Essendo una persona che contratta i pen-tester più di me che agisco come un pen-tester, quello che cerco è che tu abbia fatto più che eseguire Nessus / ZAP / Burp: posso farlo da solo fallo anche tu). Mi aspetto che guardi i flussi di dati nell'app / nel sito Web e cerchi quei thread sciolti che indicano che c'è un errore logico che potrebbe essere sfruttabile. Mi aspetto che tu sia in grado di dirmi cosa puoi raccogliere dall'esterno, che tu possa dirmi cose che causano preoccupazione che non è stato possibile trovare con una scansione.

Sto cercando indicazioni che hai esaminato, ad esempio, le schermate di reimpostazione della password e hai considerato se il flusso è sfruttabile. Voglio vedere che hai considerato se le informazioni privilegiate sono disponibili per gli utenti non privilegiati (ad esempio, l'app utilizza semplicemente CSS per nasconderla o qualcosa di simile).

Idealmente, ho fatto il roba facile prima che ti contragga: ho fatto la scansione, ho fatto le toppe e ho raccolto tutti i frutti a pelo basso. Assumo un tester di penna per le cose difficili.

Davvero, se non riesci a gestire un exploit, voglio vedere che hai consumato le unghie grattandoti all'esterno alla ricerca di una crepa.

Lo sfruttamento di successo è un requisito per il lavoro di test di penna?

Seguendo una definizione rigorosa di test di penetrazione, devi attaccare effettivamente il sistema di destinazione e tenere un registro dei tuoi tentativi riusciti e falliti. Non è sufficiente concludere semplicemente che un server dovrebbe essere vulnerabile perché i tuoi strumenti di rilevamento delle impronte hanno rivelato una versione software obsoleta. Stai assumendo esplicitamente il punto di vista di un aggressore e devi dimostrare come è possibile penetrare il sistema.

Il documento sul Penetration Testing SANS fa la seguente distinzione (sebbene le definizioni variano):

Pen-Testing vs Vulnerability Assessment

[C'è] spesso una certa confusione tra penetration test e vulnerability assessment. I due termini sono correlati, ma il test di penetrazione pone maggiormente l'accento sull'ottenere il maggior numero di accessi possibile, mentre il test di vulnerabilità pone l'accento sull'identificazione delle aree vulnerabili ad un attacco informatico. [...] Un valutatore di vulnerabilità si fermerà appena prima di compromettere un sistema, mentre un penetration tester si spinge il più lontano possibile nell'ambito del contratto.

Detto questo, il tuo cliente medio probabilmente non è a conoscenza di questa distinzione e forse non vuole che tu passi troppo tempo andando "il più lontano possibile". Potrebbe essere più importante per loro ricevere istruzioni chiare su ciò che deve essere corretto esattamente piuttosto che ottenere un elenco di tutte le shell di root. Dovrai scoprire in anticipo cosa vogliono effettivamente ottenere permettendoti di testare il sistema. Il tuo cliente deve essere consapevole del fatto che un penetration test non equivale a una valutazione completa della sicurezza.

Immagino che dipenda da ciò che hai incaricato di trovare e dall'ambito del lavoro. Alcuni test di penna che ho fatto volevano solo vedere i risultati teorici, altri volevano che irrompessi effettivamente e creassi un po 'di caos. Il test della penna è difficile solo per coloro che non lo apprezzano veramente. Diventa creativo, divertiti ... ma rimani nell'ambito. ;)

Mettiamola in questo modo: a meno che lo sviluppatore dell'applicazione sotto test non sia esso stesso un esperto di sicurezza, allora mi aspetto assolutamente che tu trovi almeno qualche exploit. Sarei molto infelice se non trovassi nulla, perché nella mia esperienza il tuo sviluppatore medio non ha una conoscenza abbastanza approfondita dei problemi di sicurezza per essere in grado di evitare tutti i possibili buchi dal get- vai.

Tieni presente che revocherei la restrizione "security by obscurity" per il tuo test. Cioè, avresti accesso alla macchina (shell, ecc.) O anche al codice sorgente per acquisire conoscenze sull'applicazione. Ovviamente la tua penetrazione deve funzionare senza, proprio come quella di un vero attaccante.

È davvero difficile definire la qualità del pentest eseguito e qualsiasi cosa può essere un risultato soddisfacente. Dipende davvero dal sistema. Se il pentest viene eseguito su un sistema o un sito Web relativamente semplice, è molto probabile che non ci saranno risultati ad alto rischio.

Inoltre, anche se sono molto esperti, potrebbero non avere abbastanza tempo per sfruttare il sistema e mostrare un proof-of-concept. Devono dare la priorità al pentest per coprire tutte le aree incluse nel contratto.

Supponiamo che pentester scopra un'iniezione SQL o un software vulnerabile (in base al numero di versione). È sicuramente utile provare a sfruttare e mostrare la vulnerabilità per un cliente, ma potrebbe essere molto difficile sfruttarlo e spesso non avrebbe senso spendere la maggior parte del tempo pentest pianificato per produrre una prova di concetto per una singola vulnerabilità .

Pentester che mostra che una specifica versione del software è vulnerabile in base ai CVE, o pentester che mostra l'output di errori SQL in base all'input dell'utente dovrebbe essere una ragione sufficiente per un client per applicare patch e correggere i propri sistemi.

Questa è una buona domanda perché penso che molti posti si avvicinino al test della penna in modo errato. Questo è peggiorato anche perché il livello esecutivo di molte organizzazioni tende a credere che il test della penna sia un proiettile d'argento: se hai un test apen ei risultati mostrano che non c'è stata penetrazione con successo di un sistema, allora la tua sicurezza è OK e possiamo spuntare tutti quella scatola. D'altra parte, se il pen test fallisce, il team di sicurezza non sta facendo il proprio lavoro, semplicemente non è così.

Un pen test è solo uno strumento che può essere utilizzato per valutare l'efficacia dei tuoi controlli di sicurezza. Non ti dice che tutti i tuoi sistemi sono protetti e il livello di fiducia che puoi riporre in quel pen test dipende in larga misura dalle abilità del pen tester e da quanto bene hai specificato e pianificato il test. La cosa peggiore che puoi fare è semplicemente chiamare una società di sicurezza e dire "Ciao, voglio un test di penna, quando puoi farlo". Prima di coinvolgere apen tester, è necessario avere un'idea chiara di cosa ci si aspetta dal pen test, quali sono le proprie priorità e quali informazioni si desidera nel report finale. Vuoi anche contattare più di un fornitore. Quello che stai cercando è qualcuno che sia in grado di dimostrare di avere le giuste competenze, che possa comprendere le tue esigenze e che sia in grado di fornirti un risultato che possa aiutarti a migliorare il tuo atteggiamento di sicurezza. Un pen test non dovrebbe essere pensato come un "test" nel senso di superato o fallito. In sostanza, è necessario avere una chiara comprensione prima del test di ciò che i voti sono assegnati e al completamento del test, avere dettagli e informazioni sufficienti per aiutarti a concentrarti su come ottenere un voto migliore nel test successivo.

Uno degli aspetti più difficili del test della penna è che la qualità del pentest varia molto determinata dall'individuo che esegue il test della penna. Ho cambiato società di sicurezza principalmente perché dipendente della prima azienda ha cambiato datore di lavoro e quell'individuo era qualcuno che sapevamo potesse fare un buon test per l'organizzazione (di solito perché erano talentuosi e bravi nel loro lavoro e perché hanno capito il nostro business).

Coinvolgere un tester di penna è di per sé un'abilità. Migliorerai ogni volta che lo farai, a condizione che ti avvicini al compito con obiettivi chiari. Conoscere la tua attuale posizione di sicurezza è solo una parte dell'equazione. Devi avere un'idea chiara di quale sia il tuo stato di destinazione finale. Ciò che si desidera dal test della penna è maggiore chiarezza riguardo alla postura attuale e informazioni sufficienti per aiutarti a sviluppare piani per spostare l'organizzazione nello stato desiderato.

Un buon test della penna fornisce i dettagli di ciò che è stato fatto, cosa riuscito e cosa fallito. Non dovrebbe essere solo un elenco di possibili vulnerabilità o sistemi che non sono al livello di patch più recente o esempi di "cattiva pratica". Tutto ciò può essere ottenuto con semplici valutazioni della vulnerabilità. Dovrebbe fornire dettagli completi su come è stato penetrato l'ambiente e suggerimenti su quali controlli potrebbero essere implementati per prevenire o ridurre la probabilità di ripetizioni o l'impatto di tali eventi. Il rapporto del pen test deve fornire dettagli sufficienti per valutare se il mancato accesso è dovuto al fatto che i controlli sono adeguati o perché non è stato assegnato un tempo sufficiente o perché l'ambito era troppo limitato ecc. Per molti aspetti, ciò che stai cercando è una partnership con il tester della penna dove stanno lavorando con te per migliorare la tua sicurezza.

Un risultato soddisfacente di un test di penna è quando il cliente e / o il pubblico di destinazione del rapporto comprende i messaggi e intraprende l'azione appropriata in base alla scienza delle decisioni. Fare riferimento a How to Measure Anything in Cybersecurity Risk per ulteriori informazioni sulla scienza delle decisioni in relazione a un test di penetrazione positiva.