Online инструменты для простейшего Pentest-а

[AndreyUA]

Напрягает ввод обязательный номера телефона при регистрации. Я думаю, что эта строка многих отпугнет.

[unibasil]

Check Me показывает мою полную уязвимость всему. Оказывается, что возможность скачать PDF из Интернета — это ZERO DAY VULNERABILITY. Буду знать.

[cooper051]

Это не обычная pdf, а специально подготовленная.

[unibasil]

И чем она отличается от специально неподготовленной? Уязвимость-то в чём?

[cooper051]

Думаю, что речь идет об использовании ROP. Т.е. когда после эксплуатации уязвимости adobe, зловред собирается непосредственно на компьютере жертвы из уже имеющихся функций и процессов. Такие файлы потоковые антивирусы не детектируют, т.к. в вирусного кода просто нет.
Но это только мои догадки. Я к сожалению не обладаю более точной информацией.

[jok40]

Полагаю, что уязвимость заключается в отсутствии на компе антивируса, который отловил бы этот специально подготовленный, типа «инфицированный», файл.

[cooper051]

По идее антивирус тоже должен облажаться, иначе это уже не 0-day.

[jok40]

Я скачал pdf-ник по ссылке из Вашей статьи и заслал его на virustotal. Вот результат. Так что на зиродэй это и правда не тянет.

[cooper051]

Да, но если посмотреть чуть ниже, то увидим, что многие антивирусы его по прежнему не детектируют. Скорее всего еще пару недель назад это был 0-day, а сейчас сигнатура потихоньку расходится по всем антивирусным базам.

[unibasil]

Хорошо, но как система Check Me определила отсутствие у меня такого антивируса? Извне, из Интернета? Без загрузки этого специально подготовленного файла ко мне на компьютер? Я не думаю, что он без моего ведома уже лежит где-то у меня в системе и сам по себе тихонько собирается в адский зловред только из-за того, что я нажал кнопку Check Security Now.

[jok40]

Проверил только что комп с установленным каспером:

вот результат

При проверке каспер несколько раз открывал окошко с информацией о том, что только что заблокировал загрузку какого-то файла или заблокировал переход по ссылке.

[cooper051]

Аналогичный тест сделал с ESET-NOD32. Тот вообще ничего не сказал.

[teecat]

Проверил на актуальном Доктор Веб. Странно то, что тест скажем на обнаружение Eicar антивирус проходит, а вот при попытке открыть ссылки из статьи ничего не происходит. Они точно корректные?

[jok40]

Вот лог каспера:

Зиродей, кстати, в результатах проверки вcё равно светится красным, хотя каспер, судя по отчёту, заблокировал загрузку этого pdf-ника.

[cooper051]

CheckMe использует функции JavaScript, которые выполняются в контексте страницы и выполняет следующие действия:
1.Скачивает «вредоносный» файл (в распакованном виде и архивированном виде) из cpcheckme.com через HTTP, HTTPS
2.Сообщает “чувствительные” данные в cpcheckme.com
3.Загрузка изображений с доменов с плохой репутацией

[MBZimin]

http://tssolution.ru/check-point-checkme/
Детальное описание работы скрипта и рекомендации по настройке, чтобы все атаки блокировались.

[miwa]

Я правильно понимаю, что по мнению cpcheckme свежайший debian testing является полностью уязвимой системой? По той причине что на нем нету антивируса?

[cooper051]

Ну ативирусный тест в данном случае будет нечестным, т.к. там наверняка сидит вирус для винды. В остальном пожалуй все актуально.

[Tishka17]

В полном отчете мне написал, что не смог скачать с Андроида через мобильную сеть инфицированных файл по https. С учетом отсутствия у меня на телефоне каких-либо​ антивирусов и успешности остальных попыток качать малварь, очень странно рисовать тут зеленую галочку.