En tant que personne qui contracte plus les stylos-testeurs que moi en tant que testeurs de stylos, ce que je recherche, c'est que vous ayez fait plus que lancer Nessus / ZAP / Burp - je peux le faire moi-même (même si faites-le aussi). Je m'attends à ce que vous regardiez les flux de données dans l'application / le site Web et que vous recherchiez ces fils lâches qui indiquent qu'il y a une erreur logique qui pourrait être exploitable. J'espère que vous serez en mesure de me dire ce que vous pouvez glaner de l'extérieur, que vous pouvez me dire des choses qui vous inquiètent et qui ne peuvent pas être trouvées avec une analyse.

Je cherche des indications que vous avez regardé, par exemple, les écrans de réinitialisation de mot de passe et vous vous êtes demandé si le flux était exploitable. Je veux voir que vous avez examiné si les informations privilégiées sont disponibles pour les utilisateurs non privilégiés (c'est-à-dire, l'application utilise-t-elle simplement le CSS pour la masquer ou quelque chose de stupide comme ça).

Idéalement, j'ai fait le trucs faciles avant de vous engager - j'ai fait le scan, j'ai fait les patchs et j'ai cueilli tous les fruits à portée de main. J'embauche un stylo-testeur pour les choses difficiles.

Vraiment, si vous ne parvenez pas à gérer un exploit, je veux voir que vous avez usé vos ongles en grattant l'extérieur à la recherche d'une fissure.

Une exploitation réussie est-elle une exigence pour le travail de test du stylo?

En suivant une définition stricte des tests d'intrusion, vous devez attaquer le système cible et garder une trace de vos tentatives réussies et infructueuses. Il ne suffit pas de conclure simplement qu’un serveur devrait être vulnérable parce que vos outils d’empreintes digitales ont révélé une version de logiciel obsolète. Vous prenez explicitement le point de vue d'un attaquant et devez démontrer comment le système peut être pénétré.

Le document SANS Penetration Testing fait la distinction suivante (bien que les définitions varient):

Pen-Testing vs Vulnerability Assessment

[Il] y a souvent une certaine confusion entre les tests de pénétration et l'évaluation des vulnérabilités. Les deux termes sont liés, mais les tests d'intrusion mettent davantage l'accent sur l'obtention du plus grand accès possible, tandis que les tests de vulnérabilité mettent l'accent sur l'identification des zones vulnérables à une attaque informatique. [...] Un évaluateur de vulnérabilité s'arrêtera juste avant de compromettre un système, tandis qu'un testeur d'intrusion ira aussi loin que possible dans le cadre du contrat.

Cela dit, votre client moyen n'est probablement pas au courant de cette distinction et ne veut peut-être pas vraiment que vous passiez trop de temps à aller "aussi loin que vous le pouvez". Il pourrait être plus important pour eux de recevoir des instructions claires sur ce qui doit exactement être corrigé plutôt que d'obtenir une liste de tous vos shells racine. Vous devrez savoir à l'avance ce qu'ils veulent effectivement réaliser en vous laissant tester le système. Votre client doit savoir qu’un test d’intrusion n’équivaut pas à une évaluation complète de la sécurité.

Je suppose que cela dépend de ce que vous êtes chargé de trouver et de la portée du travail. Certains tests de stylet que j'ai effectués ne voulaient voir que les résultats théoriques, d'autres voulaient que je m'introduise réellement et que je sème le chaos. Le test du stylo n'est difficile que pour ceux qui ne l'apprécient pas vraiment. Soyez créatif, amusez-vous ... mais restez à portée de main. ;)

Permettez-moi de le dire ainsi: à moins que le développeur de l'application testée ne soit lui-même un expert en sécurité, alors je m'attends absolument à ce que vous trouviez au moins un exploit. Je serais très mécontent si vous ne trouviez rien du tout, car d'après mon expérience, votre développeur moyen n'a pas une compréhension suffisamment approfondie des problèmes de sécurité pour être en mesure d'éviter toutes les failles possibles du get- Allez.

Notez que je lèverais la restriction "sécurité par obscurité" pour votre test. Autrement dit, vous auriez accès à la machine (shell, etc.) ou même au code source pour acquérir des connaissances sur l'application. Votre pénétration doit bien sûr fonctionner sans cela, tout comme un vrai attaquant.

Il est vraiment difficile de définir la qualité du pentest exécuté, et tout peut être un résultat satisfaisant. Cela dépend vraiment du système. Si le pentest est effectué sur un système ou un site Web relativement simple, il est fort probable qu'il n'y aura pas de résultats à haut risque.

De plus, même s'ils sont très qualifiés, ils n'auront peut-être pas assez de temps pour exploiter le système et montrer une preuve de concept. Ils doivent prioriser le pentest pour couvrir tous les domaines inclus dans le contrat.

Supposons que pentester découvre une injection SQL ou un logiciel vulnérable (basé sur le numéro de version). Il est certainement bon d'essayer d'exploiter et de montrer la vulnérabilité d'un client, mais il peut être très difficile de l'exploiter, et il n'est souvent pas logique de passer la majorité du temps de pentest planifié pour produire une preuve de concept pour une seule vulnérabilité. .

Un pentester montrant qu'une version spécifique du logiciel est vulnérable en fonction des CVE, ou un pentester affichant une sortie d'erreur SQL basée sur l'entrée de l'utilisateur devrait être une raison suffisante pour qu'un client corrige et corrige ses systèmes.

C'est une bonne question car je pense que de nombreux endroits abordent mal le test du stylo. Cela est devenu encore pire parce que le niveau exécutif de nombreuses organisations a tendance à croire que le test du stylo est une solution miracle - si vous avez un test apen et que les résultats montrent qu'il n'y a pas eu de pénétration réussie d'un système, alors votre sécurité est OK et nous pouvons tous cocher cette boîte. D'un autre côté, si le test du stylet échoue, alors l'équipe de sécurité ne fait pas son travail. Ce n'est tout simplement pas le cas.

Un test du stylet n'est qu'un outil qui peut être utilisé pour évaluer l'efficacité de vos contrôles de sécurité. Cela ne vous dit pas que tous vos systèmes sont sécurisés et le niveau de confiance que vous pouvez placer dans ce test du stylet dépend fortement à la fois des compétences du testeur du stylet et de la qualité de la spécification et de la planification du test. La pire chose que vous puissiez faire est d'appeler simplement une société de sécurité et de dire "Bonjour, je veux un test de stylet, quand pouvez-vous le faire". Avant d'engager un testeur apen, vous devez avoir une idée claire de ce que vous attendez du test du stylo, de vos priorités et des informations que vous souhaitez dans le rapport final. Vous souhaitez également contacter plus d'un fournisseur. Ce que vous recherchez est une personne capable de démontrer qu'elle possède les bonnes compétences, qui comprend vos besoins et qui est capable de vous fournir un résultat qui peut vous aider à améliorer votre posture de sécurité. Un test au stylo ne doit pas être considéré comme un «test» au sens de réussite ou d'échec. Essentiellement, vous devez avoir une compréhension claire avant le test de ce que sont les notes et à la fin du test, avoir suffisamment de détails et d'informations pour vous aider à vous concentrer sur la façon d'obtenir une meilleure note au prochain test.

L'un des aspects les plus difficiles du test du stylo est que la qualité du pentest varie beaucoup en fonction de la personne effectuant le test du stylo. J'ai changé de société de sécurité principalement parce qu'un employé de la première entreprise a changé d'employeur et cette personne était une personne dont nous savions qu'elle pouvait faire un bon test pour l'organisation (généralement parce qu'elle était talentueuse et bonne dans son travail et parce qu'elle comprenait notre métier).

Engager un testeur de stylo est en soi un talent. Vous vous améliorerez à chaque fois que vous le ferez à condition d'aborder la tâche avec des objectifs clairs. Connaître votre position actuelle en matière de sécurité n'est qu'une partie de l'équation. Vous devez avoir une idée claire de votre état cible final. Ce que vous attendez du testicule du stylo, c'est une plus grande clarté concernant votre posture actuelle et suffisamment d'informations pour vous aider à développer des plans pour déplacer l'organisation vers l'état souhaité.

Un bon test du stylo vous fournit des détails sur ce qui a été fait, ce qui réussi et ce qui a échoué. Il ne doit pas s'agir simplement d'une liste de vulnérabilités ou de systèmes possibles qui ne sont pas au dernier niveau de correctif ou d'exemples de «mauvaises pratiques». Tout cela peut être obtenu avec de simples évaluations de vulnérabilité. Il devrait fournir des détails complets sur la façon dont l'environnement a été pénétré et des suggestions sur les contrôles qui pourraient être mis en œuvre pour prévenir ou réduire la probabilité de répétition ou l'impact de ces événements. Le rapport de test du stylet doit fournir suffisamment de détails pour que vous puissiez évaluer si un échec d'accès est dû au fait que les contrôles sont adéquats ou parce qu'il n'y avait pas suffisamment de temps alloué ou parce que la portée était trop limitée, etc. À bien des égards, ce que vous recherchez est un partenariat avec le testeur de stylet avec lequel ils travaillent pour améliorer votre sécurité.

Un résultat satisfaisant d'un test de stylet est lorsque le client et / ou le public cible du rapport comprend les messages et prend les mesures appropriées basées sur la science de la décision. Veuillez consulter Comment mesurer n'importe quoi dans le risque de cybersécurité pour plus d'informations sur la science décisionnelle en ce qui concerne un test de pénétration positive.