Praktiniai pentest mokymai
Apie kursą
Dviejų dienų intensyvūs ir praktiniai įsilaužimo testavimo mokymai, skirti programuotojams, svetainių administratoriams, DevOps ir WAF inžinieriams bei SOC analitikams, dirbantiems su interneto aplikacijų ir organizacijos perimetro saugumu. Mokymų metu dalyviai praktiškai išbandys šiuolaikinius atakų metodus, kuriuos kenkėjiški veikėjai naudoja prieš web aplikacijas, belaidžius tinklus ir prie perimetro prijungtus įrenginius.
Pagrindinis tikslas: ne tik atpažinti pažeidžiamumus, bet ir suprasti jų realų poveikį. Atrodytų, nereikšminga spraga (pvz., paliktas administracinis kameros prisijungimas ar nesaugus Wi-Fi konfigūracijos parametras) gali tapti pirmuoju žingsniu į visišką vidaus tinklo perėmimą. Tokios pratybos sustiprina gebėjimą laiku atpažinti grėsmes ir veiksmingai užkirsti kelią atakoms, panašiai kaip socialinės inžinerijos pratybos, tik orientuotos į techninį organizacijos paviršių.
Metodika: automatinis, rankinis ir mišrus DAST
Mokymuose DAST (angl. Dynamic Application Security Testing) metodas taikomas trimis formomis: atliekamas automatinis, rankinis ir mišrusis testavimas. Dalyviai pažeidžiamumus atras veikiančiose sistemose, neturėdami prieigos prie išeities kodo („black box" požiūris).
Kodėl vien automatinių įrankių neužtenka? Skeneriai dirba pagal iš anksto numatytus šablonus ir patikrų taisykles: jie greitai apeina aplikaciją, bet neišsaugo ir neanalizuoja viso HTTP užklausų bei atsakymų konteksto. Dėl to praleidžiama didelė dalis realių rizikų:
- loginės klaidos (pvz., kai pirkimo proceso žingsnį galima praleisti pakeitus parametrą);
- autorizacijos ir prieigos kontrolės trūkumai (IDOR, vertikalus ir horizontalus eskalavimas);
- lenktynių sąlygos (angl. race conditions) ir kelių užklausų sekomis išnaudojami pažeidžiamumai;
- verslo logikos spragos, kurių skeneriui „nematyti", nes techniškai atsakymas yra HTTP 200;
- autentifikacijos srautų (MFA, OAuth 2.0, JWT) niuansai, reikalaujantys konteksto tarp žingsnių.
Rankinis testavimas šias spragas suranda, nes testuotojas mato kiekvieną užklausą, ją modifikuoja, kartoja ir analizuoja atsakymo elgseną. Mišrus požiūris (kai automatinis skeneris naudojamas plačiai atakos paviršiaus analizei, o rankinis darbas su Burp Suite Repeater, Intruder ir Logger modulais skirtas gilesniam ištyrimui) duoda geriausią rezultatą. Mokymuose dalyviai praktiškai patirs visas tris pakopas ir išmoks, kada kiekvieną iš jų rinktis.
Dalyviai taip pat susipažins su:
- etiško įsilaužimo principais ir penkių fazių metodologija (žvalgyba, skenavimas, prieigos įgijimas, įsitvirtinimas, pėdsakų paslėpimas);
- OWASP Top 10 rizikomis ir realiais pavyzdžiais iš atliktų įsibrovimo testų;
- atsakingo saugumo spragų atskleidimo (angl. responsible disclosure) praktika, įskaitant bendradarbiavimą su nacionalinėmis institucijomis (NKSC, CERT-LT).
1 diena: nuo perimetro iki vidaus tinklo
Pirmoji diena pradedama nuo to, kas dalyviams paprastai įdomiausia: realaus įsibrovimo į organizacijos perimetrą scenarijaus. Naudodami specialiai paruoštus pažeidžiamus įrenginius, parodysime, kaip auditoriaus akimis atrodo pirmieji atakos žingsniai, o po pietų pereisime prie web aplikacijų testavimo įrankių ir injekcijų praktikos.
| Laikas | Tema | Turinys |
|---|---|---|
| 09:00–09:30 | Įžanga ir metodologija | Etiško įsilaužimo principai, penkių fazių metodologija (žvalgyba, skenavimas, prieigos įgijimas, įsitvirtinimas, pėdsakų paslėpimas), OWASP Top 10 apžvalga. |
| 09:30–10:45 | Wi-Fi atakos prieš WPA2 | „Handshake" perėmimas ir slaptažodžio atspėjimas (angl. offline cracking), evil twin ir rogue AP scenarijai, captive portal apėjimas, korporatyvinio WPA2-Enterprise (EAP) klaidingos konfigūracijos. |
| 10:45–11:00 | Pertrauka | Kava, pasidalinimas pirmais radiniais. |
| 11:00–12:15 | IoT ir vaizdo stebėjimo įrenginiai | Palikti numatytieji prisijungimo duomenys (kredencialai), atviri RTSP ir ONVIF servisai, neatnaujinta kameros bei DVR programinė įranga, atskleisti administracinio valdymo skydelio endpoint'ai. |
| 12:15–13:15 | Pietūs | |
| 13:15–14:30 | Socialinė inžinerija ir pivoting | Tikslinių phishing kampanijų paruošimas su GoPhish, kredencialų rinkimas ir payload pristatymas; peršokimas į vidaus tinklą, kai vienas pažeistas komponentas tampa atsparos tašku tolesniems veiksmams. |
| 14:30–14:45 | Pertrauka | |
| 14:45–16:00 | Web aplikacijų testavimo įrankiai | HTTP protokolo versijų skirtumai, Proxy ir WAF veikimas, Burp Suite ir Acunetix taikymas, automatinio bei rankinio testavimo derinimas. |
| 16:00–17:00 | Injekcijos: praktika | OS komandų injekcijos, SQL injekcijos (klasikinės, aklosios, laiku grįstos) ir XSS pažeidžiamumai (Reflected, DOM-Based, Stored), įvesties duomenų validacijos trūkumai. |
2 diena: web aplikacijų gilusis testavimas
Antroji diena skirta išsamiam web aplikacijų pažeidžiamumų nagrinėjimui. Pradedame nuo kliento pusės atakų ir CORS bei CSP konfigūracijų, einame į serverio pusės atakas (SSRF, XXE), gilinamės į prieigos kontrolės trūkumus ir užbaigiame autentifikacijos srautų testavimu bei prevencijos priemonių analize.
| Laikas | Tema | Turinys |
|---|---|---|
| 09:00–10:30 | CSRF, CORS ir CSP | CSRF (angl. cross-site request forgery) atakos, netinkamos CORS politikos ir CSP (angl. content security policy) konfigūracijos klaidos bei jų išnaudojimas. |
| 10:30–10:45 | Pertrauka | |
| 10:45–12:15 | SSRF ir XXE | SSRF (angl. server-side request forgery) pažeidžiamumai, vidinių metaduomenų endpoint'ų pasiekimas, XXE (angl. XML external entity) atakos prieš XML procesorius. |
| 12:15–13:15 | Pietūs | |
| 13:15–14:30 | Prieigos kontrolės trūkumai | Failų įkėlimo pažeidžiamumai, nuotolinis kodo vykdymas (RCE), katalogų perėjimas (angl. path traversal), nesaugi objektų deserializacija. |
| 14:30–14:45 | Pertrauka | |
| 14:45–16:00 | Sesijų valdymas ir autentifikacija | MFA apėjimo scenarijai, JWT silpnybės (algoritmo pakeitimas, parašo apėjimas), OAuth 2.0 tipinės klaidos, sesijų fiksavimas ir sesijų užvaldymas. |
| 16:00–17:00 | Prevencijos priemonės | Ką konkrečiai keisti konfigūracijoje, segmentavime, monitoringe ir SDLC procesuose, kad parodyti scenarijai netaptų realybe jūsų organizacijoje. |
Rezultatas
Mokymų pabaigoje dalyviai gebės:
- savarankiškai atlikti web aplikacijos saugumo auditą, derindami automatinį, rankinį ir mišrųjį DAST metodus;
- atpažinti ir įvertinti pagrindinių OWASP Top 10 kategorijų pažeidžiamumus;
- suprasti, kaip atakų grandinė vystosi nuo perimetro (Wi-Fi, IoT, žmogaus) iki vidinių sistemų;
- parengti rekomendacijas tiek programuotojams (kodo lygmuo), tiek infrastruktūros komandoms (tinklo lygmuo);
- bendrauti su saugumo komandomis ir institucijomis pagal atsakingo atskleidimo praktiką.
Pažymėjimas: mokymų pabaigoje kiekvienas dalyvis gauna „Atakos vektoriaus" pažymėjimą, patvirtinantį dalyvavimą 16 ak. val. praktiniame DAST kurse pagal OWASP Web Security Testing Guide metodologiją.
Kaip užsisakyti
Mokymai vyksta pagal individualų grafiką ir gali būti pritaikyti konkrečios organizacijos kontekstui (pvz., dėmesį skiriant tik web ir API srautams arba pridedant papildomą modulį apie F5 / Cloudflare WAF konfigūraciją). Rekomenduojama grupė: 6–12 dalyvių, kad kiekvienas spėtų atlikti praktines užduotis su trenerio pagalba.
Jei svarstote pirmąjį pentest savo organizacijoje arba norite, kad jūsų programuotojų ir DevOps komanda atpažintų pažeidžiamumus dar prieš juos pamatant auditoriui, pasikalbėkime.