Penetrationtesting

Jo, jag har tittat på Wpscan men det verkar finnas en hel uppsjö med olika alternativ.

Succuri har ett verktyg som automatisk skannar av allting, Detectify (vars listor jag länkade innan) verkar också ha ett program som skannar det och jag undrar vart i skillnaderna egentligen ligger och vad som är bäst som att man får så mycket säkerhet som möjligt (se frågeställningarna in).

Detectify verkar vara mer djupgående om man t.ex. jämför med WpScan samt Succuri, och eftersom det inte komplett testar allting än vad en riktig penetrationtestare skulle göra om denne gjorde de skräddarsytt, undrar jag vad jag behöver tänka på och testa, utöver det som inte testas i dessa automatiserade program, ifall jag väljer av något av dessa tre alternativ som vi nu diskuterar.


(Därav alla frågeställningar tidigare).

Wpscan är det första jag kör när jag stöter på en wordpressinstallation under ett jobb, eftersom det helt enkelt är det bästa verktyget för det. Är det en blackbox-analys jag gör beror vidare analys på (förutsatt att wpscan inte upptäckt en brist som ger mig privilegieeskalering) om jag hittar några tecken på att ett ickepublikt tema eller okända plugins används. Ser jag inga tecken på det, och jag inte med lösenordsgissning lyckas logga in som en (förhoppningsvis högpriviligierad) användare finns det inte så mycket kvar att göra om man inte ska leta zerodays i wordpresskoden eller identifierade plugins. Hittar jag däremot tecken på funktionalitet som wpscan inte identifierat testar jag den manuellt som det vore vilken webapp som helst.

Då du rimligtvis vet om dina plugs och teman är egenutvecklade eller inte kan du helt enkelt köra wpscan med jämna mellanrum, förutsatt att du bara använder publikt tillgänglig funktionalitet.

Detectify är rätt bra för att vara en scanner, men den är byggd för generella webapplikationer, medan wpscan och Succuris scanner är utformade specifikt för Wordpress. De kan därför ha koll på sårbarhetsrapporter och uppdateringar för alla teman och alla plugins som finns tillgängliga från Wordpressrepot, och kan genom enumerering och fingerprinting avgöra vilka du använder, och om de installerade versionerna har några sårbarheter.

Det Succuri rapporterar som inte wpscan gör är bara sugar, det är inget viktigt. Wpscan är oftast bättre, och den stora fördelen är att alla anrop kommer från din egen maskin, inte från någon cloud server, och detta kommer din provider definitivt uppskatta.

Kort sagt; wpscan. Det är vad vi, som i professionella pentestare, använder i 99% av våra wordpresskontroller. Resterande procent är för customfunktionalitet, och det har du väl ändå ingen? Detectify är inte alls rätt verktyg för denna typ av system, och Succuriscannern petar på din server från molnet, och kommer få kännedom om eventuella brister hos den.

Det är just det jag har vilket gör det hela en mer komplext.

Hur råder du mig att göra då för att testa ut så mycket som möjligt, och i vilken ordning av dessa vi diskuterat, eller kanske en helt annan applikation?

Jag har nu testat sidan med Detectify och fått fram lite saker som måste åtgärdas. Jag bör väl komplementera med WP-scan och sucuri ?

WP-scan verkar dock kräva att man gör alla tester manuellt på typ Kali Linux och det kräver ännu mer specialistkunskap ifrån mitt håll och måste jag verkligen själv lära mig det ? Är det en tidskrävande process att själv penetration-testa sidan om jag väljer att göra det via WP-scan ?

För att klargöra, behöver jag lära mig mer om Kali Linux eller finns det färdiga moduler som man kan exekvera automatiskt som WP-scan utför ?

Måste varje kommando utföras automatiskt i WP-scan t.ex. ?

Wpscan kräver inte kali, och när du installerat det behöver du främst köra det med enumerate p.

Har du skrivit egen kod? Plugins, tema, eller vad?

Majoriteten av sidan är uppbyggd på teman och välkända plugins. Jag skulle gissa att en liten del av den är custom-byggd med vissa funktionaliteter.

Hur testar jag dessa custom-byggda funktionaliteter, om WP-scan och Detectify testar väldigt generella saker.

Du skulle gissa? Är det inte din sajt det handlar om? Är det det måste du väl ändå veta vad den består av? Annars är första säkerhetsrutinen att få en god överblick över vad du egentligen använder själv så du vet vad du behöver skydda dig mot. Du har hela tiden uttryckt dig som om det vore din sajt det handlar om, men nu börjar jag bli misstänksam.

Om du inte hittar program som testar funktionaliteten i skräddarsydda plugins och teman får du gå vidare med manuell testning. Det är oftast i sådana situationer det blir aktuellt och värt att anlita penetrationstestare.
Där kan du ju också göra en avvägning om det är värt att köra otestade, skräddarsydda lösningar som du behöver betala för i form av penetrationstestning kontra att köra väl etablerade lösningar som kanske har (eller inte) en licenskostnad där du kan utgå från att kontinuerlig säkerhetsutvärdering görs och patchar släpps.

Jag hoppas inte att du förväntar dig att någon ska hålla dig i handen om hur du genomför sådana tester av skräddarsydda plugins/teman.

Så tyst det blev

Det stämmer att hemsidan är min, dock förlitade jag mig tidigare på att andra skulle sköta den så jag satte inte mig in alldeles för mycket i det tekniska. Därav min bristande kunskap.

Dock har jag insett som föregående talare har påpekat att det är min hemsida och att jag måste ta ansvar för den.

Jag inser nu att en penetrations-testare är främst till för att testa skräddarsydda plugins och teman, vilket har visat sig efter närmare efterforskningar att de - existerar.

Innan jag anlitar en penetrationtestare tänkte jag fråga egentligen vilken den mest prisvärda web-säkerhetsanalyseraren är.

Jag har en lista framför mig med 10 stycken olika, som kostar olika mycket. Tanken är att först täppa till alla hål som analyseraren visar, samt på servern och sen efter detta titta med en penetrationstestare.

Det jag undrar nu dock, vilken/vilka av dessa borde jag ta ? Räcker det med en enda t.ex. eller specialiserar sig olika anlyserare på olika moduler ?

*Acunetix Web Vulnerability Scanner
*Vega
*Owasp Zed Attack Proxy
*Nessus
*Modify Headers for Firefox
*Fiddle
*Wireshark
*SSLStrip
*SQLmap
*Fiddler

Vad är era rekommendationer, jag har själv sneglat på Acunetix (?)

Det är bara Accunetix och Vega som är sårbarhetsscanners där.

Tack.

Resterande, är det till för att testa servern främst eller vad är de till för ?

En uppsjö av olika verktyg som kan användas vid pentester, men inget av dem letar själv efter sårbarheter.