כיצד להתחיל בדיקות חדירות חלק 1 WEB

מה הכוונה בבדיקות חדירות?

בדיקת חדירות היא שיטה להעריך את האבטחה של מחשב, רשת, התקן טכנולוגי כזה או אחר אשר מכיל מידע, על ידי הדמייה של התקפה מכוונת, ניתוח וחקירת מערכות, בדיקת תגובה של מערכות הגנה וכו’.

מהי בדיקות חדירות לאתרים?

בדיקת חדירות לאתרים מתמקדת רק על הערכת מצב האבטחה של האפליקציה, שכאומרים אפליקציה כמובן שאתר אינטרנט נכנס לתוך הקטגוריה.
תהליך הבדיקה כולל ניתוח פעיל של האפליקציה לזיהוי חולשות, כשלים טכניים או פגיעות פוטנציאלית.
כל חולשה אשר תמצא תוצג לבעל האתר עם הערכת הסיכונים ושיכלול המשקל של החולשה בהתאם להשפעתה על הארגון וכמובן המלצה לפתרון הטכני.
מבדקי ה-WEB שלנו מתמקדים לפי בסיס ה- OWASP – Open Web Application Security Project אשר מנחה וממקד את החולשות העיקריות והכי חשובות בצד האפליקטיבי.

היכן תוכלו למצוא את כל החומר שיעזור לכם?

אני אישית ממליץ על הספר "סייבר ובדיקות חוסן ליישומי אינטרנט" שנכתב על ידי רומן זאיקין
הספר נותן את הבסיס וקצת מעבר לעולם הסייבר דברים שכדאי להכיר ועוד…
כך שאם אתם מחפשים היכן להתחיל אני אישית ממליץ על הספר הוא יתן לכם בסיס חזק.
הספר ילמד אותכם פרוטוקולים שונים, טכניקות מעולות, שימוש בכלים שונים, ידע בשפות תכנות ועוד….

חולשות ושפות שכדי להכיר:

על מנת להכיר חולשות בסיסיות ואולי גם בין החזקות, ושפות תכנות שחובה לדעת ממליץ ללכת לקרוא את הכתבה של עדן התותח לכתבה.
על מנת לדעת חולשות מתקדמות יותר ממליץ לכם לחפש באינטרנט את החולשות הבאות
open redirect
HTTP parameter pollution
cross site request forgery also known as CSRF
HTML injection
CRLF injection
tamplete injection
server side request forgery
XML external entity vulnerability
remote code execution also known RCE
LFI- local file inclusion
RFI – remote file inclusion
sub domain takeover
insecure direct object references
וכמובן ממליץ לכם לעבור על רשימת החולשות של OWASP TOP 10 לשנת 2017
לא כתבתי כאן את כל החולשות, ממליץ לכם אבל ללמוד את מה שכתבתי כולל מה שיש בכתבה של עדן על מנת לקבל היכרות ראשונית עם החולשות.

כיצד אוכל לתרגל חולשות אלה?

בעיקרון יש המון capture the flags, שאתם מוצאים חולשה ואם הצלחתם לבצע אותה קיבלתם את הדגל כמובן שזה הבסיסים ויש יותר מתקדמים וקשים.
המערכות הבאות אלה הם מערכות שאני אישית ניסיתי וממליץ לכם לנסות גם:
overthewire מערכת נחמדה שנותנת שלבים וככל שהשלב עולה כך גם הרמה.
מערכת האתגרים של רומן זאיקין מכסה את כל החולשות שמדוברות בספר,מערכת מומלצת.
https://github.com/romanzaikin/Owasp-TOP-10-Training-Panel
bWAPP- זוהי מכונה וירטואלית שמבצעים עליה בדיקות חוסן, המערכת הזאת הינה נותנת המון אפשרויות ואת כל החולשות של OWASP TOP 10 לשנת 2013 ועוד חולשות מסויימות.
מערכת האתרים של סהר
https://attackit.co.il
Hacker101- האקר101.
https://www.hacker101.com

כלים מומלצים

burp suite – תוכנה לבדיקת אבטחה לחץ כאן על מנת להרחיב.
dirbuster – תוכנה למציאת נתיבים ,אולי אפילו מוסתרים.
sqlmap – תוכנה לחולשת הsql injection אשר תבצע אוטומיטציה להתליך.
uniscan – סורק חולשות בסיסי.
Nessus – סורק חולשות בסיסי.
knockpy – תוכנה למציאת subdomain עשיתי עליה כתבה כאן
sublister – תוכנה למציאת subdomain .
builtwith – תוכנה או תוסף לדפדפן שיראה לכם איך האתר נבנה ויתן לכם פרטים עליו.
wpscan – תוכנה לסריקת מערכת wordpress.
torghost – תוכנה לשינוי כתובת IP ציבורית עשיתי עליה כתבה כאן

כיצד להרוויח כסף מבדיקות חוסן גם בלי עבודה קבועה בתחום?

כיום יש שני פלטפורמות גדולות לדבר הנקרא bug bounty שני הפלטפורמות הינם:
HackerOne – https://www.hackerone.com
bugcroud – https://www.bugcrowd.com
והפלטפורמה המועדפת עליי היא hackerone, מכיוון שלאחר לא קצת זמן הייתי עם bugcrowd עברתי לhackerone. ושם היה הרבה יותר לקוחות וגם בbug crowd יש דירוג חולשות משלהם.

שאלות נפוצות

–האם אני חייב לדעת את השפה על מנת למצוא חולשה?
כן. מכיוון שאם אתה לא יודע מה אתה עושה עדיף שלא תעשה אותו בכלל חוץ מזה כדי לדעת טכניקות מתקדמות כדי להבין מה עושים.

–איזה שפות תכנות צריך ללמוד?
כל שפות התכנות שצריך ללמוד על מנת לבצע בדיקת חדירות מספקת לאתר נמצא בכתבה של עדן לכתבה
–באיזה כלים אתה משתמש?
אני משתמש בעיקר burp suite מכיוון שכך ניתן לבחון את המערכת הכי נוח
–כמה זמן צריך להשקיע ביום?
כמות הזמן שתשקיעו ביום היא הכמות שתפתח אותכם, על מנת להיות טובים בתחום תצטרכו לדעת דבר או שתיים ולכן תצטרכו להערכתי להשקיע בערך 10 שעות בשבוע.
–האם זה חוקי?
הגבול בין חוקי או לא חוקי מאוד דק ומאוד משתנה בין חברה לחברה, לכן אני ממליץ לכם לפני שאתם בודקים חסינות על אתרים שיש להם אישור (מיותר לציין שאם אין לכם אישור זה עבירה פלילית לכל דבר) תקראו טוב מה מותר ומה אסור.
–האם השימוש בכלים אוטומטים יעשו אותי סקריפט קיד?
שימוש בכלים נוצרו על מנת להקל עלינו החוקרי סייבר אבל נוצר מצב שבו אנשים שלא מבינים מה קורה מאחורי הקלעים משתמשים בו וגורמים נזקים לפעמים גם עצומים, לכן אני אומר אל תשתמשו במשהו בלי שאתם מבינים איך הוא עובד.

אז, לאחר שקראתי את כל זה, זהו אני מוכן?

לא ממש לא, בדיקות חוסן לוקחות זמן והרבה ללמידה ותרגול אבל בסופו של דבר מי שיתמיד יצליח.
ממליץ לכם לחרוש את האינטרנט למצוא חומרים שיעזרו לכם טיפ קטן ממני מה שיכול לתת לכם קפיצה לעולם הסייבר זה הספר "סייבר ובדיקות חוסן ליישומי אינטרנט".

Like

Alon Mesika

בודק חדירות (pentester) וכתב.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *