CAPEC用户会议记录——“利用”Navaneeth萨勃拉曼尼亚,CAPEC / CWE计划会话1 -利用|说话查看所有会议记录 (开始)议长:Navaneeth Krishnan萨勃拉曼尼亚早上好,每个人。我的名字叫Navaneeth萨勃拉曼尼亚,我笔测试人员与横切CAPEC团队。有关我的工作在过去执行大量的安全评估对于不同类型的组织,从web应用程序和服务全国大选的软件。所以今天,我要谈论的利用,特别是关于执行流和CAPEC和执行流如何插入渗透测试工作流。这个最初的演讲的目的是定下了基调,剩下的时间里,所以主持人将在之后我将谈论他们如何使用CAPEC渗透测试工作流。所以,我们深入了解之前,我只是想给大家一个快速概述CAPEC是什么以及如何执行流的工作。 接下来,请。 (07:47)议长:Navaneeth Krishnan萨勃拉曼尼亚我们考虑一个可能是太常见的场景,这是:你为一个组织工作,和你的组织会遭受某种形式的大举进攻,和攻击泄漏敏感信息。假设它使个人身份信息的员工,组织的成员。假设一些泄露的信息包括用户的社会安全号码。假设你是负责试图找出如何发生,什么是这种破坏的规模。 有多种路线,你可以在任何类型的文章攻击缓解或法医场景理解发生了什么。事情通常发生在组织那里可能没有很多预先制定的安全机制是,他们意识到有做安全评估的重要性。迟到总比不到好,所以你继续做安全评估。通常这就像你有一个静态分析阶段,我们有一个动态测试阶段所以你会利用工具,它基本上是一个静态分析工具,扫描你的网络,并试图找出各种途径哪里有信任边界,同时接受用户输入找出真正的弱点所在。 本课程的目的,利用的漏洞来进行这个数据泄漏操作是一个SQL注入漏洞,所以我会潜水。 请下一张。 (09:47)议长:Navaneeth Krishnan萨勃拉曼尼亚我选择了SQL注入,因为首先,这太普遍了。其次,有很多不同的方法,你可以做一个SQL注入攻击。 大多数人在渗透测试空间或安全评估工作已经知道一个SQL注入攻击的样子。但是这样我可以带大家到同一页面对于那些可能不熟悉,这是一个简单介绍。所以,基本上问题在于过度信任用户的操作。你把很多用户的信任。你不确认任何输入系统,他们提供。 这允许他们做的是输入文本的输入字段不是受制于一个字符集,因此他们可以编写代码。,这段代码将帮助他们打破特权级别的背景下,这是一个用户,在上下文中执行下面的代码的后端,本质上它允许他们的机会基本上直接在数据库上运行代码。 如果你看一下示例代码,破折号字符用于SQL语言本质上注释掉剩下的代码。如果您输入的用户名中指定的第二和第三点,基本上运行在数据库的操作是一个操作,它需要满足的条件之一是为了执行这个操作总是正确的。在这里,一个等于一个永远是正确的。因为这是你利用的条件,这句话总是运行所以你能够做任何事情从添加数据,删除、修改任何你想要的,基本上。 请下一个。 (中午)议长:Navaneeth Krishnan萨勃拉曼尼亚这是SQL注入的CAPEC条目。 我将会更详细说明下面的执行流,但基本上,所有CAPECs会利用的描述,可能性和严重性后果,其他相关利用相关联。 如果你能回到我们讨论的场景,这是你跑的静态分析工具,发现SQL注入漏洞存在,现在你的工作作为一个笔测试人员是:确认这不是假阳性。这通常意味着在笔测试领域,你可以,你会做一个动态或手动分析。 当我们开始手动测试,这就是人类操作的笔测试开始。 下一张。 (零点)议长:Navaneeth Krishnan萨勃拉曼尼亚和谁的笔测试可能会熟悉这个比喻。一旦这个阶段,它本质上是选择自己的冒险故事:底层应用程序,它的版本运行——操作系统,它的运行,一切问题就创建成功的利用,并没有两个利用将是相同的,这是一个非常,非常高的程度的主观性,进入手动笔测试操作。有一些已知的方法——尝试和测试方法——笔测试人员将使用,但缺乏标准化,这是整个峰会正是我们在这里谈论的。 接下来,请。 (34)议长:Navaneeth Krishnan萨勃拉曼尼亚有趣的的事情之一笔测试行业的工作,特别是当你使用开发人员可能是也可能不是超级意识到利用不同类型的行为,在某些漏洞——有一点神秘主义的想法笔测试。几乎就像奇怪的魔法质量知道如何做一个利用仅仅因为它很难被标准化,所以它不是广泛。所以有很多模糊和灰色区域。 但幸运的是我们可以展示我们的技巧,我们不必担心被更大的社会排斥的渗透测试人员是否能够挂载一个舞台并执行我们的技巧。 请下一个。 假设你开始做手工测试的方法,就像我说的,SQL注入,有很多不同的方式,你可以选择攻击系统,这是有用的所有这些不同的方式记录或标准化的地方基本上你问自己这样的问题应该从哪里开始呢?什么人没有经验进行利用,开发人员呢?他们将如何开始?如果你选择其中一个利用一开始你会如何做呢? 下一张。 (14:56)议长:Navaneeth Krishnan萨勃拉曼尼亚这是执行流进入真正的照片。我们提出了执行流想出一个方法来描述利用程序的方法 他们不是详尽的,所以你可以考虑执行流是描述性的,而不是说明性的。 执行流的总体结构是帮助你定义开始,中间和结束时,成功的利用。一开始是你确认的探索阶段,这个漏洞确实存在。所以当你确认它的存在然后进入实验阶段,你会尝试各种事物,你会改变你的方式发送这些数据,你把这个数据本身,看看你可能包括特殊字符,你可以试着改变的输入产生特定的错误,网站会给你。 通常是一个好的指标有一个漏洞,你输入的东西可能不是用户的上下文中应该得到一个网站的访问,而错误你得到数据库错误。所以的东西说:“你的证书是错误的”,它说“这个表无法处理这些信息”,你知道修复或者代码。所以通常当你看到这样的就像绿灯继续尝试利用,这是它的最后阶段是开发阶段。 从本质上讲,此时,您收集关于该系统的所有你知道的事情。你使用字符达到某种结果。你甚至可以使用业内人士使用,他们所谓的备忘单是SQL注入漏洞的已知利用字符串列表顺序,你可以尝试所有的或者你可以手工编写脚本自动化尝试所有的输入字段,看看。 这是一个SQL注入的执行流在一个较高的水平。为什么这是重要的吗? 下一张。 (17:05)议长:Navaneeth Krishnan萨勃拉曼尼亚第一个优点的CAPEC SQL注入和拥有一个SQL注入的执行流程是标准化。我们记录我们所看到的,它告诉我们的这个漏洞利用的历史轨迹随时间演化。 作为一个安全的人,曾与开发人员帮助他们的系统补丁的漏洞,一件事,我一直做的是授权给他们所需的知识做一个成功的缓解,而不是让他们缓解本身,如果开发人员知道他们可以利用的样子写更好的缓解措施,因为他们开发了系统后,只要他们正确的安全原则。这也预示着组织的安全状况,他们的工作通常是因为如果他们了解攻击和加班编写更安全的代码。 这个作品。这是一个双赢的局面! 另一个重要因素是取证所以即使在这个数据泄漏场景可能注入漏洞已经存在在这个系统数周,如果不是几个月或几年,所以是一个安全的人知道所有的方式,它可以利用通过观察每个利用标准化和查看所有相关和SQL注入攻击。它给你许多事情要寻找当你做后强烈的取证当你看网络流量,当你查看系统日志——诸如此类。 最后,它是一个学术资源。 我知道cf和连续波是我甚至是高度依赖在我上大学的时候,我仍然依赖于这一天。即使没有其他比世界上安全才明白发生了什么,了解新兴的漏洞,对于一个给定的弱点有多种利用。有一个标准化的利用会给等量的价值从学术的角度来看。 接下来,请。 (19:23)议长:Navaneeth Krishnan萨勃拉曼尼亚帮助促进CAPEC和执行的集成流进笔测试工作流我们致力于与社区合作,找出方法让这更好,我们正在做的一件事情来完成这使执行流更健壮。 SQL注入,我们看到有一个特定的利用了我们的未来愿景包括你知道想出多种方式利用然后记录这些方式。我们也努力改善之间的映射,cf,连续波和CAPECs因为工作很多人与静态分析工具和大部分的供应商参加这次峰会已经CVE或CWE集成到您的系统。他们之间能够有强大的映射只是让它一步容易CAPEC集成到您的系统。 主持人后我将有一个更详细的角度来看这是什么样子的一个操作水平。 我的演讲到此结束。如果你有任何问题我很乐意回答这个问题在这次峰会在聊天所以请张贴在聊天和我,好像出现了。
更多的信息是可用的,请选择一个不同的过滤器。
|
