Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014
Рис. 6.3. Окно для указания диапазона IP-адресов для сканирования
Рис. 6.4. Выбор типа СУБД для сканирования
126
Рис. 6.5. Окно выбора сканируемых портов для ранее указанных IP-адресов
Наконец, нам предлагается ввести название сессии (рис. 6.6), перечень задач для исполнения сканером (рис. 6.7), после чего сканер начинает свою работу поиска (discovery – открытия) баз под управлением указанной (указанных) СУБД.
Рис. 6.6. Экран для задания названия сессии
127
Рис. 6.7. Экран со сформированной на выполнение задачей
После завершения процесса «Discavery» (окно выполняемого процесса показано на рис. 6.8) в левом верхнем углу основного экрана AppDetectivePro рядом с «пикчей» «Network» слева появляется знак «+» (рис. 6.9). Это означает, что процесс «Discavery» обнаружил в сети сервер(ы) баз данных.
Рис. 6.8. Экран, демонстрирующий выполнение процесса «Discavery»
128
Рис. 6.9. Завершение процесса «Discovery»
При нажатии на «плюс» появляются обнаруженные серверы с указанием IP-адреса, порты для listener (при сканировании Oracle), базы данных (см. рис. 6.9).
Вариант создания сессии, который мы выше рассмотрели, связан с созданием новой сессии. AppDetectivePro сохраняет созданные сессии, позволяет открывать предыдущие сессии, объединять предыдущие сессии. На рис. 6.9 видно, что AppDetectivePro обнаружил сервер Oracle 10g. AppDetectivePro при выполнении настоящей лабораторной работы с сервером Oracle 11g обнаружил бы этот сервер. В соответствии с этим на рисунке был бы показан listener и база данных Oracle 11g.
Выполнение PenTest (тест по выявлению уязвимостей в обнаруженных базах данных) средствами тестера
AppDetectivePro
Запуск PenTest показан на рис. 6.10.
При запуске PenTest требуется отметить те базы, для которых предполагается выполнить этот тест (рис. 6.11).
Перед запуском теста тестировщик предупреждается (рис. 6.12) о том, что в связи с попыткой связи с сервером Oracle по отдельным предустановленным аккаунтам (при установке сервера Oracle появляется ряд пользователей, пароли которых известны, тестер проверяет эти пароли и сигнализирует об уязвимости, если эти па-
129
роли не изменялись). При ответе «Yes» тест начинает свою работу
(рис. 6.13).
Рис. 6.10. Запуск PenTest в тестере AppDetectivePro
Рис. 6.11. Экран с выбором баз данных для тестирования
130