Penetracijsko testiranje

Osnove:

• Površina napada (Attack surface)
  • Klijentski servisi (web preglednik, PDF preglednik)
  • Mrežni servisi (klasični, web)
    • Udaljena eksploatacija
    • Lokalna eksploatacija
  • Lokalni pristup

Mogući izvori napada:

• Uskraćivanje usluge
• Maliciozni kod
• Prirodne nepogode
• Tehničke pogreške
• Nemar nenamjerno
• Nemar namjerno
• Automatizirani napadi (skeneri)
• Ciljani napadi izvana
• Ciljani napad iznutra

TTP (time-to-patch):

• 48 dana za vanjske servere
• 19 dana za interne servere

Motivacija:

• DDoS
• Scanning / Exploit / Crimekit distribution
• Dump site / Phish site
• Spamming
• Bitcoin mining

Korisno:

• https://owasp.org/index.php/Main_Page
• http://www.isecom.org/research/

Auditing and Recon:

http://nmap.org/

http://www.paterva.com/web5/

http://www.google.com

https://sudreg.pravosudje.hr/

http://rgfi.fina.hr/JavnaObjava-web/jsp/prijavaKorisnika.jsp

Google hacking databases:

http://www.hackersforcharity.org/ghdb/

http://www.exploit-db.com/google-dorks/

http://www.ifac.org/sites/default/files/meetings/files/1831.pdf

Exploit Database:

http://www.exploit-db.com/

Frameworkovi:

http://www.metasploit.com/

http://www.tenable.com/products/nessus

http://www.openvas.org/

Web security:

http://cirt.net/nikto2

http://w3af.sourceforge.net/

http://sqlmap.sourceforge.net/

Pentesting methodology:

http://csrc.nist.gov/publications/PubsSPs.html

http://www.pentest-standard.org/index.php/Main_Page

http://www.isecom.org/research/osstmm.html