24. Januar 2008

Job done? NO!

Category: Hacking,Internet — Christian @ 21:47

Bei manchen Security Testern frage ich mich ja wirklich: denken die noch selbst oder lassen die die Tools denken und wenn die Tools keine vernünftige Aussage machen, dann rufen wir Mami um Hilfe?

Hier ist wieder so ein Beispiel. Der Autor SkyOut beispielsweise schlägt eine coole Technik vor, um Nikto zu täuschen: ErrorDocument redirects.

Die Kurzusammenfassung lautet in etwa, man verwende

ErrorDocument 400 http://example.com
ErrorDocument 401 http://example.com
ErrorDocument 403 http://example.com
ErrorDocument 404 http://example.com
ErrorDocument 405 http://example.com
ErrorDocument 500 http://example.com

und schon liefert Nikto einen Haufen False Positives:

"+ /admin/config.php - Redirects to http://example.com/ , PHP Config file
may contain database IDs and passwords."

SkyOut schreibt dazu:

    „This will be annoying and means a lot of work to filter out, what is wrong and what is interesting. […] Summarizing this we could say, that Nikto is useless or let’s say, it is not that automatic as it was before our changes because now the user does have to do A LOT of work by him- or herself.“

Stimmt: grep -v „Redirects to http://example.com/“ Ich gebe zu, das ist krass viel eigene Arbeit.

Ich versteh’s manchmal echt nicht. Penetrationstests sind ein wenig mehr als nur automatische Tools wie Nmap, Nessus, Nikto, LANguard und Co. zu starten, aus der Ausgabe ein PDF zu machen und  an den Kunden zu schicken. Natürlich steckt die meiste Arbeit in der Auswertung aber genauso gibt es bessere Tools als Nikto und mit ein wenig Kenntnissen von grep und awk (ich empfehle das Buch Unix Power Tools!) hat man den Schrott ruck-zuck ausgefiltert. Seufz.

Naja, coole Domainnamen (Smash the Stack) und leet Kapitelnummern (0x01) garantieren halt noch keinen brauchbaren Inhalt.