Tag: pentest

Około roku temu ukazała się wersja trzecia standardu PCI-DSS (w skrócie: standard bezpieczeństwa narzucany firmom obsługującym karty płatnicze). Teraz został opublikowany dość szczegółowy dokument opisujący jak powinny wyglądać testy penetracyjne, które opisane są w samym standardzie. Dokładnie chodzi tutaj o wymaganie 11.3: Na czerwono zaznaczyłem przy okazji informację, która mówi…

Golismero to framework służący do przeprowadzania testów penetracyjnych, napisany w Pythonie. Jest też doskonałym przykładem możliwości, jakie daje użycie Pythona w tego typu oprogramowaniu.

W poprzednim wpisie poświęconym tworzeniu narzędzi w Pythonie przedstawiłem kilka prostych skryptów korzystających z modułów sys, os oraz httplib. W tym wpisie „zejdziemy” nieco niżej i zobaczymy, jak tworzyć skrypty, które komunikują się z siecią przez sockety.

Język Python to interpretowany język skryptowy obecny praktycznie we wszystkich liczących się dzisiaj systemach operacyjnych. Jego uniwersalność sprawia, że jest także jednym z częściej wybieranych przez specjalistów od bezpieczeństwa języków służących do pisania narzędzi przydatnych w tej dziedzinie.

Offensive Security — firma stojąca za projektami takimi jak Backtrack/Kali Linux, GHDB czy Exploit Database — zapowiedziała reedycję swojego topowego szkolenia, dzięki któremu można uzyskać certyfikację OSCP (Offensive Security Certificed Professional), uznaną w środowisku pentesterów.

Czy pentesterzy powinni szczegółowo poznawać wszystkie normy oraz metodologie? Czy są one tylko zbędnym balastem, czy raczej inspiracją i przewodnikiem.
Kończymy przegląd metodyk i zbliżamy się do konkluzji tego artykułu.

Druga część tekstu o testach penetracyjnych – tym razem robimy bardziej szczegółowy przegląd po rozmaitych metodykach.

Test penetracyjny, w odróżnieniu od audytu bezpieczeństwa, jest procesem bardzo kreatywnym oraz spontanicznym. Wiele metodyk próbuje poskromić ten żywioł i usystematyzować pracę pentestera. Ale czy pentester w ogóle potrzebuje podążać ściśle za jakąś metodologią?

Jednym z etapów realizacji testów penetracyjnych jest wyszukiwanie oraz analizowanie podatności skanowanej maszyny. OpenVAS jest narzędziem, które potrafi automatyzować tą pracę.

Jeśli chciałbyś zupełnie legalnie włamywać się do systemów IT, a przy tym jeszcze nieźle zarabiać, zapraszam do zespołu Securitum.pl.

Do końca roku można uzyskać 20% rabatu na wszystkie otwarte szkolenia z bezpieczeństwa organizowane przez Securitum. Przy rejestracji wystarczy podać hasło: Sekurak.

Amazon Simple Storage Service to popularna usługa umożliwiająca wygodne przechowywanie praktycznie nieograniczonej ilości danych w chmurze Amazon Web Services. Jak się okazuje, dostęp do miliardów prywatnych oraz poufnych plików przechowywanych w S3 nie jest w żaden sposób zabezpieczony. Spójrzmy.

Pierwsza wersja BackTrack Linuksa została udostępniona niemal siedem lat temu i od tego czasu ten system stał się bezsprzecznie najpopularniejszą zintegrowaną platformą do przeprowadzania testów penetracyjnych oraz wszelkich praktycznych audytów bezpieczeństwa. (Nie)stety, nigdy nie doczekamy się już kolejnej (szóstej) odsłony BackTracka.

Shodan to bardzo interesujący projekt zapoczątkowany przez Johna Matherly’ego, w ramach którego powstała nietypowa wyszukiwarka. W przeciwieństwie do zwykłych wyszukiwarek treści internetowych, takich jak Google, Shodan pozwala na wyszukiwanie komputerów, rozmaitych urządzeń sieciowych, a nawet pracujących na nich specyficznych wersji oprogramowania. Brzmi jak opis świetnego narzędzia dla pentesterów oraz wszystkich zainteresowanych tematyką bezpieczeństwa informatycznego?