2012. október 31., szerda

Kliens oldali Pen Test

Miután eljutottam egy bizonyos szintig a kliens felderítő scripttel, elkezdtem utánanézni, hogy nincs-e véletlenül ilyesfalyta tool készlet már készen. Persze, van. Évek óta :) Sebaj, mert azért miközben ezzle szórakoztam egy csomó dolgot megtudtam a JavaScript-ről és a Java-ról, úgyhogy nem volt elpocsékolt idő. A felderítő script egyébként mindössze annyit csinál, hogy egy előtét lap alapján eldönti, hogy a kliensnél engedélyezve van-e a JavaScript és ez alapján két különböző oldalra dobja tovább a felhasználót. A javascript nélküli kliensről nem sok mindent lehet megtudni, csak amit a UserAgent mezőben mondott, viszont ahol a javascript engedélyezve van, ott azért ki lehet szedni a kliensből további információkat. Mivel már vannak készen ilyen jellegű programok, ezért nem álltam neki lefejleszteni ezeket mégegyszer, inkább majd szépen letöltöm őket és kipróbálom, hogy melyik mit tud, mikor lehet használni. Amit én készítettem, az mindössze annyit csinál, hogy végez egy előzetes felmérést a kliensről. Milyen op. rendszer, milyen böngésző, mi van engedélyezve mi nincs. Amennyiben a javascript engedélyezve van, akkor lehet további adatok begyűjtésével próbálkozni, ahol pedig nincs javascript, ott más módszert kell keresni további adatok gyűjtéséhez. Mondjuk annyi előnye van ezeknek a kis scripteknek, hogy ezeket fel lehet tenni bármilyen free web szerverre (ahol van php) és off-line tudja a kliensek adatait gyűjtögetni, míg a készített tool-okat csak a saját gépünkön (vagy a saját wwebszerverünkön - ha van ilyen) tudjuk futtatni és csak úgy, ha nálunk folyamatosan futnak a programok. Vagyis egyik inkább on-line adatgyűjtésre való, míg a másik mehet off-line-ban is. Szélesebb körű adatgyűjtésre valószínűleg jobb az off-line módszer, célzottabb vizsgálatokhoz pedig az on-line verziók.

Sokat ezekről a jó kis kliens oldali pen teszt eszközökről nem is írnék, mert ezt már megtették előttem mások. Íme egy rendkívül jó könyv a témáról :

"XSS ATTACKS - cross site scripting exploits and defense"
http://www.scribd.com/doc/89091513/105/AttackAPI

Ebben meg  van említve az AttackApi és a BEEF ami két nagyon hasznos kliens oldali biztonsággal kapcsolatos program. Ezeket hamarosan ki fogom próbálni labor környezetben, és talán csinálok róla 1-2 videót.

Ha ez megvan, akkor azt fogom kitalálni, hogy valós helyzetben hogy lehetne használni ezeket a kütyüket. Pl egy igazi black-box teszt használatakor, alkalmazottak elleni kliens felderítés, ill. egyéb támadási lehetőségek. Itt ugyebár a webhost-os megoldás nem játszik, mert ezeket a programokat a saját gépen kell futtatni. Tehát meg kell oldani valahogy, hogy a mailben elküldött url mindig a mi gépünkre mutasson. Ezt valószínűleg valamilyen dns machinációval meg lehet csinálni. Ennek majd utánanézek. Egyébként ezek az eszközök nagyon durvák :) Youtube-on vagy máshol -  nem emlékszem már - láttam egy videót, ahol a támadó facebookon küldött egy linket az áldozatnak, az rákattintott, aztán néhány mozdulat múlva már át is vette az irányítást az áldozat gépe fölött....de ezen kívül még számos érdekes feature van a programokban :)
Ebben az esetben nem kell e-mailekkel vacakolni, elég facebookon keresztül elküldeni egy linket, és a tool-ok megpróbálják kielemezni a kliens oldal adatait. És természetesen, ha található valamilyen kis rés, akkor metasploittal akár át is lehet venni az áldozat kliense fölött a teljes irányítást.

Nincsenek megjegyzések:

Megjegyzés küldése

Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.