Soumettre la recherche
Mettre en ligne
CodeFest 2012 - Пентест на стероидах
•
0 j'aime
•
127,514 vues
Sergey Belov
Suivre
codefest.ru/program/2012-03/pentest-on-steroids/
Lire moins
Lire la suite
Affichage du diaporama
Signaler
Partager
Affichage du diaporama
Signaler
Partager
1 sur 27
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
Целевые атаки: прицелься первым
Целевые атаки: прицелься первым
Positive Hack Days
Безопасность Drupal сайтов
Безопасность Drupal сайтов
Eugene Fidelin
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
beched
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
Recommandé
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
Целевые атаки: прицелься первым
Целевые атаки: прицелься первым
Positive Hack Days
Безопасность Drupal сайтов
Безопасность Drupal сайтов
Eugene Fidelin
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
beched
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
beched
Информационная безопасность и web-приложения
Информационная безопасность и web-приложения
Maxim Krentovskiy
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest
Е. Фиделин Безопасность Drupal сайтов
Е. Фиделин Безопасность Drupal сайтов
Albina Tiupa
Техники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай Овчарук
HackIT Ukraine
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложений
beched
Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"
MskDotNet Community
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
KazHackStan
Risspa domxss
Risspa domxss
yaevents
Криптология в анализе защищённости
Криптология в анализе защищённости
beched
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
KazHackStan
Securing Rails Applications
Securing Rails Applications
Alexander Kirillov
С чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим Чакрян
HackIT Ukraine
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012
beched
Тропинка через минное поле — Леонычев Юрий
Тропинка через минное поле — Леонычев Юрий
Yandex
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
KazHackStan
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server API
Sergey Belov
Nginx warhead
Nginx warhead
Sergey Belov
Contenu connexe
Tendances
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
beched
Информационная безопасность и web-приложения
Информационная безопасность и web-приложения
Maxim Krentovskiy
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest
Е. Фиделин Безопасность Drupal сайтов
Е. Фиделин Безопасность Drupal сайтов
Albina Tiupa
Техники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай Овчарук
HackIT Ukraine
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложений
beched
Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"
MskDotNet Community
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
KazHackStan
Risspa domxss
Risspa domxss
yaevents
Криптология в анализе защищённости
Криптология в анализе защищённости
beched
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
KazHackStan
Securing Rails Applications
Securing Rails Applications
Alexander Kirillov
С чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим Чакрян
HackIT Ukraine
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012
beched
Тропинка через минное поле — Леонычев Юрий
Тропинка через минное поле — Леонычев Юрий
Yandex
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
KazHackStan
Tendances
(20)
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
Информационная безопасность и web-приложения
Информационная безопасность и web-приложения
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
Е. Фиделин Безопасность Drupal сайтов
Е. Фиделин Безопасность Drupal сайтов
Техники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай Овчарук
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложений
Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Risspa domxss
Risspa domxss
Криптология в анализе защищённости
Криптология в анализе защищённости
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Securing Rails Applications
Securing Rails Applications
С чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим Чакрян
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012
Тропинка через минное поле — Леонычев Юрий
Тропинка через минное поле — Леонычев Юрий
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
En vedette
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server API
Sergey Belov
Nginx warhead
Nginx warhead
Sergey Belov
Attacking thru HTTP Host header
Attacking thru HTTP Host header
Sergey Belov
ZeroNights - SmartTV
ZeroNights - SmartTV
Sergey Belov
современная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложений
Sergey Belov
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
SQALab
(Не)безопасный frontend
(Не)безопасный frontend
Sergey Belov
Waf.js: How to Protect Web Applications using JavaScript
Waf.js: How to Protect Web Applications using JavaScript
Denis Kolegov
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
Dmitry Evteev
DCS Test Stand
DCS Test Stand
Gubkin Russian State University of Oil&Gas
Pentest Report Sample
Pentest Report Sample
Training center "Echelon"
очир абушинов
очир абушинов
Alexei Lupan
Impact Analysis в тестировании
Impact Analysis в тестировании
QA Dnepropetrovsk Community (Ukraine)
Pentesting iOS Applications
Pentesting iOS Applications
jasonhaddix
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP?
Solar Security
En vedette
(17)
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server API
Nginx warhead
Nginx warhead
Attacking thru HTTP Host header
Attacking thru HTTP Host header
ZeroNights - SmartTV
ZeroNights - SmartTV
современная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложений
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
(Не)безопасный frontend
(Не)безопасный frontend
Waf.js: How to Protect Web Applications using JavaScript
Waf.js: How to Protect Web Applications using JavaScript
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
DCS Test Stand
DCS Test Stand
Pentest Report Sample
Pentest Report Sample
очир абушинов
очир абушинов
Impact Analysis в тестировании
Impact Analysis в тестировании
Pentesting iOS Applications
Pentesting iOS Applications
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP?
Similaire à CodeFest 2012 - Пентест на стероидах
Что такое пентест
Что такое пентест
Dmitry Evteev
Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
Alexey Kachalin
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Badoo Development
FortiSandbox
FortiSandbox
MUK Extreme
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)
Olesya Shelestova
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Yandex
OpenSource инструменты. Тестируем Web-приложения
OpenSource инструменты. Тестируем Web-приложения
lugnsk
Методологии аудита информационной безопасности
Методологии аудита информационной безопасности
Positive Hack Days
«Тестируем веб приложения», Павел Сташевский
«Тестируем веб приложения», Павел Сташевский
DevDay
SIEM use cases - как их написать
SIEM use cases - как их написать
Olesya Shelestova
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Expolink
Sqadays 8-barancev
Sqadays 8-barancev
Alexei Lupan
11 лекция, петр волков
11 лекция, петр волков
karina krew
Drupal Paranoia
Drupal Paranoia
Inna Tuyeva
Drupal Paranoia
Drupal Paranoia
Drupal Camp Kyiv
Drupal Paranoia
Drupal Paranoia
Inna Tuyeva
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
Alexey Kachalin
разработка безопасного кода
разработка безопасного кода
Andrey Somsikov
СВЯТ ЛОГИН «Як провести penetration testing c metasploit framework» QADay 2019
СВЯТ ЛОГИН «Як провести penetration testing c metasploit framework» QADay 2019
GoQA
Similaire à CodeFest 2012 - Пентест на стероидах
(20)
Что такое пентест
Что такое пентест
Penetration testing (AS IS)
Penetration testing (AS IS)
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
FortiSandbox
FortiSandbox
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
OpenSource инструменты. Тестируем Web-приложения
OpenSource инструменты. Тестируем Web-приложения
Методологии аудита информационной безопасности
Методологии аудита информационной безопасности
«Тестируем веб приложения», Павел Сташевский
«Тестируем веб приложения», Павел Сташевский
SIEM use cases - как их написать
SIEM use cases - как их написать
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Sqadays 8-barancev
Sqadays 8-barancev
11 лекция, петр волков
11 лекция, петр волков
Drupal Paranoia
Drupal Paranoia
Drupal Paranoia
Drupal Paranoia
Drupal Paranoia
Drupal Paranoia
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
разработка безопасного кода
разработка безопасного кода
СВЯТ ЛОГИН «Як провести penetration testing c metasploit framework» QADay 2019
СВЯТ ЛОГИН «Як провести penetration testing c metasploit framework» QADay 2019
CodeFest 2012 - Пентест на стероидах
1.
Пентест на стероидах. Автоматизируем
процесс Белов Сергей Penetration tester
2.
Тестирование на проникновение «Пентест»
- оценка безопасности конечного узла или ресурса средствами и методами злоумышленников
3.
Цель Автоматизировать тестирование на проникновение
сетевого ресурса по стратегии «черного ящика», получив объективные результаты, не потратив ни цента на ПО
4.
Этапы 1. Тестирование сетевых
сервисов 2. Web – Эксплойты, уязвимости – «Слабые аккаунты» – Ошибки конфигурации – Халатность
5.
6.
Часть 1. Сетевые
сервисы Armitage (nmap + msf)
7.
Armitage
8.
9.
10.
11.
12.
13.
Уязвимых приложений не
обнаружено Уязвимое приложение обнаружено, создана shell-сессия
14.
Часть 2. Web •
Nikto • Skipfish • Havij • 1337day.com, exploit-db.com
15.
Nikto
16.
17.
Havij
18.
19.
Чем еще? • Монстрами
для тестирования (shareware) –MaxPatrol / XSpider –Acuentix –Nessus (OpenVAS)
20.
А еще...?
21.
22.
Идеальный случай -
«Белый ящик»
23.
Примеры
24.
Armitage->Host->Login->ftp->check all credentials
anonymous:anonymous - - - - > /var/www
25.
Другой случай XSS, CSRF,
phpmyadmin site/scripts/config.ini
26.
Demo
27.
pwn3d! Спасибо за внимание,
вопросы? http://sergeybelove.ru sergeybelove@gmail.com belov_sv@bitworks-software.com
Télécharger maintenant