Penetrationstests mit Metasploit

Ähnliche Dokumente
Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Penetrationtests: Praxisnahe IT-Sicherheit

Web Application Security

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Hacking for your security - Penetration Testing

Augsburg, Cyber-Sicherheits-Tag Audit-Methodik für Installationen von Industrial Control Systems (ICS)

Vulnerability Scanning + Penetration Testing

BTD Antivirus Evasion: Von der Idee zum PoC. Daniel Sauder SySS GmbH

Digicomp Hacking Day 2013 Erfahrungen aus über 10 Jahren Audits. 10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned

Praktikum IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit

Security-Testing. UnFUG WS 11/12. Christian Fischer. 17. November Rechtliches Tools Spielwiese Workshop

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Intelligence Gathering

Fachbereich Medienproduktion

WMAP Metasploit 3.2 Module für Pentester von Webapplikationen. OWASP Frankfurt, The OWASP Foundation

Praktikum IT-Sicherheit

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli Starnberger it-tag

Live Hacking auf eine Citrix Umgebung

Penetration Test Zielsetzung & Methodik

STUDIE ZUR NUTZUNG VON WORD OF MOUTH BEI WERBETREIBENDEN UNTERNEHMEN

terra CLOUD IaaS Handbuch Stand: 02/2015

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

CeBIT CARMAO GmbH

GRÜNDEN WAR NIE EINFACHER! Kamil

BitDefender Client Security Kurzanleitung

Expertenstudie Social Media

Webinar: Sales Productivity in Microsoft Dynamics CRM

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Schon mal gehackt worden? Und wenn nein woher wissen Sie das?

Installation EPLAN Electric P8 Version Bit Stand: 07/2014

vii Inhaltsverzeichnis 1 Einleitung 1

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Security Awareness ja, aber wie?

GOOGLE MY BUSINESS. Infos, Entwicklungen, Tipps & Tricks über Google für lokale Unternehmen

Die CLC-Mitarbeiterbefragung. Eine solide Datenbasis für Ihre Unternehmensentwicklung.

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Penetrationstest Intern Leistungsbeschreibung

Der Handytrojaner Flexispy im Praxistest

IT-Sicherheitsausbildung an der RWTH Aachen

Social Media Analytics. Intuitive Erfolgsmessung in sozialen Netzwerken.

Corero Network Security

Online Intelligence Solutions TESTABLAUF. 7 Schritte für ein erfolgreiches Testing.

Android Remote Desktop & WEB

ANLEITUNG GERÄTEREGISTRATION AN KRZ.SMK IOS

Automatisiertes UI Testing. Mark Allibone, , #2

datenfabrik.phone Telefonnummern mit den SQL Server Integration Services validieren

Thema: - DWF. Das Business Process Management System aus dem Hause PRAXIS AG. Wolfgang Lammel PRAXIS-Consultant

SaaS Exchange Handbuch

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

Walkabout: Location Based Services mit Android und dem Google Phone

Kombinierte Attacke auf Mobile Geräte

Oracle APEX Installer

Techniken und Werkzeuge für die IT-Sicherheit im Cloud-Computing und in verteilten Systemen

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Richtige und schnelle Entscheidungen trotz sich änderner Anforderungen mit Microsoft Dynamics AX und Microsoft SQL Server Reporting Services

eco-report: Internet-Sicherheit 2014 Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Dr. Kurt Brand

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP The OWASP Foundation

Vertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015

Lehrveranstaltung Grundlagen von Datenbanken

Cisco Security Monitoring, Analysis & Response System (MARS)

SharePoint Demonstration

Anleitung TUS Port Checker 2.0

IT-Security Awareness. Schulungen. Stand: September Seite 1 von 11

Task: Nmap Skripte ausführen

enerpy collaborative webased workflows collaborative webbased groupware INDEX 1. Netzwerk Überblick 2. Windows Server 2008

Smart Home. Quickstart User Guide

BPM im Kontext von Unternehmensarchitekturen. Konstantin Gress

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Präsentation Von Laura Baake und Janina Schwemer

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

Social Media Einsatz in saarländischen Unternehmen. Ergebnisse einer Umfrage im Mai 2014

1 WEB ANALYTICS: PROFESSIONELLE WEB-ANALYSEN UND REPORTING FÜR IHR ONLINE MARKETING.

Stand der CERT-Dienste im D-Grid. Security Workshop Göttingen März 2007

Die Kunst des B2B Online-Marketing

Einbindung einer ACT!12-16 Datenbank als Datenquelle für den Bulkmailer 2012

Compass Event Vorträge. Ivan Bütler 13. August Willkommen!

HTL-Rankweil Einblick in IT-Sicherheit

Was ist bei der Entwicklung sicherer Apps zu beachten?

Wir bewegen Marken. Richtlinien von MRAID basierten InApp-HTML5-MobileAds innerhalb des SevenOne Media Portfolios. InApp HTML5

WordPress lokal mit Xaamp installieren

PAPIERLOSES ARBEITEN. für Anfänger

ANLEITUNG GERÄTEREGISTRATION AN KRZ.SMK

Internes Web-Portal der AK-Leiter

Hybrid-Szenarien in der Virtualisierung

SECURITY INFORMATION MANAGEMENT UND IDENTITY MANAGEMENT. Novell Security Konferenz, Wien 3. April 2008

Ergebnisse. Umfrage Kurz-Statistiken Umfrage 'Feedback und Entertain 2.0'

Das Pflichtenheft. Dipl.- Ing. Dipl.-Informatiker Dieter Klapproth Ains A-Systemhaus GmbH Berlin

Mobile App Testing - Mit der richtigen Strategie zum Erfolg

Modul 3: Service Transition

bruederlinpartner «Nearshoring auf höchstem Niveau!»

Transkript:

Michael Kohl Linuxwochenende 2011 24 September 2011

Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen

Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler, DevOps Ab Oktober: Penetration Tester Gentoo Entwickler, Metalab, RubyLearning, etc.

Warum Penetration Testing? Schwachstellen identifizieren Aufdecken von Fehlern aus falscher Bedienung Erhöhung der Sicherheit auf technischer und organisatorischer Ebene externe Validierung der Sicherheit

Pre-Engagement Zieldefinition (z.b. compliance) Abklären der Rahmenbedingungen (z.b. overt/covert) Limitierungen (z.b. nur Kernarbeitszeit, Wochenenden) Umfang (Netzwerk, Apps, WLAN, physische Tests, Social Engineering) Kommunikationswege definieren

Intelligence Gathering Versuch möglichst viel über Ziel herauszufinden Social Media Footprinting Portscans Firewalls etc? physische Locations

Threat Modeling benutzt Informationen aus dem vorherigen Schritt Versuch vielversprechendsten Angriffsvektor zu finden in die Rolle des Angreifers versetzen Analyse von Assets Analyse der Geschäftsprozesse Unternehmenstruktur Attacken auf ähnliche Unternehmen

Vulnerability Analysis Port- und Service-Scans Banner Grabbing SQL Injection Scanner Traffic Monitoring

Exploitation "spektakulärste" Phase nach Indentifikation der vielversprechenden Vektoren Exploits für bekannte Versionen Buffer Overflows, SQL Injections, Passwort Bruteforce etc.

Post Exploitation nach dem Kompromittieren eines oder mehrerer Systeme Identifikation wichtiger Infrastruktur Identifikation wichtigster Daten Schwachstellen mit grösstem Business Impact Aufräumen

Reporting wichtigster Teil was? wie? wie reparieren? generelle Security, nicht nur technische Schwachstellen

Metasploit Framework Penetration Testing Framework in Ruby Scanner/Fuzzer Payloads Exploits Post-Exploitation Tools (Meterpreter) Libraries zur Entwicklung eigener Tools

Demo Metasploitable VM prinzipieller Ablauf, kein vollständiger Pen Test

Ressourcen http://de.wikipedia.org/wiki/penetrationstest_(informatik) http://www.pentest-standard.org/index.php/main_page http://www.metasploit.com/ http://www.offensive-security.com/metasploit-unleashed/ http://nostarch.com/metasploit http://www.offensive-security.com/metasploitunleashed/metasploitable

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback