218) dla klientów praktycznie bezu- (cid:285)yteczny. Ataki typu DoS mog(cid:200) by(cid:202) skierowane na zasoby systemu (np. przypisana przestrze(cid:241) dyskowa, przepustowo(cid:258)(cid:202) po(cid:239)(cid:200)cze(cid:241) sieciowych itd.), konfiguracj(cid:218) systemu (np. usuwanie tablic routingu), informacje o stanie systemu (np. resetowanie sesji TCP) oraz ka(cid:285)dy inny element (cid:258)rodowiska systemu, którego przeci(cid:200)(cid:285)enie mo(cid:285)e spowodowa(cid:202) zak(cid:239)ócenie jego normalnego funkcjonowania. Ró(cid:285)nica pomi(cid:218)dzy atakami DoS (ang. Denial of Service) a DDoS (ang. Distributed Denial of Service) polega na tym, (cid:285)e do przeprowadzania ataku DoS napastnik wykorzystuje tylko jeden komputer, podczas gdy w przy- padku ataków DDoS liczba maszyn bior(cid:200)cych udzia(cid:239) w ataku mo(cid:285)e si(cid:218)ga(cid:202) tysi(cid:218)cy. Omawianie zagadnie(cid:241) zwi(cid:200)zanych z atakami DDoS wykracza niestety daleko poza ramy naszej ksi(cid:200)(cid:285)ki. Istniej(cid:200) cztery g(cid:239)ówne kategorie ataków DoS/DDoS: (cid:81) Ataki wykorzystuj(cid:200)ce przeci(cid:200)(cid:285)enie po(cid:239)(cid:200)cze(cid:241) sieciowych (ang. Volume Based Attacks) — taki rodzaj ataku jest zwi(cid:200)zany z „zalewaniem” atakowanego systemu masowo nap(cid:239)ywaj(cid:200)cymi pakietami UDP, ICMP i innymi. Celem takiego ataku jest przeci(cid:200)(cid:285)enie po(cid:239)(cid:200)cze(cid:241) sieciowych atakowanego systemu nadmiernymi ilo(cid:258)ciami przesy(cid:239)anych pakietów. (cid:81) Ataki na protoko(cid:239)y komunikacyjne (ang. Protocol Attacks) — ataki te maj(cid:200) na celu nadmierne wykorzystywanie zasobów urz(cid:200)dze(cid:241) sieciowych, takich jak routery, zapory sieciowe, urz(cid:200)dzenia równowa(cid:285)(cid:200)ce obci(cid:200)(cid:285)enie po(cid:239)(cid:200)cze(cid:241) sieciowych. Przyk(cid:239)adami ataków na protoko(cid:239)y komunikacyjne s(cid:200) ataki typu SYN flood, Ping of Death, Smurf, Teardrop, wymuszanie fragmentacji pakietów itp. 256 Kup książkęPoleć książkę Rozdzia(cid:225) 6. • Ataki na aplikacje internetowe i serwery WWW (cid:81) Ataki na warstw(cid:218) aplikacji (ang. Application Layer Attacks) — takie ataki wykorzystuj(cid:200) normalny ruch sieciowy do zak(cid:239)ócenia dzia(cid:239)ania lub nawet spowodowania awarii danej witryny lub aplikacji internetowej. Przyk(cid:239)adami mog(cid:200) by(cid:202) ataki typu Zero-Day czy ataki wykorzystuj(cid:200)ce inne podatno(cid:258)ci i luki w zabezpieczeniach witryn i aplikacji internetowych. (cid:81) Ataki powoduj(cid:200)ce wyczerpanie zasobów sesji (ang. Session Exhaustion) — takie ataki powoduj(cid:200) wyczerpanie liczby dozwolonych jednocze(cid:258)nie sesji poprzez ci(cid:200)g(cid:239)e nawi(cid:200)zywanie nowych po(cid:239)(cid:200)cze(cid:241) bez zamykania starych sesji, co prowadzi do wyczerpania zasobów systemu. W systemie Kali Linux znajdziesz wiele narz(cid:218)dzi pozwalaj(cid:200)cych na wykorzystywanie podat- no(cid:258)ci i luk w zabezpieczeniach. Narz(cid:218)dzia te, na przyk(cid:239)ad Metasploit, mog(cid:200) by(cid:202) u(cid:285)ywane do przeprowadzania ataków DoS na warstw(cid:218) aplikacji (wiele z tych narz(cid:218)dzi omawiali(cid:258)my ju(cid:285) we wcze(cid:258)niejszych rozdzia(cid:239)ach). W rozdziale 3. prezentowali(cid:258)my popularne narz(cid:218)dzie Scapy, pozwalaj(cid:200)ce na przeprowadzanie ataków DoS na protoko(cid:239)y komunikacyjne. Poni(cid:285)ej znaj- dziesz omówienie kilku kolejnych narz(cid:218)dzi s(cid:239)u(cid:285)(cid:200)cych do przeprowadzania ataków DoS, które mo(cid:285)esz znale(cid:283)(cid:202) w systemie Kali Linux. Aby przetestowa(cid:202) skuteczno(cid:258)(cid:202) ataku DoS, mo(cid:285)esz u(cid:285)y(cid:202) witryny http://www.upordown.org, która sprawdza dost(cid:218)pno(cid:258)(cid:202) podanej witryny internetowej. THX-SSL-DOS Protokó(cid:239) SSL (ang. Secure Socket Layer) jest u(cid:285)ywany do nawi(cid:200)zywania bezpiecznych po(cid:239)(cid:200)- cze(cid:241) i transakcji w internecie. Nawi(cid:200)zanie bezpiecznego po(cid:239)(cid:200)czenia z wykorzystaniem proto- ko(cid:239)u SSL wymaga u(cid:285)ycia po stronie serwera 15 razy wi(cid:218)kszej mocy obliczeniowej ni(cid:285) po stro- nie klienta. Atak typu THC-SSL-DOS wykorzystuje t(cid:218) dysproporcj(cid:218) przez prób(cid:218) prze(cid:239)adowania serwera spreparowanymi (cid:285)(cid:200)daniami nawi(cid:200)zania sesji SSL a(cid:285) do momentu, kiedy przeci(cid:200)(cid:285)ony serwer si(cid:218) poddaje i przestaje odpowiada(cid:202) na (cid:285)(cid:200)dania przesy(cid:239)ane od innych, autoryzowanych klientów. Atak wykorzystuje mechanizm renegocjacji bezpiecznego po(cid:239)(cid:200)czenia SSL do gene- rowania tysi(cid:218)cy takich (cid:285)(cid:200)da(cid:241) dla pojedynczego po(cid:239)(cid:200)czenia TCP. Z tego powodu atak ten jest równie(cid:285) znany jako atak typu SSL-Exhaustion (ang. — „wyczerpanie zasobów SSL”). Zalet(cid:200) takiego podej(cid:258)cia jest to, (cid:285)e mo(cid:285)liwo(cid:258)ci przetwarzania (cid:285)(cid:200)da(cid:241) nawi(cid:200)zania sesji SSL s(cid:200) znacznie wy(cid:285)sze po stronie klienta, co oznacza, (cid:285)e przeci(cid:218)tny laptop pod(cid:239)(cid:200)czony do sieci za po(cid:258)red- nictwem (cid:239)(cid:200)cza o przeci(cid:218)tnej szybko(cid:258)ci mo(cid:285)e rzuci(cid:202) powa(cid:285)ne wyzwanie niemal ka(cid:285)demu serwero- wi aplikacji internetowych. Podatno(cid:258)(cid:202) serwerów internetowych na ataki typu SSL-Exhaustion jest powszechnie znana, a mimo to nie uda(cid:239)o si(cid:218) jeszcze opracowa(cid:202) skutecznej metody zapo- biegania takim atakom. 257 Kup książkęPoleć książkę Kali Linux. Testy penetracyjne Aby uruchomi(cid:202) pakiet THC-SSL-DOS, w menu g(cid:239)ównym systemu przejd(cid:283) do grupy Kali Linux, a nast(cid:218)pnie wybierz polecenie Stress Testing/Web Stress Testing/thc-ssl-dos. Po wybraniu pole- cenia pojawi si(cid:218) nowe okno terminala z ekranem powitalnym polecenia thc-ssl-dos. Sk(cid:239)adnia polecenia jest nast(cid:218)puj(cid:200)ca: thc-ssl-dos [opcje] adres IP ofiary port and --accept W wierszu wywo(cid:239)ania polecenia musisz umie(cid:258)ci(cid:202) opcj(cid:218) --accept, w prze
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Kali Linux. Testy penetracyjne
Autor:
,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: