back

Внутрішній пентест PCI-DSS

Метою проекту була перевірка на відповідність до стандарту безпеки даних індустрії платіжних карток (PCI DSS) внутрішньої мережі замовника. Тестування проводилось методом сірого ящика (Gray-box). Через високий рівень безпеки, пентестер працював із комп'ютера, що надав йому замовник і на якому був встановлений Kali Linux та обмежений доступ до Інтернету. Тестування включало перевірку інфраструктури, мережеві атаки 2-го рівня, тестування сегментації мережі, внутрішнє тестування веб-додатка. Методологія включала вимоги до тестування на проникнення PCI.

HIRE US

В результаті замовник отримав детальний звіт із знайденими проблемами і специфікацією, яка саме вимога PCI була порушена. Деякі з виявлених проблем:

  • Відсутність міжмережевого екрану IPv6 в системі. Хоча багато серверів мали міжмережевий екран з правилами IPv4, правила IPv6 не впроваджені, але IPv6 був увімкнений на мережевих інтерфейсах. Можна було приєднатися до широкого набору послуг через IPv6, включно з обміном NFS із резервними копіями. Резервні копії мали приватний ключ SSH, що дозволило проникнути в CDE одного із серверів.
  • Додаток JavaEE не мав належних типів файлів і фільтрації розташування файлів, що дозволило завантажити JSP web-shell і скомпрометувати сервер додатку.
  • Сервер логів, що використовувався для обслуговування машин CDE, застосовував екземпляр Elastic для зберігання логів, включаючи команди, здійснені системним адміністратором.
  • База даних паролів була відновлена з тих самих логів.
This website uses cookies to give you the best experience. Terms & Conditions