Информационная безопасность

Методология пентеста

2020 год. SolarWinds Orion. 18 000 организаций, включая Microsoft, FireEye, 9 департаментов правительства США. APT29 провела 9 месяцев в сети перед обнаружением. Атака начиналась с той же точки, с которой начинается пентест: тихая разведка, скрытое сканирование, точечная эксплуатация. Разница - намерение и разрешение.

  • SolarWinds 2020: 9 месяцев незамеченного присутствия - стандартный пентест занимает 1-2 недели для аналогичного coverage
  • Equifax 2017: уязвимость Apache Struts известна 2 месяца до взлома. Пентест за неделю до взлома нашёл бы её за часы
  • Cobalt 2023: средний пентест находит 5.5 критических уязвимостей в enterprise системах

Разведка: passive и active recon

2020 год. SolarWinds. APT29 потратила 9 месяцев на разведку перед первым подозрительным действием. OSINT по сотрудникам LinkedIn, анализ GitHub репозиториев, изучение CI/CD процессов. Профессиональный пентест начинается так же - разведка до первого пакета в сеть цели. Passive recon не оставляет следов в логах цели.

theHarvester собирает email адреса и имена сотрудников из публичных источников. Email формат company -> credential stuffing вектор. GitHub Search 'target.com api_key' находит leaked credentials в публичных репо.

Пентестер изучает target.com. Какой инструмент НЕ оставит следов в логах цели?

Сканирование: порты, сервисы, уязвимости

2014 год. HeartBleed. Cloudflare опубликовала результаты сканирования: 17% HTTPS серверов уязвимы. Один CVE, один публичный скан за 24 часа - полная картина интернета. Scanning фаза пентеста даёт ту же картину для конкретной цели: открытые порты, версии сервисов, известные уязвимости.

Aggressive scanning (-T5, большое количество запросов) часто триггерит IDS/WAF и блокировку IP. В реальном пентесте согласовывать с заказчиком: разрешён ли DoS-level трафик или только осторожный скан.

Nmap обнаружил Apache 2.4.49. Что должен сделать пентестер следующим?

Эксплуатация: от уязвимости к доступу

2021 год. Log4Shell (CVE-2021-44228). CVSS 10.0. Proof-of-concept опубликован через 12 часов после раскрытия. Пентестеры по всему миру немедленно интегрировали его в тесты. Эксплуатация - контролируемое воспроизведение атаки в рамках разрешённого scope. Цель: доказать реальное влияние, не просто наличие уязвимости.

Правило пентестера: минимально необходимый impact для доказательства. Читать /etc/passwd достаточно для доказательства file read. Удалять файлы или шифровать данные - за пределами scope. Документировать каждый шаг с timestamp для отчёта.

Пентестер нашёл Log4Shell в production. Как правильно доказать уязвимость?

Отчётность: от находок к действиям

Пентест без отчёта - потраченное время. Отчёт - единственный deliverable для клиента. 2023 год. Cobalt анализ 3200 пентест отчётов: средняя находка - 5.5 уязвимостей на engagement, топ-3 - XSS, broken access control, SQL Injection. Хороший отчёт содержит: executive summary для CISO (без технических деталей), технический раздел для инженеров, CVSS оценки, remediation план с приоритетами.

CVSS score без контекста misleading. SQL Injection на внутреннем dev сервере (не интернет) - CVSS 9.8 но реальный риск ниже. Всегда указывать exploitability контекст: интернет-доступность, аутентификация требуется, complexity эксплуатации.

Пентест - это взлом системы как можно глубже

Пентест - контролируемая проверка в рамках согласованного scope с минимальным impact для доказательства уязвимостей

Выход за scope создаёт юридические риски. Минимальный impact - профессиональная норма. Цель - улучшить безопасность, не продемонстрировать технические возможности пентестера.

Пентест нашёл XSS на странице профиля (требует логин). CVSS base score 6.1. Как правильно оценить реальный риск?

Итоги

  • Recon: passive (без следов) -> active. OSINT, Certificate Transparency, Shodan дают полную картину периметра
  • Scanning: nmap для портов и версий, nuclei для CVE-шаблонов. Stealth vs aggressive - зависит от scope
  • Exploitation: минимально необходимый impact для доказательства. DNS callback достаточно для Log4Shell
  • Reporting: executive summary (бизнес-риск) + технический раздел (CVSS, PoC, remediation). Без отчёта пентест не имеет ценности

Связанные темы

Методология пентеста объединяет все технические знания в структурированный процесс:

  • SQL Injection — Типичный вектор эксплуатации в фазе exploitation
  • Инструменты пентеста — Nmap, Burp, Metasploit реализуют каждую фазу методологии
  • Red Team vs Blue Team — Red Team использует полную методологию для adversary emulation

Вопросы для размышления

  • Что входит в scope пентеста и как это влияет на разрешённые действия?
  • Почему passive recon предпочтительнее active на начальном этапе?
  • Как описать бизнес-impact SQL Injection для CISO без технических деталей?

Связанные уроки

  • sec-07 — SQL Injection - типичный вектор эксплуатации
  • sec-30 — Инструменты Nmap/Burp/Metasploit реализуют эти фазы
  • sec-31 — Red Team использует полную методологию пентеста
  • net-01-intro
Методология пентеста

0

1

Войти