АННОТАЦИЯ |
6 |
СПИСОК СОКРАЩЕНИЙ |
7 |
ВВЕДЕНИЕ |
8 |
1. Анализ проблем безопасности корпоративных сетей |
10 |
1.1 Корпоративные сети, как основа ведения бизнеса |
10 |
1.2 Распространенные проблемы безопасности корпоративных сетей |
11 |
1.3 Общеизвестные инциденты нарушения безопасности функционирования корпоративных сетей |
12 |
1.4 Основные методы и средства защиты корпоративных сетей |
13 |
1.5 Выводы |
14 |
2. Анализ известных методик тестирования |
16 |
2.1 OWASP Testing Guide |
16 |
2.2 NIST 800-42 Guideline on Network Security Testing |
20 |
2.3 Penetration Testing Execution Standard |
24 |
2.4 NIST 800-115 Technical Guide to Information Security Testing and Assessment |
28 |
2.5 Разработка частной методики тестирования |
31 |
2.6 Выводы |
36 |
3. Разработка векторов атак |
37 |
3.1 Объект тестирования и сбор информации |
37 |
3.2 Эксплуатация уязвимостей скриптов плагинов и CMS |
38 |
3.3 Атака на панель администратора |
38 |
3.4 Взлом через SSH |
38 |
3.5 Атака на панель администратора хостинга |
38 |
3.6 Эксплуатация уязвимостей операционной системы и сервисов хостинга |
39 |
3.7 Эксплуатация уязвимостей баз данных сайтов |
39 |
3.8 Эксплуатация уязвимостей связанных с недочетами системы аутентификации и хранения сессии |
40 |
3.9 Выводы |
40 |
4. Тестирование на проникновение корпоративной сети компании GDS |
41 |
4.1 Сканирование шлюза корпоративной сети |
41 |
4.2 Поиск уязвимостей на сервисах, обнаруженных на шлюзе и реализация атаки |
43 |
4.3 Сетевое сканирование сервисов внутри корпоративной сети |
51 |
4.3.1 Сканирование Блога компании GDS |
51 |
4.3.2 Сканирование сервера Captcha |
52 |
4.3.3 Сканирование сервера Hall of Fame |
53 |
4.3.4 Сканирование сервера News |
54 |
4.3.5 Сканирование сервера web-control |
55 |
4.3.6 Сканирование интернет-магазина |
57 |
4.3.7 Сканирование сервера SSH-test |
58 |
4.4 Сканирование и эксплуатация уязвимостей сервисов внутри корпоративной сети |
59 |
4.4.1 Сканирования и эксплуатация уязвимостей Блога компании GDS |
59 |
4.4.2 Сканирования и эксплуатация уязвимостей сервера Captcha |
63 |
4.4.3 Сканирование и эксплуатация уязвимостей сервера Hall of Fame |
67 |
4.4.4 Сканирование и эксплуатация уязвимостей сервера News |
71 |
4.4.5 Сканирование и эксплуатация уязвимостей сервера Web-control |
76 |
4.4.6 Сканирование и эксплуатация уязвимостей Интернет-магазина |
79 |
4.4.7 Сканирование и эксплуатация уязвимостей SSH-test |
80 |
4.5 Анализ полученных данных при эксплуатации уязвимостей и разработка рекомендаций |
82 |
4.5.1 Анализ полученных данных при эксплуатации уязвимостей сервисов доступных со шлюза |
82 |
4.5.2 Анализ полученных данных при эксплуатации уязвимостей сервисов внутри корпоративной сети |
83 |
4.6 Разработка рекомендаций для защиты сервисов от уязвимостей корпоративной сети |
85 |
4.7 Повышение защищенности корпоративной сети компании за счет использования рекомендаций |
87 |
4.8 Выводы |
92 |
ЗАКЛЮЧЕНИЕ |
93 |
Список использованных источников |
95 |
Приложение 1 |
96 |
Приложение 2 |
97 |
Приложение 3 |
102 |
Приложение 4 |
104 |