Технологія консолідації інструметарію для доступу до інформаціних систем
Автор(ка)
Шестаков Владислав Андрійович
Ступінь
Бакалавр
Група
КБб-18-2-4.0д
Спеціальність
125 Кібербезпека
Кафедра
Кафедра інформаційної та кібернетичної безпеки імені професора Володимира Бурячка
Анотація
Дипломна робота присвячена дослідженню технології консолідації інструментарію для доступу до інформаційних систем. Робота складається зі вступу, двох розділів, що містять 16 рисунків та 3 таблиці, висновків та списку використаних джерел, що містить 36 найменувань. Загальний обсяг роботи становить 56 аркушів.
Мета дослідження – розробка технології консолідації інструментарію для доступу до інформаційних систем. Об’єкт дослідження – сукупність необхідних умов, що забезпечують найкращий підхід до вдосконалення технології консолідації інструментарію для доступу до інформаційних систем. Предмет дослідження – тестування на проникнення.
В ході дослідження проаналізовано існуючий на даний час інструментарій для проведення пентесту. Сказано, що найбільш повними є методології PTES (Penetration Testing Execution Standard), OWASP (Open Web Application Security Project), OSSTMM (Open Source Security Testing Methodology Manual). Проаналізовано особливості роботи з такими інструментами використання баз даних, як SQL ninja, Sqlmap, Nmap, jSQL Injection. Зроблено висновок про те, що найкращими інструментами використання веб-додатків в нашому дослідженні будуть Burp Suite, w3af, Zaproxy, wpscan та Nikto. А інструментами для атак паролем були John the Ripper, Hashcat, Mimikatz. Для них дано опис, наведено інструментарій. Встановлено, що проведення тестування на проникнення є максимально ефективним тоді, якщо в компанії функціонують критичні сервіси, вивчені і реалізовані на практиці рекомендовані міжнародними стандартами заходи, застосовується процесний підхід в ІБ (пройдено кілька циклів PDCA). Наголошено, що основним способом отримання близьких до реальних значень оцінок показників ефективності функціонування пентесту є тестування систем на випробувальному стенді, досить повно і точно моделює передбачувані умови застосування системи.
Ключові слова: ІНФОРМАЦІЙНІ СИСТЕМИ, ДОСТУП, ІНСТРУМЕНТАРІЙ, ЗАХИСТ, ПЕНТЕСТ, ІНФОРМАЦІЙНА БЕЗПЕКА.
Мета дослідження – розробка технології консолідації інструментарію для доступу до інформаційних систем. Об’єкт дослідження – сукупність необхідних умов, що забезпечують найкращий підхід до вдосконалення технології консолідації інструментарію для доступу до інформаційних систем. Предмет дослідження – тестування на проникнення.
В ході дослідження проаналізовано існуючий на даний час інструментарій для проведення пентесту. Сказано, що найбільш повними є методології PTES (Penetration Testing Execution Standard), OWASP (Open Web Application Security Project), OSSTMM (Open Source Security Testing Methodology Manual). Проаналізовано особливості роботи з такими інструментами використання баз даних, як SQL ninja, Sqlmap, Nmap, jSQL Injection. Зроблено висновок про те, що найкращими інструментами використання веб-додатків в нашому дослідженні будуть Burp Suite, w3af, Zaproxy, wpscan та Nikto. А інструментами для атак паролем були John the Ripper, Hashcat, Mimikatz. Для них дано опис, наведено інструментарій. Встановлено, що проведення тестування на проникнення є максимально ефективним тоді, якщо в компанії функціонують критичні сервіси, вивчені і реалізовані на практиці рекомендовані міжнародними стандартами заходи, застосовується процесний підхід в ІБ (пройдено кілька циклів PDCA). Наголошено, що основним способом отримання близьких до реальних значень оцінок показників ефективності функціонування пентесту є тестування систем на випробувальному стенді, досить повно і точно моделює передбачувані умови застосування системи.
Ключові слова: ІНФОРМАЦІЙНІ СИСТЕМИ, ДОСТУП, ІНСТРУМЕНТАРІЙ, ЗАХИСТ, ПЕНТЕСТ, ІНФОРМАЦІЙНА БЕЗПЕКА.
Зміст
ВСТУП 3
РОЗДІЛ 1. АНАЛІЗ ІСНУЮЧИХ ІНСТРУМЕНТІВ
1.1. Інструменти для експлуатації та збору інформації
1.2. Інструменти використання баз даних
1.3. Інструменти використання веб-додатків
1.4. Інструменти для атак паролем
Висновок до розділу 1
РОЗДІЛ 2. РЕЗУЛЬТАТИ ВЛАСНИХ ДОСЛІДЖЕНЬ
2.1. Вимоги до методики тестування засобів захисту інформації
2.2. Розробка методики тестування
2.2.1. Збір інформації про систему та тестування компонентів веб – додатка, що можуть містити відомі вразливості
2.2.2. Тестування засобів перевірки на можливість SQL-ін’єкцій
2.2.3. Тестування можливості міжсайтового виконання сценаріїв та засобів аутентифікації
2.2.4. Тестування можливості витоку конфіденційних даних та можливості Cross-Site Request Forgery
2.2.5. Тестування відсутності контролю рівня доступу на функціональному рівні та протидії APT загрозам
Висновок до розділу 2
ВИСНОВКИ
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
ДОДАТКИ
РОЗДІЛ 1. АНАЛІЗ ІСНУЮЧИХ ІНСТРУМЕНТІВ
1.1. Інструменти для експлуатації та збору інформації
1.2. Інструменти використання баз даних
1.3. Інструменти використання веб-додатків
1.4. Інструменти для атак паролем
Висновок до розділу 1
РОЗДІЛ 2. РЕЗУЛЬТАТИ ВЛАСНИХ ДОСЛІДЖЕНЬ
2.1. Вимоги до методики тестування засобів захисту інформації
2.2. Розробка методики тестування
2.2.1. Збір інформації про систему та тестування компонентів веб – додатка, що можуть містити відомі вразливості
2.2.2. Тестування засобів перевірки на можливість SQL-ін’єкцій
2.2.3. Тестування можливості міжсайтового виконання сценаріїв та засобів аутентифікації
2.2.4. Тестування можливості витоку конфіденційних даних та можливості Cross-Site Request Forgery
2.2.5. Тестування відсутності контролю рівня доступу на функціональному рівні та протидії APT загрозам
Висновок до розділу 2
ВИСНОВКИ
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
ДОДАТКИ
Покликання
1. Айдінян А. Р. Методики інтелектуального вибору та оцінки DLP-систем для розв’язання задач інформаційної безпеки. Молодий дослідник. 2018. №1. С. 2–5.
2. Барибін О. І. Сучасні методології тестування на проникнення. Кібербезпека у системі національної безпеки України: пріоритетні напрями розвитку: збірник матеріалів наукового круглого столу, м. Маріуполь, 2018. 130 с.
3. Бакумов К. О. Методологія тестування на проникнення корпоративної мережі. Донецький національний університет імені Василя Стуса, Вінниця, 2021. 48 с.
4. Бурячок В. Л. Пентестінг як інструмент комплексної оцінки ефективності захисту інформації в розподілених корпоративних мережах. Сучасний захист інформації. 2015. №3. C. 4–12.
5. Бурячок В. Л. Інформаційна та кібербезпека: соціотехнічний аспект. [Підручник]. / В. Л. Бурячок, В. Б. Толубко, В. О. Хорошко, С. В. Толюпа. Львів: «Магнолія 2006», 2018. 320 с.
6. Євгеньєв А. М. Аналіз методів реалізації цільових атак на інформаційні системи. Сучасні напрями розвитку інформаційно-комунікаційних технологій та засобів управління. 2012. Т. 2. С. 50.
7. Киричок Р. В. Проблеми забезпечення контролю захищеності корпоративних мереж та шляхи їх вирішення. Наукові записки Українського науково-дослідного інституту зв’язку. 2016. №3 (43). C. 51–58.
8. Парасрам Ш., Замм А. Тестування на проникнення та безпеку. К. 2020. 448 с.
9. Поддубний В. О., Сєвєрінов О. В. Менеджмент вразливостей як складова частина політики безпеки. Системи управління, навігації та зв’язку. Збірник наукових праць. 2020. № 4. С. 55–58.
10. Порошин С. М., Можаєв О. О., Можаєв М. О. Методологія проведення pen-тестування веб-додатків. Системи обробки інформації, 2016. № 3. 112 с.
11. Сєвєрінов О. В. Аналіз сучасних систем виявлення вторгнень. Системи обробки інформації. 2014. № 6. С. 122–124.
12. Сєвєрінов О. В. Аналіз сучасних методів атак на електронні ресурси органів військового управління. Наука і техніка Повітряних Сил Збройних Сил України. 2015. № 3. С. 125–128.
13. Федюшин О. І. Аудит інформаційної безпеки за допомогою систем виявлення вторгнень. Сучасні напрями розвитку інформаційно-комунікаційних технологій та засобів управління. 2012. Т. 2. С. 47.
14. Цвєткова О. Л. Інтелектуальна система оцінки інформаційної безпеки підприємства від внутрішніх загроз. Вісник комп’ютерних та інформаційних технологій. 2014. №8 (122). С. 48–53.
15. Bertoglio D. D., Zorzo A. F. Overview and open issues on penetration test. Journal of the Brazilian Computer Society. 2017. №23. P. 1–16.
16. Grimes R. A. Hacking the Hacker: Learn From the Experts Who Take Down Hackers: Indianapolis, IN: Wiley, 2017. 320 c.
17. Halton W., Weaver B., Ansari J. A. Penetration Testing: A Survival Guide. Birmingham: Packt Publishing Ltd. 2016. 1045 p.
18. Kang Y. – S., Cho H. – H., Shin Y. Comparative Study of Penetration Test Methods. Advanced Science and Technology Letters. 2015. Vol. 87. P. 34–37.
19. Mirjalili M., Nowroozi A., Alidoosti M. A survey on web penetration test. Advances in Computer Science: an International Journal. 2014. № 3. P. 107–121.
20. Oriyano S. Penetration testing essentials / Sean-Philip Oriyano. Indianapolis: John Wiley & Sons, Inc., 2017. 120 р.
21. Patel Y., Sheth R. Web Services Pen-testing Framework for Cyber Security: A Review. International Journal of Scientific Research in Computer Science, Engineering and Information Technology. 2017. Volume 2, Issue 6. Р. 306–308.
22. Phong C. T. A Study of Penetration Testing Tools and Approaches. Master thesis of Computer and Information Sciences. Auckland University of Technology. 2014. 90 р.
23. Pohorila V. M. Application penetration test and its necessity in 2021 // Polit. Callanges of science today. International relations: abstracts of XXI International conference of higher education students and young scientists. National Aviation University. Kyiv, 2021. P. 55–56.
24. Semenov S. S. Automated penetration testing method using deep machine learning technology. Сучасні інформаційні системи = Advanced information systems. 2021. Vol. 5, № 3. P. 119–127.
25. Shanley A., Johnstone M. N. Selection of penetration testing methodologies: A comparison and evaluation. The Proceedings of [the] 13th Australian Information Security Management Conference, 2015. 90 р.
26. Weidman G. Penetration Testing: A Hands-On Introduction to Hacking. NY.: Press. Inc, 2014, 478 с.
27. Zhang Liqiang Analysis and comparative studies of software penetration testing methods. Сучасні інформаційні системи = Advanced Information Systems. 2021. Т. 5, № 2. С. 136–140.
28. Blazquez D. Broken Authentication OWASP Top 10 – A2 [Електронний ресурс] / Daniel Blazquez. 2019. Режим доступу до ресурсу: https: // hdivsecurity. com / owasp-broken-authentication. Дата звернення – 10.04.2022.
29. Common Vulnerability Scoring System v3.0: Specification Document [Електронний ресурс]. 2019. Режим доступу до ресурсу: https: // www. first. org / cvss / specification-document. Дата звернення – 10.04.2022.
30. Cross Site Scripting (XSS) Attack Tutorial With Examples, Types & Prevention [Електронний ресурс]. 2019. Режим доступу до ресурсу: https: // www. softwaretestinghelp. com / cross-site-scripting-xss-attack-test / . Дата звернення – 12.04.2022.
31. Randy Lindberg. Types of Penetration Testing for 2021 [Electronic resource]. Electronic magazine. November 10, 2020 Access mode: https: // www. rivialsecurity. com / blog / types-of-penetration-testing. Дата звернення – 11.04.2022.
32. SQL_Injection_Prevention_Cheat_Sheet [Електронний ресурс]. Режим доступу до ресурсу: https: // github. com / OWASP / CheatSheetSeries / blob / master / cheatsheets / SQL_Injection _Prevention_Cheat_Sheet. md. Дата звернення – 10.04.2022.
33. Testing for CSRF (OTG-SESS – 005) [Електронний ресурс]. 2019. Режим доступу до ресурсу: https: // www. owasp. org / index. php / Testing _for_CSRF_(OTG-SESS – 005). Дата звернення – 11.04.2022.
34. Top 10–2017 A6-Security Misconfiguration [Електронний ресурс]. 2017. Режим доступу до ресурсу: https: // www. owasp. org / index. php / Top_10–2017_A6-Security_Misconfiguration. Дата звернення – 10.04.2022.
35. Using Burp to Test for Sensitive Data Exposure Issues [Електронний ресурс] // PortSwigger. 2018. Режим доступу до ресурсу: https: // support. portswigger. net / customer / portal / articles / 1965730-using-burp-to-testfor-sensitive-data-exposure-issues. Дата звернення – 12.04.2022.
36. Web Server Vulnerabilities Attacks: How to Protect Your Organization [Електронний ресурс]. Tech Funnel. 2018. Режим доступу до ресурсу: https: // www. techfunnel. com / information-technology / web-server-vulnerabili-tiesattacks-how-to-protect-your-organization / . Дата звернення – 12.04.2022.
2. Барибін О. І. Сучасні методології тестування на проникнення. Кібербезпека у системі національної безпеки України: пріоритетні напрями розвитку: збірник матеріалів наукового круглого столу, м. Маріуполь, 2018. 130 с.
3. Бакумов К. О. Методологія тестування на проникнення корпоративної мережі. Донецький національний університет імені Василя Стуса, Вінниця, 2021. 48 с.
4. Бурячок В. Л. Пентестінг як інструмент комплексної оцінки ефективності захисту інформації в розподілених корпоративних мережах. Сучасний захист інформації. 2015. №3. C. 4–12.
5. Бурячок В. Л. Інформаційна та кібербезпека: соціотехнічний аспект. [Підручник]. / В. Л. Бурячок, В. Б. Толубко, В. О. Хорошко, С. В. Толюпа. Львів: «Магнолія 2006», 2018. 320 с.
6. Євгеньєв А. М. Аналіз методів реалізації цільових атак на інформаційні системи. Сучасні напрями розвитку інформаційно-комунікаційних технологій та засобів управління. 2012. Т. 2. С. 50.
7. Киричок Р. В. Проблеми забезпечення контролю захищеності корпоративних мереж та шляхи їх вирішення. Наукові записки Українського науково-дослідного інституту зв’язку. 2016. №3 (43). C. 51–58.
8. Парасрам Ш., Замм А. Тестування на проникнення та безпеку. К. 2020. 448 с.
9. Поддубний В. О., Сєвєрінов О. В. Менеджмент вразливостей як складова частина політики безпеки. Системи управління, навігації та зв’язку. Збірник наукових праць. 2020. № 4. С. 55–58.
10. Порошин С. М., Можаєв О. О., Можаєв М. О. Методологія проведення pen-тестування веб-додатків. Системи обробки інформації, 2016. № 3. 112 с.
11. Сєвєрінов О. В. Аналіз сучасних систем виявлення вторгнень. Системи обробки інформації. 2014. № 6. С. 122–124.
12. Сєвєрінов О. В. Аналіз сучасних методів атак на електронні ресурси органів військового управління. Наука і техніка Повітряних Сил Збройних Сил України. 2015. № 3. С. 125–128.
13. Федюшин О. І. Аудит інформаційної безпеки за допомогою систем виявлення вторгнень. Сучасні напрями розвитку інформаційно-комунікаційних технологій та засобів управління. 2012. Т. 2. С. 47.
14. Цвєткова О. Л. Інтелектуальна система оцінки інформаційної безпеки підприємства від внутрішніх загроз. Вісник комп’ютерних та інформаційних технологій. 2014. №8 (122). С. 48–53.
15. Bertoglio D. D., Zorzo A. F. Overview and open issues on penetration test. Journal of the Brazilian Computer Society. 2017. №23. P. 1–16.
16. Grimes R. A. Hacking the Hacker: Learn From the Experts Who Take Down Hackers: Indianapolis, IN: Wiley, 2017. 320 c.
17. Halton W., Weaver B., Ansari J. A. Penetration Testing: A Survival Guide. Birmingham: Packt Publishing Ltd. 2016. 1045 p.
18. Kang Y. – S., Cho H. – H., Shin Y. Comparative Study of Penetration Test Methods. Advanced Science and Technology Letters. 2015. Vol. 87. P. 34–37.
19. Mirjalili M., Nowroozi A., Alidoosti M. A survey on web penetration test. Advances in Computer Science: an International Journal. 2014. № 3. P. 107–121.
20. Oriyano S. Penetration testing essentials / Sean-Philip Oriyano. Indianapolis: John Wiley & Sons, Inc., 2017. 120 р.
21. Patel Y., Sheth R. Web Services Pen-testing Framework for Cyber Security: A Review. International Journal of Scientific Research in Computer Science, Engineering and Information Technology. 2017. Volume 2, Issue 6. Р. 306–308.
22. Phong C. T. A Study of Penetration Testing Tools and Approaches. Master thesis of Computer and Information Sciences. Auckland University of Technology. 2014. 90 р.
23. Pohorila V. M. Application penetration test and its necessity in 2021 // Polit. Callanges of science today. International relations: abstracts of XXI International conference of higher education students and young scientists. National Aviation University. Kyiv, 2021. P. 55–56.
24. Semenov S. S. Automated penetration testing method using deep machine learning technology. Сучасні інформаційні системи = Advanced information systems. 2021. Vol. 5, № 3. P. 119–127.
25. Shanley A., Johnstone M. N. Selection of penetration testing methodologies: A comparison and evaluation. The Proceedings of [the] 13th Australian Information Security Management Conference, 2015. 90 р.
26. Weidman G. Penetration Testing: A Hands-On Introduction to Hacking. NY.: Press. Inc, 2014, 478 с.
27. Zhang Liqiang Analysis and comparative studies of software penetration testing methods. Сучасні інформаційні системи = Advanced Information Systems. 2021. Т. 5, № 2. С. 136–140.
28. Blazquez D. Broken Authentication OWASP Top 10 – A2 [Електронний ресурс] / Daniel Blazquez. 2019. Режим доступу до ресурсу: https: // hdivsecurity. com / owasp-broken-authentication. Дата звернення – 10.04.2022.
29. Common Vulnerability Scoring System v3.0: Specification Document [Електронний ресурс]. 2019. Режим доступу до ресурсу: https: // www. first. org / cvss / specification-document. Дата звернення – 10.04.2022.
30. Cross Site Scripting (XSS) Attack Tutorial With Examples, Types & Prevention [Електронний ресурс]. 2019. Режим доступу до ресурсу: https: // www. softwaretestinghelp. com / cross-site-scripting-xss-attack-test / . Дата звернення – 12.04.2022.
31. Randy Lindberg. Types of Penetration Testing for 2021 [Electronic resource]. Electronic magazine. November 10, 2020 Access mode: https: // www. rivialsecurity. com / blog / types-of-penetration-testing. Дата звернення – 11.04.2022.
32. SQL_Injection_Prevention_Cheat_Sheet [Електронний ресурс]. Режим доступу до ресурсу: https: // github. com / OWASP / CheatSheetSeries / blob / master / cheatsheets / SQL_Injection _Prevention_Cheat_Sheet. md. Дата звернення – 10.04.2022.
33. Testing for CSRF (OTG-SESS – 005) [Електронний ресурс]. 2019. Режим доступу до ресурсу: https: // www. owasp. org / index. php / Testing _for_CSRF_(OTG-SESS – 005). Дата звернення – 11.04.2022.
34. Top 10–2017 A6-Security Misconfiguration [Електронний ресурс]. 2017. Режим доступу до ресурсу: https: // www. owasp. org / index. php / Top_10–2017_A6-Security_Misconfiguration. Дата звернення – 10.04.2022.
35. Using Burp to Test for Sensitive Data Exposure Issues [Електронний ресурс] // PortSwigger. 2018. Режим доступу до ресурсу: https: // support. portswigger. net / customer / portal / articles / 1965730-using-burp-to-testfor-sensitive-data-exposure-issues. Дата звернення – 12.04.2022.
36. Web Server Vulnerabilities Attacks: How to Protect Your Organization [Електронний ресурс]. Tech Funnel. 2018. Режим доступу до ресурсу: https: // www. techfunnel. com / information-technology / web-server-vulnerabili-tiesattacks-how-to-protect-your-organization / . Дата звернення – 12.04.2022.