Правила пентеста: аудит по стандарту PCI DSS
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-09-23 02:22:09.773333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Отличный Автор: S4aVRd0w
Отличная Статья…
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-09-23 08:27:29.686666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Курс молодого инсайдера :)
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-09-23 11:31:33.086666
|
|
|
OxDEF
Сообщений: 1
Оценки: 0
Присоединился: 2008-10-16 00:16:56.983333
|
> Более того, стандартом PCI DSS рекомендуется придерживаться
> правил OWASP при проведении как пентеста (AsV), так и аудита (QSA).
Причем тут ASV к пентесту и OWASP?
> Стандартом не регламентируется (а значит и не требуется)
> проведение атак с использованием социальной инженерии.
Но рекомендуется:
"Components
Consider including all of these penetration-testing techniques (as well as others) in the
methodology, such as social engineering and the exploitation of exposed vulnerabilities,
access controls on key systems and files, web-facing applications, custom applications,
and wireless connections."
> В общем случае тестирование на проникновение
> по требованиям PCI должно удовлетворять следующим критериям:
>
> * п.11.1(b) – Анализ защищенности беспроводных сетей
> * п.11.2 – Сканирование информационной сети на наличие уязвимостей (AsV)
> Потому шутки шутками, а фичисет, реализованный в Core Impact,
> позволяет, особо не утруждаясь, последовательно выполнить
> эксплуатацию, поднятие привилегий, сбор информации и удаление следов
> своего пребывания в системе. В связи с чем Core Impact пользуется
> особой популярностью у западных аудиторов и пентестеров.
Да, но при этом в Коре отсутствует поддержка "локализованных" целей, то есть русскую винду, а внутри
обычно таки локализованные, будет сложно им заламать.
> Так, для ораклятины минимальный набор пентестера будет следующим:
Забыл про неплохие наработки в метаслоите и термит.
Странно, что в статье никак не упоминается такой документ как "Information Supplement: Requirement 11.3 Penetration Testing" https://www.pcisecuritystandards.org/pdfs/infosupp_11_3_penetration_testing.pdf
Статья на 3 по 5 балльной шкале. Но уже хорошо, что такие статьи появляются :)
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-09-23 13:24:02.550000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
>> Курс молодого инсайдера :)
Аминь! =)
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-09-26 19:34:00.293333
|
|
|
s4avrd0w
Сообщений: 4
Оценки: 0
Присоединился: 2009-05-04 11:27:24.653333
|
to OxDEF:
>> Причем тут ASV к пентесту и OWASP?
Пентест по требованиям PCI DSS повторяет сканирование на уязвимости т.е. повторяет ASV-сканирование. Ты с этим не согласен?
OWASP - это методология оценки защищенности Web-приложений. При проведении тестирования на проникновение происходит их обследование. Писиаевцы рекомендуют придерживаться именно OWASP при анализе защищенности Web-приложений.
>> Да, но при этом в Коре отсутствует поддержка "локализованных" целей, то есть русскую винду, а внутри обычно таки локализованные, будет сложно им заламать.
Я тебя умоляю%)) еще не придумали инструмента с одной кнопкой "сломать все"
to Сергею Шустрикову из дсека: (http://pcidss.ru/blog/27.html)
Вижу Сергей тоже прочитал мою статью…. отвечаю.
Сережа, ты в корне неверные выводы сделал, прочитав этот материал. Я хотел подчеркнуть, что пентест по требованиям PCI - это пентест, направленный в первую очередь на то, чтобы информационная система соответствовала требованиям PCI DSS. Т.е. у пентеста в широком смысле и у пентеста по PCI разные задачи и цели!
>> Как оказалось, в среде специалистов по карточной безопасности встречается заблуждение о том, по каким критериям определяется успех или провал теста на проникновение.
вот ты мне ткни носом, где я написал, что успех пентеста по PCI заключается в том, чтобы раскрыть данные держателей карт???!!!
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-09-26 22:22:33.783333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
"Основная цель такого тестирования – это попытка осуществления несанкционированного доступа к данным платежных карт (PAN, Cardholder Name и т.п.)."
Ну откуда автор это взял? Горе "спецы" блин … Школота … Услышал звон, да не знает откуда он и, конечно, сразу писать "умные" статьи.
Ну и конечно такое самомнение )))). И инфосеки, и дсек - ну прямо все на его "великую" статью внимание обращают и сразу же пишут у себя в форуме ну именно прям про нее )))).
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-09-26 23:31:09.496666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
млять! народ! я просто хотел подчеркнуть, что пентест по PCI отличается от тестирования на проникновение в широком смысле. если эта мысль не была понята, тогда согласен. опыта в донесении своего мнения мало. но я работаю над этим:)
s4avrd0w
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-09-27 00:17:37.456666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Опыта ноль - это точно
а гонору и самомнения поучать всех кого только можно - до хрена
школота мелкая … тьфу
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-09-27 15:28:19.030000
|
|
|
s4avrd0w
Сообщений: 4
Оценки: 0
Присоединился: 2009-05-04 11:27:24.653333
|
to Guest's:
о чем спор коллеги?:) о том, что вы больше провели пентестов? возможно. возможно вы заблуждаетесь.
о том, что я "поучаю"? это не так. есть собственное мнение, как проходит пентест по PCI. я его никому не навязываю.
о том, что "гонору" много. честно, за собой этого не замечал. со стороны конечно виднее, поэтому безусловно возьму на заметку.
о том, что автор "горе спец" и "школота мелкая". ммм… это в чистой форме оскорбление. потому дальнейшую дискуссию считаю не целесообразной.
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-09-27 17:19:53.250000
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
quote:
ORIGINAL: Guest
Опыта ноль - это точно
а гонору и самомнения поучать всех кого только можно - до хрена
школота мелкая … тьфу
Я понять не могу, почему все школьники разговаривают от имени Guest'а. Ты, как Guest, бесстыдно признавшийся в своей школьности, можешь мне объяснить, почему ты постишь от имени неумирающего guest'а?
ps. кстати я подумаю: слово "тьфу" в подписи выглядит неплохо. Болезнь школьников – многоточие, – точно лишнее, но "тьфу", я пожалуй добавлю к себе в подпись.
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-10-03 23:39:14.630000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
to s4avrd0w
Обычно, когда по-настояещему "автор "горе спец" и "школота мелкая", его просто инорируют.
Озвученная же сентенция предполагает обратное :-)
Спасибо за статью.
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2009-10-22 15:58:50.143333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
S4aVRd0w
Спасибо, очень интересная статья.
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2011-03-10 16:04:29.846666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
"А в первую очередь – с моей статьей."
Как говорил незабвенный профессор Выбегалло: "Мои труды читать надо." :-)
|
|
|
|
|
RE: Правила пентеста: аудит по стандарту PCI DSS - 2011-03-10 16:05:05.786666
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
123
|
|
|
|
|
|
