Enviar pesquisa
Carregar
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
•
Transferir como PPTX, PDF
•
0 gostou
•
562 visualizações
CodeFest
Seguir
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 26
Baixar agora
Recomendados
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
Криптология в анализе защищённости
Криптология в анализе защищённости
beched
Data mining for nmap acceleration
Data mining for nmap acceleration
beched
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
Sergey Belov
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
Alexey Kachalin
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?
beched
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
beched
Recomendados
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
Криптология в анализе защищённости
Криптология в анализе защищённости
beched
Data mining for nmap acceleration
Data mining for nmap acceleration
beched
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
Sergey Belov
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
Alexey Kachalin
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?
beched
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
beched
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012
beched
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
Sergey Soldatov
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
beched
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложений
beched
Автоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)
Olesya Shelestova
RuSIEM 2016
RuSIEM 2016
Olesya Shelestova
BlackBox testing
BlackBox testing
beched
5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)
Smolensk Computer Science Club
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
Olesya Shelestova
Безопасность без антивирусов 1
Безопасность без антивирусов 1
Positive Hack Days
Профилирование кода на C/C++ в *nix системах
Профилирование кода на C/C++ в *nix системах
Aleksander Alekseev
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
SelectedPresentations
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
Dmitry Evteev
Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
KazHackStan
Buffer overflow and other software vulnerabilities: theory and practice of pr...
Buffer overflow and other software vulnerabilities: theory and practice of pr...
Roman Oliynykov
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Как устроен мониторинг в Badoo
Как устроен мониторинг в Badoo
Uptime Community
Alexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lie
DefconRussia
Mobile Device Security
Mobile Device Security
qqlan
Mais conteúdo relacionado
Mais procurados
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012
beched
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
Sergey Soldatov
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
beched
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложений
beched
Автоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)
Olesya Shelestova
RuSIEM 2016
RuSIEM 2016
Olesya Shelestova
BlackBox testing
BlackBox testing
beched
5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)
Smolensk Computer Science Club
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
Olesya Shelestova
Безопасность без антивирусов 1
Безопасность без антивирусов 1
Positive Hack Days
Профилирование кода на C/C++ в *nix системах
Профилирование кода на C/C++ в *nix системах
Aleksander Alekseev
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
SelectedPresentations
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
Dmitry Evteev
Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
KazHackStan
Buffer overflow and other software vulnerabilities: theory and practice of pr...
Buffer overflow and other software vulnerabilities: theory and practice of pr...
Roman Oliynykov
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Как устроен мониторинг в Badoo
Как устроен мониторинг в Badoo
Uptime Community
Mais procurados
(20)
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложений
Автоматизация построения правил для Approof
Автоматизация построения правил для Approof
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)
RuSIEM 2016
RuSIEM 2016
BlackBox testing
BlackBox testing
5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
Безопасность без антивирусов 1
Безопасность без антивирусов 1
Профилирование кода на C/C++ в *nix системах
Профилирование кода на C/C++ в *nix системах
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
Penetration testing (AS IS)
Penetration testing (AS IS)
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Buffer overflow and other software vulnerabilities: theory and practice of pr...
Buffer overflow and other software vulnerabilities: theory and practice of pr...
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Как устроен мониторинг в Badoo
Как устроен мониторинг в Badoo
Destaque
Alexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lie
DefconRussia
Mobile Device Security
Mobile Device Security
qqlan
Pentest requirements
Pentest requirements
Glib Pakharenko
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloud
qqlan
Avoid the Hack
Avoid the Hack
Jason Jakus
Database honeypot by design
Database honeypot by design
qqlan
Web security
Web security
Sync.NET
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow
С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?
Vadym_Chakrian
Что такое пентест
Что такое пентест
Dmitry Evteev
Wps pixie dust attack
Wps pixie dust attack
invad3rsam
#root это только начало
#root это только начало
Vlad Styran
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
yaevents
Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)
IT Club Mykolayiv
Wi Fi Security
Wi Fi Security
yousef emami
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
Угадываем пароль за минуту
Угадываем пароль за минуту
Positive Hack Days
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
qqlan
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via sms
qqlan
Destaque
(20)
Alexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lie
Mobile Device Security
Mobile Device Security
Pentest requirements
Pentest requirements
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloud
Avoid the Hack
Avoid the Hack
Database honeypot by design
Database honeypot by design
Web security
Web security
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?
Что такое пентест
Что такое пентест
Wps pixie dust attack
Wps pixie dust attack
#root это только начало
#root это только начало
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)
Wi Fi Security
Wi Fi Security
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Угадываем пароль за минуту
Угадываем пароль за минуту
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via sms
Semelhante a CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
Методологии аудита информационной безопасности
Методологии аудита информационной безопасности
Positive Hack Days
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
Alexey Kachalin
FortiSandbox
FortiSandbox
MUK Extreme
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Expolink
Обнаружение необнаруживаемого
Обнаружение необнаруживаемого
Aleksey Lukatskiy
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Expolink
OpenSource инструменты. Тестируем Web-приложения
OpenSource инструменты. Тестируем Web-приложения
lugnsk
«Тестируем веб приложения», Павел Сташевский
«Тестируем веб приложения», Павел Сташевский
DevDay
SIEM use cases - как их написать
SIEM use cases - как их написать
Olesya Shelestova
PT BlackBox Scanner
PT BlackBox Scanner
Positive Development User Group
Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2
rit2010
Как я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые пароли
Dmitry Evteev
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
Alexey Kachalin
СВЯТ ЛОГИН «Як провести penetration testing c metasploit framework» QADay 2019
СВЯТ ЛОГИН «Як провести penetration testing c metasploit framework» QADay 2019
GoQA
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Badoo Development
Безопаность SAP-систем
Безопаность SAP-систем
Alexey Kachalin
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure Analytics
TERMILAB. Интернет - лаборатория
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Denis Bezkorovayny
В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...
В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...
Expolink
penetest VS. APT
penetest VS. APT
Dmitry Evteev
Semelhante a CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
(20)
Методологии аудита информационной безопасности
Методологии аудита информационной безопасности
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
FortiSandbox
FortiSandbox
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Обнаружение необнаруживаемого
Обнаружение необнаруживаемого
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
OpenSource инструменты. Тестируем Web-приложения
OpenSource инструменты. Тестируем Web-приложения
«Тестируем веб приложения», Павел Сташевский
«Тестируем веб приложения», Павел Сташевский
SIEM use cases - как их написать
SIEM use cases - как их написать
PT BlackBox Scanner
PT BlackBox Scanner
Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2
Как я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые пароли
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
СВЯТ ЛОГИН «Як провести penetration testing c metasploit framework» QADay 2019
СВЯТ ЛОГИН «Як провести penetration testing c metasploit framework» QADay 2019
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Безопаность SAP-систем
Безопаность SAP-систем
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure Analytics
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...
В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...
penetest VS. APT
penetest VS. APT
Mais de CodeFest
Alexander Graebe
Alexander Graebe
CodeFest
Никита Прокопов
Никита Прокопов
CodeFest
Денис Баталов
Денис Баталов
CodeFest
Елена Гальцина
Елена Гальцина
CodeFest
Александр Калашников
Александр Калашников
CodeFest
Ирина Иванова
Ирина Иванова
CodeFest
Marko Berković
Marko Berković
CodeFest
Денис Кортунов
Денис Кортунов
CodeFest
Александр Зимин
Александр Зимин
CodeFest
Сергей Крапивенский
Сергей Крапивенский
CodeFest
Сергей Игнатов
Сергей Игнатов
CodeFest
Николай Крапивный
Николай Крапивный
CodeFest
Alexander Graebe
Alexander Graebe
CodeFest
Вадим Смирнов
Вадим Смирнов
CodeFest
Константин Осипов
Константин Осипов
CodeFest
Raffaele Rialdi
Raffaele Rialdi
CodeFest
Максим Пугачев
Максим Пугачев
CodeFest
Rene Groeschke
Rene Groeschke
CodeFest
Иван Бондаренко
Иван Бондаренко
CodeFest
Mete Atamel
Mete Atamel
CodeFest
Mais de CodeFest
(20)
Alexander Graebe
Alexander Graebe
Никита Прокопов
Никита Прокопов
Денис Баталов
Денис Баталов
Елена Гальцина
Елена Гальцина
Александр Калашников
Александр Калашников
Ирина Иванова
Ирина Иванова
Marko Berković
Marko Berković
Денис Кортунов
Денис Кортунов
Александр Зимин
Александр Зимин
Сергей Крапивенский
Сергей Крапивенский
Сергей Игнатов
Сергей Игнатов
Николай Крапивный
Николай Крапивный
Alexander Graebe
Alexander Graebe
Вадим Смирнов
Вадим Смирнов
Константин Осипов
Константин Осипов
Raffaele Rialdi
Raffaele Rialdi
Максим Пугачев
Максим Пугачев
Rene Groeschke
Rene Groeschke
Иван Бондаренко
Иван Бондаренко
Mete Atamel
Mete Atamel
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
1.
Пентест на стероидах. Автоматизируем
процесс Белов Сергей Penetration tester
2.
Тестирование на проникновение «Пентест»
- оценка безопасности конечного узла или ресурса средствами и методами злоумышленников
3.
Цель Автоматизировать тестирование на проникновение
сетевого ресурса по стратегии «черного ящика», получив объективные результаты, не потратив ни цента на ПО
4.
Этапы 1.Тестирование сетевых сервисов 2.Web
– Эксплойты, уязвимости – «Слабые аккаунты» – Ошибки конфигурации – Халатность
5.
6.
Часть 1. Сетевые
сервисы Armitage (nmap + msf)
7.
Armitage
8.
9.
10.
11.
12.
13.
Уязвимых приложений не
обнаружено Уязвимое приложение обнаружено, создана shell-сессия
14.
Часть 2. Web •Nikto •Skipfish •Havij •1337day.com,
exploit-db.com
15.
Nikto
16.
17.
Havij
18.
19.
Чем еще? •Монстрами для
тестирования (shareware) –MaxPatrol / XSpider –Acuentix –Nessus (OpenVAS)
20.
А еще...?
21.
22.
Идеальный случай -
«Белый ящик»
23.
Примеры
24.
Armitage->Host->Login->ftp->check all credentials
anonymous:anonymous - - - - > /var/www
25.
Другой случай
XSS, CSRF, phpmyadmin site/scripts/config.ini
26.
pwn3d! Спасибо за внимание,
вопросы? http://sergeybelove.ru sergeybelove@gmail.com belov_sv@bitworks-software.com
Baixar agora