Outpost24 API cyber banner


gnews




Security


Τι είναι και πώς να τα δοκιμάσετε



By

Marizas Dimitris




Οι εφαρμογές Ιστού συχνά χειρίζονται τεράστιες ποσότητες δεδομένων, από προσωπικά στοιχεία χρήστη έως ευαίσθητες εταιρικές πληροφορίες. Καθώς αυτές οι εφαρμογές αυξάνονται σε πολυπλοκότητα και σημασία, γίνονται επίσης πρωταρχικοί στόχοι για τους παράγοντες απειλών.

Οι εγκληματίες του κυβερνοχώρου επιτίθενται συχνά σε εφαρμογές Ιστού και εκμεταλλεύονται κοινές αδυναμίες που τους βοηθούν να επιτύχουν τους κακόβουλους στόχους τους, όπως η κλοπή δεδομένων, η εταιρική κατασκοπεία ή απλώς η πρόκληση διαταραχών για χάρη τους.

Με την άνοδο της ευέλικτης ανάπτυξης και της συνεχούς παράδοσης, υπάρχει πίεση για γρήγορη απελευθέρωση νέων χαρακτηριστικών. Ως αποτέλεσμα, οι ομάδες προγραμματιστών μερικές φορές παραβλέπουν την ασφάλεια υπέρ της ταχύτητας και της ευελιξίας.


Το Top 10 του OWASP

είναι ένας κρίσιμος πόρος που αντιπροσωπεύει μια ευρεία συναίνεση σχετικά με τους σημαντικότερους κινδύνους ασφαλείας για τις εφαρμογές Ιστού.

Αυτό το άρθρο κάνει μια βαθιά βουτιά στο OWASP Top 10 και συμβουλεύει τον τρόπο δοκιμής των εφαρμογών ιστού σας για ευαισθησία σε αυτούς τους κινδύνους ασφαλείας.

Το OWASP Top 10 τελευταία έκδοση

Το OWASP (Open Web Application

Project) Top 10 ξεκίνησε το 2003 ως ένας τρόπος για να τονιστούν τα πιο κρίσιμα τρωτά σημεία των εφαρμογών ιστού με βάση τα δεδομένα του πραγματικού κόσμου και τη συναίνεση των ειδικών.

Καθώς οι εφαρμογές που βασίζονται στον ιστό έγιναν αναπόσπαστο μέρος των ψηφιακά μετασχηματισμένων επιχειρηματικών λειτουργιών, προέκυψε επίσης μια αυξανόμενη ανάγκη για βελτιωμένη ασφάλεια.

Με τα χρόνια, το OWASP Top 10 έχει υποβληθεί σε περιοδικές αναθεωρήσεις για να παραμείνει σχετικό με το εξελισσόμενο τοπίο απειλών. Η προσέγγισή του που βασίζεται στα δεδομένα, σε συνδυασμό με γνώσεις ειδικών, το καθιστά σημείο αναφοράς για την κατανόηση, τη δοκιμή και τη βελτίωση της ασφάλειας των εφαρμογών Ιστού.

Αναγνωρισμένο όχι μόνο για την εκπαιδευτική του αξία αλλά και για τον ρόλο του στη διαμόρφωση πρακτικών και προτύπων ασφαλείας, το OWASP Top 10 είναι απαραίτητο για τη δημιουργία ασφαλών εφαρμογών ιστού.

Ακολουθεί μια ανασκόπηση των πιο πρόσφατων

OWASP Top 10

(από το 2021).

1. Σπασμένος έλεγχος πρόσβασης

Ο σπασμένος έλεγχος πρόσβασης αναφέρεται στην τοποθέτηση ανεπαρκών περιορισμών σχετικά με το τι επιτρέπεται να κάνουν οι πιστοποιημένοι χρήστες σε μια εφαρμογή. Αυτά τα ελαττώματα στην εφαρμογή των δικαιωμάτων και δικαιωμάτων χρήστη επιτρέπουν στους χρήστες να εκτελούν ενέργειες ή να έχουν πρόσβαση σε δεδομένα πέρα ​​από τα προβλεπόμενα προνόμιά τους. Ένα παράδειγμα σπασμένου ελέγχου πρόσβασης είναι όταν ένας τυπικός χρήστης απλώς χειρίζεται μια διεύθυνση URL για να αποκτήσει πρόσβαση σε λειτουργίες διαχειριστή στην εφαρμογή χωρίς τα κατάλληλα προνόμια.

Για να δοκιμάσετε μια εφαρμογή ιστού για κινδύνους ασφάλειας ελέγχου πρόσβασης, εξετάστε τις ακόλουθες στρατηγικές:

  • Δημιουργήστε πολλούς λογαριασμούς δοκιμής, ο καθένας με διαφορετικούς ρόλους και προσπαθήστε να εκτελέσετε ενέργειες εκτός πεδίου εφαρμογής.
  • Προσπαθήστε να παραβιάσετε ή να ανταλλάξετε διακριτικά περιόδου σύνδεσης για να δείτε εάν ένας χρήστης μπορεί να μιμηθεί έναν άλλον ή να αυξήσει την πρόσβασή του.
  • Προσπαθήστε να τροποποιήσετε παραμέτρους στη διεύθυνση URL, στα κρυφά πεδία ή στα αιτήματα API για πρόσβαση σε αντικείμενα που δεν προορίζονται για τυπικούς χρήστες.

Το πιο σημαντικό προληπτικό μέτρο είναι ο σχεδιασμός και η εφαρμογή ενός ισχυρού συστήματος ελέγχου πρόσβασης βάσει ρόλου (RBAC). Βεβαιωθείτε ότι κάθε ρόλος χρήστη έχει τα ελάχιστα απαραίτητα δικαιώματα (αρχή ελάχιστων προνομίων). Εφαρμόστε αυτούς τους ρόλους με συνέπεια σε όλη την εφαρμογή, τόσο στο μπροστινό μέρος όσο και στο πίσω άκρο.

2. Κρυπτογραφικές αστοχίες

Αυτός ο κίνδυνος ασφαλείας σχετίζεται με το πρόβλημα της ακατάλληλης υλοποίησης ή χρήσης κρυπτογραφίας, όπως η χρήση απαρχαιωμένων αλγορίθμων ή εσφαλμένων διαμορφώσεων διαχείρισης κλειδιών. Οι εξειδικευμένοι χάκερ μπορούν να παρακάμψουν επιπόλαια την αδύναμη ή εσφαλμένη διαμόρφωση κρυπτογραφίας για να παραβιάσουν μια εφαρμογή Ιστού ή να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα.

Για να ελέγξετε για αυτόν τον κίνδυνο:

  • Ελέγξτε τις κρυπτογραφικές πρακτικές για καταργημένες μεθόδους ή αλγόριθμους.
  • Δοκιμάστε πρακτικές διαχείρισης κλειδιών.
  • Βεβαιωθείτε ότι η εφαρμογή χρησιμοποιεί ασφαλείς, ενημερωμένες κρυπτογραφικές βιβλιοθήκες.

3. Ένεση

Τα σφάλματα έγχυσης σε εφαρμογές Ιστού επιτρέπουν στους εισβολείς να δημιουργούν κακόβουλες εισόδους που μπορούν να ξεγελάσουν μια εφαρμογή για να εκτελέσει ακούσιες εντολές. Ο πιο γνωστός τύπος είναι η ένεση SQL, όπου οι χάκερ χειρίζονται τα ερωτήματα της βάσης δεδομένων μιας εφαρμογής Ιστού.

Νωρίτερα φέτος, ένα δημοφιλές πρόσθετο που χρησιμοποιείται από περισσότερους από 930.000 ιστότοπους WordPress βρέθηκε να έχει ελαττώματα στην ένεση αντικειμένων PHP.

Για να ελέγξετε την εφαρμογή ιστού σας για κινδύνους ένεσης:

  • Χρησιμοποιήστε ανάλυση στατικού κώδικα για να εντοπίσετε πιθανές ευπάθειες.
  • Δοκιμάστε την εφαρμογή δυναμικά με διάφορα ωφέλιμα φορτία έγχυσης.
  • Βεβαιωθείτε ότι η εφαρμογή επικυρώνει και απολυμαίνει τις εισροές των χρηστών.

4. Ανασφαλής Σχεδιασμός

Ανασφαλής σχεδίαση σε εφαρμογές Ιστού σημαίνει αρχιτεκτονικές και θεμελιώδεις επιλογές που στερούνται εγγενώς ζητημάτων ασφαλείας. Αυτές οι επικίνδυνες επιλογές μπορεί να καταστήσουν μια εφαρμογή ευάλωτη σε επιθέσεις, ανεξάρτητα από τα μεμονωμένα μέτρα ασφαλείας σε επίπεδο κώδικα.

Οι στρατηγικές δοκιμών για ανασφαλή σχεδιασμό είναι πιο διαφοροποιημένες και περιλαμβάνουν:

  • Διεξαγωγή μοντελοποίησης απειλών για την κατανόηση του σχεδιασμού της εφαρμογής, του τρόπου ροής δεδομένων και πιθανών σημείων αδυναμίας.
  • Πραγματοποίηση ολοκληρωμένης αναθεώρησης της

    ς της εφαρμογής και αξιολόγηση εάν οι έλεγχοι ασφαλείας είναι ενσωματωμένοι στα θεμελιώδη επίπεδα, συμπεριλαμβανομένου του ελέγχου ταυτότητας, της εξουσιοδότησης και της επικύρωσης δεδομένων.
  • Διασφάλιση ότι τα περιβάλλοντα ανάπτυξης, δοκιμών και παραγωγής είναι διακριτά και διαχωρισμένα.

5. Λανθασμένη ρύθμιση παραμέτρων ασφαλείας

Η εσφαλμένη ρύθμιση παραμέτρων ασφαλείας σε εφαρμογές web συμβαίνει όταν οι ρυθμίσεις και τα στοιχεία ελέγχου ασφαλείας δεν εφαρμόζονται σωστά, αφήνονται στις προεπιλεγμένες τιμές ή παραβλέπονται εντελώς. Οι κίνδυνοι εσφαλμένων διαμορφώσεων περιλαμβάνουν μη προστατευμένα αρχεία, καταλόγους ή βάσεις δεδομένων που διευκολύνουν την ακούσια πρόσβαση σε πολύτιμα δεδομένα ή δυνατότητες συστήματος.

Οι βιαστικές αναπτύξεις και η έλλειψη ευαισθητοποίησης σχετικά με την ασφάλεια είναι οι κύριες αιτίες αυτών των κινδύνων.

Για να ελέγξετε τις εφαρμογές Ιστού σας για εσφαλμένες διαμορφώσεις ασφαλείας:

  • Ελέγχετε τακτικά και ελέγχετε τις διαμορφώσεις εφαρμογών, βάσης δεδομένων, διακομιστή και δικτύου με μη αυτόματο τρόπο.
  • Χρησιμοποιήστε αυτοματοποιημένους σαρωτές και εργαλεία ασφαλείας που μπορούν να εντοπίσουν κοινές εσφαλμένες διαμορφώσεις.
  • Παρακολουθήστε μηνύματα σφάλματος για διαρροές ευαίσθητων πληροφοριών, όπως διαδρομές, λεπτομέρειες διακομιστή ή πληροφορίες βάσης δεδομένων.
  • Βεβαιωθείτε ότι δεν υπάρχουν ενεργά προεπιλεγμένα διαπιστευτήρια (όνομα χρήστη/κωδικός πρόσβασης) στην εφαρμογή.

6. Ευάλωτα και ξεπερασμένα εξαρτήματα

Τα ευάλωτα και παλιά στοιχεία σε εφαρμογές ιστού αναφέρονται σε βιβλιοθήκες, προσθήκες, πλαίσια και άλλες λειτουργικές μονάδες λογισμικού τρίτων που έχουν γνωστά τρωτά σημεία ασφαλείας αλλά δεν έχουν ενημερωθεί ή διορθωθεί από τους προγραμματιστές.

Οι εφαρμογές Ιστού που βασίζονται σε ευάλωτα στοιχεία κληρονομούν τις αδυναμίες τους, γεγονός που παρέχει μια πιθανή διαδρομή για την εκμετάλλευση των παραγόντων απειλής.

Για να δοκιμάσετε εφαρμογές Ιστού για ευάλωτα/παλαιωμένα στοιχεία:

  • Διατηρήστε ένα ενημερωμένο απόθεμα όλων των στοιχείων τρίτων, των βιβλιοθηκών, των προσθηκών και των πλαισίων που χρησιμοποιούνται στην εφαρμογή σας, συμπεριλαμβανομένων των εκδόσεων και των εξαρτήσεων τους.
  • Αναφέρετε το απόθεμα των στοιχείων σας με βάσεις δεδομένων ευπάθειας όπως η Εθνική βάση δεδομένων ευπάθειας (NVD) ή λεπτομέρειες CVE.
  • Χρησιμοποιήστε αυτοματοποιημένα εργαλεία όπως το OWASP’s Dependency-Check για να σαρώσετε τις εξαρτήσεις του έργου και να τις συγκρίνετε με γνωστές βάσεις δεδομένων ευπάθειας.

7. Αποτυχίες αναγνώρισης και ελέγχου ταυτότητας

Οι ελαττωματικοί μηχανισμοί ελέγχου ταυτότητας, όπως οι αδύναμες πολιτικές κωδικών πρόσβασης, η έλλειψη ελέγχου ταυτότητας πολλαπλών παραγόντων ή η εσφαλμένη εφαρμογή της διαχείρισης περιόδων σύνδεσης επιτρέπουν στους εισβολείς να μιμούνται τους νόμιμους χρήστες ή να παρακάμπτουν εντελώς τους ελέγχους ελέγχου ταυτότητας.

Αυτές οι αποτυχίες ανοίγουν το δρόμο για μη εξουσιοδοτημένη πρόσβαση σε δεδομένα, κλοπή ταυτότητας και πιθανή

λογαριασμών χρηστών.

Για να δοκιμάσετε αυτόν τον κίνδυνο OWASP Top 10:

  • Ελέγξτε για ελάχιστες απαιτήσεις μήκους/πολυπλοκότητας κωδικού πρόσβασης και δοκιμάστε κοινούς ή προεπιλεγμένους κωδικούς πρόσβασης για να δείτε εάν η εφαρμογή τους αποδέχεται.
  • Ελέγξτε εάν οι περίοδοι σύνδεσης λήγουν κατάλληλα μετά από αδράνεια ή μετά την αποσύνδεση ενός χρήστη.
  • Προσπαθήστε να χειριστείτε ή να επαναλάβετε τα cookie για να δείτε εάν μπορείτε να πλαστοπροσωπήσετε μια περίοδο λειτουργίας.
  • Δοκιμάστε να χειριστείτε διευθύνσεις URL, παραμέτρους ερωτήματος ή κρυφά πεδία για να παρακάμψετε τους ελέγχους ελέγχου ταυτότητας.

8. Αποτυχίες ακεραιότητας λογισμικού και δεδομένων

Αποτυχίες λογισμικού και ακεραιότητας δεδομένων συμβαίνουν όταν μια εφαρμογή δεν μπορεί να διασφαλίσει την αυθεντικότητα και την αξιοπιστία των δεδομένων και του κώδικα εφαρμογής. Η ακεραιότητα αφορά τη διασφάλιση ότι τα δεδομένα και ο κώδικας παραμένουν αναλλοίωτα και γνήσια από την αρχική τους κατάσταση.

Οι αποτυχίες στην ακεραιότητα του λογισμικού και των δεδομένων εισάγουν τον κίνδυνο μη εξουσιοδοτημένων τροποποιήσεων που οδηγούν σε δόλιες συναλλαγές ή την εισαγωγή κακόβουλου κώδικα στην εφαρμογή.

Για να ελέγξετε για αυτές τις αποτυχίες, σκεφτείτε:

  • Παραποίηση δεδομένων που έχουν μεταδοθεί και παρατήρηση εάν η εφαρμογή δέχεται τα παραποιημένα δεδομένα χωρίς κανέναν έλεγχο.
  • Χειρισμός αρχείων ή βιβλιοθηκών εφαρμογών και έλεγχος εάν η εφαρμογή εντοπίζει μη εξουσιοδοτημένες αλλαγές.
  • Έλεγχος για την απουσία αθροισμάτων ελέγχου, ψηφιακών υπογραφών ή άλλων μηχανισμών επαλήθευσης που θα επικύρωναν την ακεραιότητα των δεδομένων ή των στοιχείων λογισμικού.

9. Αποτυχία καταγραφής και παρακολούθησης ασφαλείας

Αυτός ο κίνδυνος σχετίζεται με την ανεπαρκή καταγραφή των δραστηριοτήτων σε μια εφαρμογή ή την αδυναμία προληπτικού εντοπισμού και ανταπόκρισης σε κακόβουλες ενέργειες σε πραγματικό χρόνο.

Η έλλειψη λεπτομερών αρχείων καταγραφής ή η απουσία παρακολούθησης δημιουργεί τυφλά σημεία που εμποδίζουν τον έγκαιρο εντοπισμό μη εξουσιοδοτημένης πρόσβασης, παραβιάσεις δεδομένων ή άλλες κακόβουλες δραστηριότητες.

Για να αξιολογήσετε εάν μια εφαρμογή Ιστού έχει αυτούς τους κινδύνους:

  • Ελέγχετε τακτικά τα αρχεία καταγραφής για να βεβαιωθείτε ότι καταγράφουν σχετικά συμβάντα ασφαλείας, όπως αποτυχημένες προσπάθειες σύνδεσης, πρόσβαση σε ευαίσθητα δεδομένα ή αλλαγές στη διαμόρφωση του συστήματος.
  • Βεβαιωθείτε ότι όλα τα κρίσιμα στοιχεία, όπως οι βάσεις δεδομένων, οι διακομιστές και τα τελικά σημεία εφαρμογής, παρακολουθούνται.
  • Ελέγξτε τις διαμορφώσεις των εργαλείων παρακολούθησης για να βεβαιωθείτε ότι έχουν ρυθμιστεί ώστε να καταγράφουν όλα τα σχετικά συμβάντα ασφαλείας.

10. Παραχάραξη αιτημάτων από την πλευρά του διακομιστή (SSRF)

Η πλαστογράφηση αιτημάτων από την πλευρά του διακομιστή (SSRF) είναι μια ευπάθεια ασφαλείας στην οποία ένας εισβολέας χειρίζεται μια εφαρμογή Ιστού για να κάνει ανεπιθύμητα αιτήματα σε εσωτερικούς πόρους ή συστήματα τρίτων για λογαριασμό του διακομιστή.

Αυτός ο κίνδυνος διευκολύνει τις πλευρικές κινήσεις σε υποδομές δικτύου και επιτρέπει στους εισβολείς να διασυνδέονται με υπηρεσίες υποστήριξης ή να εκμεταλλεύονται δεδομένα.

Για δοκιμή για SSRF:

  • Πειραματιστείτε με διαφορετικά σχήματα URL (όπως file://, dict://, sftp://, κ.λπ.) για να προσπαθήσετε να αποκτήσετε πρόσβαση σε πόρους που δεν είναι HTTP.
  • Μιμηθείτε αιτήματα διεπαφής ιστού για να πραγματοποιήσετε ένα API back-end, αλλά τροποποιήστε τα αιτήματα με

    http://localhost/admin

    ή

    http://127.0.0.1/admin

    για να δείτε εάν επιστρέφονται τυχόν μη αναμενόμενα δεδομένα.
  • Προσδιορίστε περιοχές σιωπηρής εμπιστοσύνης μεταξύ κεντρικών υπολογιστών, όπως διακομιστές τοπικών βάσεων δεδομένων που εμπιστεύονται διακομιστές ιστού.
  • Αναζητήστε λεπτομερή μηνύματα σφάλματος που μπορεί να υποδεικνύουν ευπάθεια SSRF. Για παράδειγμα, εάν εισαγάγετε μια εσωτερική IP και το σφάλμα αποκαλύψει λεπτομέρειες σχετικά με έναν εσωτερικό πόρο, αυτό είναι ένα πιθανό σημάδι κινδύνου.

Η σημασία των τακτικών δοκιμών ασφαλείας εφαρμογών Ιστού

Όπως υπογραμμίζει με συνέπεια το OWASP Top 10, τα τρωτά σημεία σε εφαρμογές Ιστού εκθέτουν τους οργανισμούς σε σημαντικούς κινδύνους, από παραβιάσεις δεδομένων έως ζημιά στη φήμη. Δεν είναι μόνο να γνωρίζουμε αυτά τα τρωτά σημεία, αλλά να τα δοκιμάζουμε ενεργά σε τακτική βάση.

Με κάθε

κώδικα, αλλαγή υποδομής ή προσθήκη νέας δυνατότητας, μπορεί να προκύψουν πιθανά κενά ασφαλείας. Η συνεχής επαγρύπνηση είναι απαραίτητη, και αυτό είναι δυνατό μόνο με τακτικές δοκιμές που υπερβαίνουν τις ετήσιες δοκιμές στυλό που πολλές εταιρείες εκτελούν ως μια

σημείωσης.

Σε αντίθεση με τις παραδοσιακές εφάπαξ δοκιμές διείσδυσης, η δοκιμή πένας ως υπηρεσία (PTaaS) προσφέρει συνεχή δοκιμή εφαρμογών ιστού για τον εντοπισμό τρωτών σημείων προτού οι κακόβουλοι παράγοντες μπορέσουν να τις εκμεταλλευτούν. Η πλατφόρμα PTaaS του Outpost24 συνδυάζει το βάθος και την ακρίβεια της χειροκίνητης δοκιμής διείσδυσης με τη σάρωση ευπάθειας για την ασφάλεια των εφαρμογών Ιστού σε κλίμακα.

Η λύση προσφέρει άμεση πρόσβαση σε μια εξαιρετικά εξειδικευμένη ομάδα εσωτερικών ελεγκτών, εξασφαλίζοντας την πιο ακριβή προβολή των τρωτών σημείων σας, συμπεριλαμβανομένων των σφαλμάτων επιχειρηματικής λογικής και των κερκόπορτων που έχασαν οι αυτοματοποιημένοι σαρωτές. Μεγιστοποιήστε το πρόγραμμα ασφάλειας της εφαρμογής σας χωρίς να επιβραδύνεται η ανάπτυξη.

Μάθε περισσότερα για

Η λύση PTaaS του Outpost24

.


Χορηγός και γραμμένος από

Φυλάκιο 24

.


VIA:

bleepingcomputer.com


Παρόμοια άρθρα



Νέο κακόβουλο λογισμικό μεσολάβησης στοχεύει…




Οι κρατικοί χάκερ της Βόρειας Κορέας έκλεψαν 3…




Η έκδοση Linux του Qilin ransomware εστιάζει στο…




Οι χάκερ της 23andMe είχαν πρόσβαση σε πληροφορίες…






OWASP


security


κυβερνασφάλεια


Τρωτό


Φυλάκιο 24






Marizas Dimitris



78681 posts


10 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.