שאלה למי שעשה בדיקות חדירות pen testing

user32

Well-known member
מנהל
אז לקוח שלי ואני לקחנו איזו חברה לעשות בדיקות חדירות. מוצר וובי די סטנדרטי. יש כמה פרצות שאני יודע עליהן, למשל URL מסויים שחשוף החוצה ללא authentication ונועד לתת מענה לWeb Hooks של צד שלישי. בעקרון אמור להיות secret שמאשר את השולח אבל כרגע זה לא מופעל זמנית וזה פתוח לגמרי.

באופן מפתיע החברת אבטחה לא ביקשה רשימה של URL שיש לנו. כנראה שעקב כך הם גם לא עלו על זה שיש לנו end point לא מאובטח. בנוסף יש מקומות שאני חושד שאפשר להפעיל הזרקות מסויימות והם לא עלו על זה. רשימת ה"ליקויים" שהם הגישו היתה עלובה במיוחד וכללה בעיקר דברים כמו העובדה שאין לנו captcha בלוגאין ודברים כאלה (בחיים לא הייתי עולה על זה שאין לנו captcha בלוגאין. מזל שהבאנו חברת אבטחה...).
כמובן שהדו"ח היה מלא בשטויות כמו "תקציב מנהלים" ושאר ציטוטי בולשיט שאמורים להצדיק את המחיר ששילמנו להם.

מנסיון עם חברות אחרות היה לי רושם יותר מקצועי. בתור התחלה הם ביקשו המון מידע על הend points השונים שיש לנו, ואיזה input כל סרביס מצפה לקבל. הגיוני אם רוצים לחקור אותם.

מה דעתכם? לפני שאת טופח לעצמי על השכם על הפיתוח המושלם שלי שאין בו פרצות, אני תוהה אם אני צריך לבאס את הלקוח ולהגיד לו שהבדיקה לא רצינית.
 

BravoMan

Active member
יצא לי לעבור את זה.
אומנם אצלנו הרמה של החברה היית קצת יותר גבוהה ממה שאתה מתאר, אבל עדיין נראה כי בעיקר הריצו כלים סטנדרטיים, בלי להבין או להתעמק במהות המערכת, מה שמצד אחד יצר דיווח על דברים לא רלוונטיים ומצד שני כנראה פספס דברים שכן היו רלוונטיים.

בסה"כ, יכולנו כנראה לעשות את כל העבודה בעצמנו עם כלים מוכנים, פתוחים, וזמינים, ואולי אפילו היה יוצא יותר טוב.

אז דעתי:
אם יש פרצות שאתה מודע להן, או חושד שהן שם אבל לא בטוח, תבדוק בעצמך!
לא חסר ערכות מוכנות, כמו Kali Linux או Metasploit, שעבור מישהו עם ידע כמו שלך, לא יהיה מסובך להפעיל ולקבל תוצאות שכנראה יהיו טובות משמעותית ממה שקיבלת בדוח של אותה חברה.

לפעמים, בארגונים גדולים מה שמחפשים באמת זו "חותמת גומי", ואז דוח של "חברת אבטחה" אכן מהווה חותמת כזו, להתגונן באמת זה לא תמיד עוזר...
 

user32

Well-known member
מנהל
בדיוק מה שתיארת בראוו. אנחנו מתקנים בעצמינו פרצות או חשדות לפרצות אפשריות שאנחנו מכירים וגם מריצים כלים לפי מה שנראה לנו, מתייחסים לחבילות לא מעודכנות, חולשות בקוד וכו'.
אבל לקוחות כמובן דורשים "חותמת גומי" בצדק מסויים ויש כאלה שאפילו דרשו לקבל את הדו"ח.
פשוט מנסיון קודם, יש חברות שנתנו דוחות הרבה יותר טובים, וכמו שאמרתי ביקשו רשימה של כל הend points והריצו בדיקות על כל אחד ובאמת מצאו פה ושם דברים שפספסנו. פה זה היה נראה לי חפיף ברמה מוגזמת. מצד שני, הקודמים עלו 20-25K ש"ח וזה עלה 8000 ואולי זה ההבדל. אני לא מספיק מעורב בתהליך כדי לדעת מה בדיוק סגרו איתם, כנראה את המינימום ההכרחי כדי שהלקוחות יגידו "עבר מבחני חדירות". בעיניי כל הטקס הזה מגוחך.
 

BravoMan

Active member
אני לא נמצא במקום בארגון שלי שאני יכול לדעת כמה עולות הבדיקות האלה או אלו אפשרויות בדיקה יש, באלו מחירים וכו'.

אני רק זה שצריך בסוף לעבור על הדו"ח ולתת חוות דעת טכנית על מה שמצאו ואיך מטפלים בזה.
אם זאת, קרה מקרה מצחיק בפעם אחרונה שעשו לנו בדיקה כזו: לא קיבלנו התראה מראש, ופתאום אחד המפתחים שלי אומר "יש ערכים מוזרים ב-DB של QA, לא כדאי לבדוק את זה?"

אז מסתבר שעשו בדיקה, כמו אצלך "Gery Box" - פעם ראשונה שנתקלתי במונח הספציפי הזה.
התחושה שלי היא שהמשמעות האמתית שלו היא "אנחנו נבדוק את מה שקל".

לא אפרט יותר מידי, אבל הסיפור המצחיק שיצא מהבדיקות האלה, הוא שגיליתי באג בקוד, שחמק הן מ-QA והן מקוד רוויו.
הבאג עצמו לא היווה פרצת אבטחה, ובגלל זה גם לא הופיע בדו"ח של חברת האבטחה, אבל זה בהחלט משהו שהיינו צריכים לתקן.
על הדרך, הבאג הזה לימד אותי שמי שעשה את בדיקות החדירה בצד שרת, משום מה לא טרח לבדוק איזו מערכת הפעלה רצה על השרת, והפעיל כלים שחיפשו פרצות של מערכת הפעלה אחרת.

האם בוצעה גם הרצה של כלים שמכוונים לאותה פלטפורמה?
אין לי שמץ...
 

קלייטון.ש

Well-known member
קיבלת דוח מה הם בדקו ולמה?
בבדיקות אבטחה "קופסה שחורה" לא מבקשים פרטים על המערכת מהיוצרים שלה, אלא מתנפלים עליה בצורה עיוורת, וזו למעשה דרך התקיפה הנפוצה באינטרנט. אבל יש הרבה פרטים לבדוק וצריך ידע עדכני ביותר, ברמה של מה התחדש היום בבוקר, על החולשות הקיימות ברכיבים שהמערכת משתמשת בהם (או אפשר להניח שהיא משתמשת).
בבדיקות "קופסה לבנה" כן מבקשים פרטים, כולל קוד מקור. וחוקרים את המפתחים על הקוד ועל הטכניקות בהם נקטו.
השאלה איזה בדיקות הזמנתם, ומה הבודקים עשו. איזה רכיבים הם בדקו - בין שאתם אמרתם להם שיש לכם ובין שהם בדקו בכל מקרה - באילו כלים הם השתמשו, איזה חולשות ידועות הם חיפשו, וכן הלאה.
בלי לראות כזה דוח אי אפשר לדעת אם הבדיקה היתה רצינית ואם עברה חלק כי המערכת שלכם טובה או כי לא בוצעו מספיק בדיקות.
 

user32

Well-known member
מנהל
בדו"ח שלהם כתוב בדיקות Gray Box. הם גם ביקשו משתמשים מסוגי הרשאות שונים (אדמין, קריאה וכו').
 

קלייטון.ש

Well-known member
בדו"ח שלהם כתוב בדיקות Gray Box. הם גם ביקשו משתמשים מסוגי הרשאות שונים (אדמין, קריאה וכו').
ואז מה? איזה בדיקות הריצו?
נאמר שנכנסו עם הרשאות משתמש רגיל ויש להם גישה מורשית לשירותים. ביצעו נסיונות להזרקת SQL? איזה ניסיונות? ביצעו fuzzing על פרמטרים? לאיזה פרמטרים? ניסו לשחק עם העוגיות, אולי יצליחו לשנות עוגיה כך שיקבלו הרשאות אדמין?
נגיד שיש להם גישה לטופס שמעלה קבצים. בדקו אם אפשר להעלות לנתיב ידוע קובץ סקריפט שניתן להרצה? בדקו אם ניתן להגיע דרך פרמטרים לקבצים של המערכת?
יש הרבה מה לבדוק בכל סוגי הבדיקות.
תלוי איזו עבודה הוזמנה מהם, ומה בדיוק הם בדקו, אילו חלקים של המערכת הם תקפו, איזה תוקף הם דימו (למשל תוקף ג'נרי או APT) וכן הלאה.
אם הוזמנה עבודה בסיסית לבדוק שתוקף עם מוטיבציה נמוכה לא יצליח לחדור לגמרי בקלות אלא יצטרך לעבוד קצת, ועשו בדיקות בהתאם ועברתם, אז זה דבר אחד. אתם מוגנים בפני איום בסיסי מסויים.
אם הוזמנה עבודה יותר מעמיקה שתוקף עם יותר חשק ויותר זמן לא יצליח לחדור, אז צריך לעשות הרבה יותר בדיקות, ואם לא נעשו ובגלל זה עברתם, זה דבר אחר.
הם צריכים לפרט מה בדקו ומה עשו בדיוק, אחד לאחד. רק ככה אפשר לדעת אם הבדיקה היתה טובה.
ורק ככה אפשר לדעת אם הם בכלל יודעים מה הם עושים.
 
למעלה