Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Уязвимости
Страницы: 1
RSS
САЗ и уязвимости, Ложные срабатывания и пропуски
 
#1
Это нравится:0Да/0Нет
26.04.2010 15:19:06
Всем добрый день.
Усиленно изучаю Nessus и Nasl. Пишу диплом по данному САЗ.
Возникли вопросы, после прочтения тут статьи о сравнении эффективности работ сканеров безопасности.

1.Какими методами\способами определялись пропуски или ложные срабатывания сканеров?

2.Если был создан тестовый стенд, какое оборудование и какое ПО использовалось?

3.Известны ли конкретные случаи ложных срабатываний или пропусков в Nessus?

P.S: хочу провести свое тестирование, в рамках дипломной работы.

Важна любая помощь по теме, буду очень благодарен.
 
 
 
#2
Это нравится:0Да/0Нет
16.06.2010 09:16:17
Цитата
1.Какими методами\способами определялись пропуски или ложные срабатывания сканеров?

Например, эмуляцией заведомо известных уязвимостей ПО и фиксирование их результата обнаружения сканнером. Создание ложных сигнатур служб и сервисов, WEB-приложений, по которым может "ориентироваться" сканнер и наращивать свою логику работы. Специальная эмуляция "открытости" всех портов, при некорректной обработке даже существующие сканнеры существенно "тупят", кто от использования "TreeView" и его ограничений, кто от чего-то другого :)

Цитата
Если был создан тестовый стенд, какое оборудование и какое ПО использовалось?

VMWare + свободная рабочая/серверная станция для организации виртуальных стендовых площадок. Соответственно, там же гетерогенные ОС и всевозможные сервисы, в том числе эмулируемые ханипотами, аналогичными Flester.

Цитата
Известны ли конкретные случаи ложных срабатываний или пропусков в Nessus?

Конечно, известны, пример - далее. Некоторые скрипты на NASL, которые отвечают за обнаружения конретной уязвимости в конкретном проекте, очень часто не учитывают возможности его обновлённости (некоторое ПО ставит обновление с сохранением старой версии, указывая Владельцу только на существующие в системе патчи и хотфиксы).

https://discussions.nessus.org/message/5479;jsessionid=257B401298EB4C66128D61842B43F533
 
 
 
#3
Это нравится:0Да/0Нет
16.06.2010 13:22:18
По поводу исследуемых сканеров можно взглянуть еще и на OpenVAS http://www.openvas.org/

Top10: http://sectools.org/vuln-scanners.html

На счет создания тестируемого объекта - в свое время я создавал "универсальный" и дырявый образ в vmware на базе Slack9.0
там до кучи поднято было все: finger, ftp, telnet, ssh, rsh, web, nfs, samba, ntp.... а внутри лежали разные конфиги для сервисов.
Очень все красиво получалось. Ставил в режиме "expert". образ весил 300мб (в паузе).
Так же использовал freesco, реальные cisco, 3com.

А за пример можно взять из Интернета отчеты о качестве работы сканеров  (стоит только поискать). Там красивые диаграмки и пояснения.
Родная ссылка http://www.securitylab.ru/analytics/365241.php :-) Кстати, уважаемый человек - Лепихин делал!
http://kaspersky.nnac.com.ua/extensions/products/xspider/ext/details/compare/
Изменено: jungle_vnd - 16.06.2010 13:30:06 (ссылочки добавил)
 
 
 
#4
Это нравится:0Да/0Нет
16.06.2010 13:29:36
Спасибо всем за ответы!
Но диплом уже написал, завтра защита!
Создание тестового стенда и изучение пропусков и ложных срабатываний буду изучать позже.
OpenVas. Актуальна ли его база проверок на сегодняшний день?
 
 
 
#5
Это нравится:0Да/0Нет
16.06.2010 13:41:21
Цитата
jungle_vnd пишет:

Родная ссылка http://www.securitylab.ru/analytics/365241.php   Кстати, уважаемый человек - Лепихин делал!

http://kaspersky.nnac.com.ua/extensio...s/compare/

первую ссылку изучил уже ранее.
На счет второй ссылки.

в Nessus есть функция приостановки сканирования. И возможноcть планировки сканирования(и в OpenVas) - правда для этого нужно использовать Seccubus.

Приведенные сравнения САЗ очень интересны! Хотелось провести аналогичное сравнение, поэтому и возник вопрос о тестовом стенде. В принципе некоторую нужную информацию я уже получил. Спасибо!
 
 
 
#6
Это нравится:0Да/0Нет
16.06.2010 16:34:03
Вежливым и грамотным спецам всегда  - пожалуйста! )  :)
 
 
 
Страницы: 1
Читают тему