So verwenden Sie BeEF, das kostenlose Penetrationstest-Framework

Für Unternehmen wird es immer wichtiger, ihre Beschäftigten über die Gefahren bei der Nutzung eines Webbrowsers aufzuklären und zu schulen. Die Mitarbeiter sollten sich der Nutzungsrichtlinien und der Sicherheitsprozesse für den Internetzugang bewusst sein. Aber wie kann ein Unternehmen herausfinden, ob die Anwender auch wirklich sicherheitsbewusst handeln?

Eine Antwort darauf ist das Browser Exploitation Framework (BeEF), ein Budget-schonendes Penetrationstest-Framework. BeEF ist kostenlos und hilft Firmen, Internet-Nutzer effizient für Sicherheitsfragen zu sensibilisieren und zu trainieren. Das Tool steht auf der Webseite des BeEF-Projekts zum Herunterladen bereit oder ist bereits in einer Distribution installiert.

In diesem Screencast demonstriert Keith Barker, CISSP-Trainer bei CBT Nuggets, wie Sie BeEF verwenden, um das Nutzerverhalten in einer sicheren Umgebung zu bewerten.

Mit BeEF können Sie „sicher“ Webbrowser-basierte Schwachstellen wie Cross-Site-Scripting (XSS) mit Client-seitigen Angriffsvektoren testen. Wenn ein Anwender einen von BeEF platzierten Link anklickt, wird sein Browser zum BeEf-Server weitergeleitet. Das Tool kann Kommandos an den Browser ausgeben, wie Redirects, URLs tauschen, Dialogboxen erzeugen und mehr. Das Pen-Testing-Tool hat die Fähigkeit, Malware auf der IP-Adresse eines anvisierten Browsers laufen zu lassen und ihn als Startpunkt für das Infiltrieren anderer Computer im Netzwerk zu nutzen - also die Schadsoftware zu verteilen.

BeEF ist vorinstalliert auf Betriebssystemen wie Kali Linux (früher Backtrack). Der BeEF-Server zeigt dem Tester eine Unzahl an Funktionen. So gibt es einen Report für alle laufenden Plug-ins auf dem Browser und für bis zu 14 verschiedene Browser-Komponenten und deren Status. Basierend auf dieser Information kann BeEF den Typ der Attacken empfehlen, die gegen den Browser gestartet werden können. Die Berichte des Tools sind überraschend detailliert und bieten ausführlichen Daten zum anvisierten Browser.

Von Clippy, der „hilfreichen“ Büroklammer aus Microsoft Office, bis zu einer gefälschten Benachrichtigungsleiste, BeEF zeigt hunderte von möglichen Exploits um einen Browser zu kompromittieren. Das sind Dinge, derer sich Ihre Mitarbeiter bewusst sein sollten wen sie im Unternehmens-Netzwerk durch das Internet surfen.

Über den Autoren:

Keith Barker ist Trainer bei CBT Nuggets und verfügt über mehr als 27 Jahre IT-Erfahrung. Er ist doppelter CCIE und hat zahlreiche Bücher und Artikel für Cisco Press verfasst. CBT Nuggets bietet IT-Trainings zu Themen wie Netzwerk-Sicherheit, Server-Administration und mehr an.

Alle Videos ansehen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close