2009. március 3., kedd

Damn Vulnerable Linux

Sok eszköz elérhető, amelyek segítségével a betörési tesztek során használt eszközöket kockázatmentesen (azaz adatvesztés, szolgáltatásleállás) veszélye nélkül lehet „próbálgatni”. Ezen eszközök közül az egyik legjobban használható a Damn Vulnerable Linux, amelynek nemrégiben készült el a legfrissebb, 1.5-ös verziója.

A DVL koncepciója újszerű, ugyanis nemcsak sebezhető szolgáltatások garmadáját teszik elérhetővé rajta, hanem mellékelik ugyanazon disztribúcióban a sebezhetőségek kihasználásához szükséges eszközöket is. A DVL a BackTrack2-n alapul, emiatt az eszközpark jó közelítéssel megegyezik a BT2-n elérhetővel, viszont egyrészt számos eszközt integráltak a DVL-be, ami a BT2-ből hiányzik, másrészt a Firefoxhoz előre telepítettek rengeteg plugint, ami elsősorban webalkalmazások terén teszi erősebbé a DVL-t.

Ami az „oktató” szekciót illeti, megtalálható a sebezhető szolgáltatások csokrában számos phpBB verzió, jónéhány közkedvelt webalkalmazási motor sebezhető verziója, valamint elolvashatjuk az OWASP Testing Guide-jának legújabb verzióit. A DVL-ben helyet kapott a WebGoat csomag legfrissebb változata is: ebben már-már e-learning-szerű tárgyalással kerülnek terítékre a webalkalmazásokban található klasszikus biztonsági hiányosságok (OSRF, XSS, SQL injection stb.) egy szándékoltan sebezhető J2EE alapú webalkalmazásban.

A legjobb választás az, ha vmware-ben futtatjuk a DVL-t: a készítők jelzik is, hogy bár teljes értékű operációs rendszer, nem javasolják fizikai gépen történő futtatását a (szándékosan) belepakolt rengeteg sebezhetőség miatt.

A DVL-t szándékosan oktatási célú eszköznek szánják, és több egyetemen is oktatási segédanyagként használják biztonsági szakemberek képzésekor. A Budapesti Műszaki és Gazdaságtudományi Egyetemen ebben a félévben kísérleti jelleggel BSc-s végzős hallgatók kapják önálló kutatási területként az eszközben található webalkalmazások tesztelését, a munkát a Stratis tanácsadói külső konzulensként segítik.

Nincsenek megjegyzések:

Megjegyzés küldése

Kommentek