Водич за почетнике за тестирање продирања у веб апликације

beginners guide web application penetration testing

Пенетрација тестирање ака Пен Тест је најчешће коришћена техника тестирања безбедности за веб апликације.

Тестирање пенетрације веб апликација врши се симулирањем неовлашћених напада интерно или екстерно како би се добио приступ осетљивим подацима.

Продирање кроз веб помаже крајњим корисницима да сазнају могућност хакера да приступи подацима са Интернета, сазна безбедност својих сервера е-поште, а такође и да сазна колико су сигурни веб локација и сервер за веб хостинг.

Па, хајде сада да покријемо садржај овог чланка.

веб локација која вам омогућава преузимање ИоуТубе видео снимака

(слика извор )

У овом упутству за тестирање пенетрације покушао сам да обухватим:

• Потреба Пентеста за тестирањем веб апликација,
• Стандардна методологија доступна за Пентест,
• Приступ веб апликацији Пентест,
• Које врсте тестирања можемо да обавимо,
• Кораци које треба предузети за извођење теста пенетрације,
• Алати који се могу користити за тестирање,
• Неки од добављача услуга испитивања пенетрације и
• Неки од сертификата за тестирање пенетрације на мрежи

Препоручени алати за скенирање рањивости:

# 1) Мрежни паркер

Нетспаркер је једноставан за употребу и аутоматизована платформа за тестирање безбедности веб апликација коју можете користити за идентификовање стварних и експлозивних рањивости на вашим веб локацијама.

#два) Киуван

Пронађите и поправите рањивости у свом коду у свакој фази СДЛЦ-а.

Киуван је усклађен са најстрожим безбедносним стандардима, укључујући ОВАСП, ЦВЕ, САНС 25, ХИППА и друге. Интегришите Киуван у свој ИДЕ за тренутне повратне информације током развоја. Киуван подржава све главне програмске језике и интегрише се са водећим ДевОпс алатима.

Шта ћете научити:

• Зашто је потребно испитивање пенетрације?
  • Скенирање рањивости или тестирање оловке?
• Методологија испитивања продирања кроз веб
• Врсте тестирања пенетрације на мрежи
• Приступ тестирању веб оловке:
  • # 1) Фаза планирања (пре тестирања)
  • # 2) Фаза напада / извршења (током тестирања):
  • # 3) Фаза извршења након (након тестирања):
• Врхунски алати за испитивање продора
• Врхунске компаније за испитивање пенетрације
• Неке потврде о испитивању пенетрације:
• Закључак
• Препоручено читање

Зашто је потребно испитивање пенетрације?

Када говоримо о сигурности, најчешћа реч коју чујемо је Рањивост .

Када сам у почетку почео да радим као испитивач безбедности, често сам се збуњивао са овом речју Рањивост и сигуран сам да би многи од вас, моји читаоци пали у исти чамац.

У корист свих својих читалаца, прво ћу разјаснити разлику између рањивости и тестирања оловке.

Па, шта је Рањивост ? Рањивост је терминологија која се користи за идентификовање недостатака у систему који могу изложити систем безбедносним претњама.

Скенирање рањивости или тестирање оловке?

Скенирање рањивости омогућава кориснику да открије познате слабости апликације и дефинише методе за поправљање и побољшање свеукупне сигурности апликације. У основи се утврђује да ли су инсталиране сигурносне закрпе, да ли су системи правилно конфигурисани да отежавају нападе.

Тестови оловком углавном симулирају системе у реалном времену и помажу кориснику да сазна да ли систему могу приступити неовлашћени корисници, ако да, која штета може настати и којим подацима итд.

Стога је скенирање рањивости детективска контролна метода која предлаже начине за побољшање безбедносног програма и осигуравање да се не појаве познате слабости, док је тест оловке превентивни контролни метод који даје укупан приказ постојећег безбедносног слоја система.

Иако обе методе имају свој значај, али то ће зависити од тога шта се заиста очекује као део тестирања.

Као тестерима, неопходно је да нам буде јасна сврха тестирања пре него што пређемо на тестирање. Ако вам је јасан циљ, врло добро можете одредити да ли требате направити скенирање рањивости или тестирање оловке.

Важност и потреба за тестирањем оловке за веб апликације:

• Пентест помаже у идентификовању непознатих рањивости.
• Помаже у провери ефикасности укупних безбедносних политика.
• Помоћ у тестирању јавно изложених компонената попут заштитног зида, рутера и ДНС-а.
• Омогућава кориснику да сазна најугроженији пут којим се може извршити напад
• Помаже у проналажењу рупа које могу довести до крађе осетљивих података.

Ако погледате тренутну потражњу на тржишту, дошло је до наглог повећања употребе мобилних уређаја, што постаје главни потенцијал за нападе. Приступ веб локацијама путем мобитела склон је чешћим нападима, а тиме и угрожавању података.

Тестирање пенетрације тако постаје веома важно у осигурању да градимо сигуран систем који корисници могу користити без икаквих брига о хаковању или губитку података.

Методологија испитивања продирања кроз веб

Методологија није ништа друго до скуп смерница сигурносне индустрије о томе како треба спровести тестирање. Постоје неке добро успостављене и познате методологије и стандарди који се могу користити за тестирање, али с обзиром да свака веб апликација захтева различите врсте тестова, тестери могу створити сопствене методологије позивајући се на стандарде доступне на тржишту.

Неке методологије и стандарди испитивања сигурности су -

• ОВАСП (Отворени пројекат заштите веб апликација)
• ОССТММ (Приручник за методологију испитивања безбедности отвореног кода)
• ПТФ (Оквир за испитивање пенетрације)
• ИССАФ (Оквир за процену безбедности информационих система)
• ПЦИ ДСС (Стандард заштите података индустрије платних картица)

Сценарији теста:

У наставку су наведени неки од тест сценарија који се могу тестирати као део Тестирање пенетрације веб апликација (ВАПТ):

1. Цросс Сите Сцриптинг
2. СКЛ Ињецтион
3. Прекинута аутентификација и управљање сесијама
4. Недостаци у отпремању датотека
5. Кеширање напада сервера
6. Погрешне конфигурације безбедности
7. Кривотворење захтева за више локација
8. Лошење лозинке

Иако сам споменуо списак, тестери не би требало да слепо креирају своју методологију испитивања засновану на горе наведеним конвенционалним стандардима.

Евопримерда докажем зашто то кажем.

Сматрајте да се од вас тражи да тестирате пенетрацију веб локације е-трговине, сада размислите да ли се све рањивости веб локације е-трговине могу идентификовати помоћу конвенционалних метода ОВАСП-а попут КССС-а, СКЛ убризгавања итд.

Одговор је Не, јер е-трговина ради на сасвим другачијој платформи и технологији у поређењу са другим веб локацијама. Да би тестирање оловке за веб локацију е-трговине било ефикасно, тестери би требали да осмисле методологију која укључује недостатке попут управљања наруџбама, управљања купонима и наградама, интеграције платног пролаза и интеграције система за управљање садржајем.

претворити ИоуТубе видео у мп4 на мрежи бесплатно

Дакле, пре него што се одлучите за методологију, будите врло сигурни у то које врсте веб локација се очекују да се тестирају и која метода ће помоћи у проналажењу максималних рањивости.

Врсте тестирања пенетрације на мрежи

Веб апликације се могу тестирати на два начина. Тестови могу бити дизајнирани да симулирају унутрашњи или спољашњи напад.

# 1) Испитивање унутрашњег продора -

Као што и само име говори, интерно тестирање оловке врши се у оквиру организације преко ЛАН-а, па укључује и тестирање веб апликација хостованих на интранету.

Ово помаже у откривању могу ли постојати рањивости које постоје у заштитном зиду предузећа.

Увек верујемо да се напади могу догодити само споља и да се често интерни Пентест превиди или му се не придаје велика важност.

У основи, укључује злонамерне нападе запослених од незадовољних запослених или добављача који би поднели оставке, али би били свесни интерних безбедносних политика и лозинки, нападе социјалног инжењерства, симулацију пхисхинг напада и нападе користећи привилегије корисника или злоупотребу откључаног терминала.

Тестирање се углавном врши приступом окружењу без одговарајућих акредитива и утврђивањем да ли је

#два) Испитивање спољне пенетрације -

То су напади изведени споља изван организације и укључују тестирање веб апликација хостованих на Интернету.

Испитивачи се понашају као хакери који нису превише свесни унутрашњег система.

како отворити торрент датотеку на мац-у

Да би симулирали такве нападе, тестери добијају ИП циљног система и не пружају никакве друге информације. Они су дужни да претражују и скенирају јавне веб странице и проналазе наше информације о циљним хостовима, а затим угрожавају пронађене хостове.

У основи, укључује сервере за тестирање, заштитни зид и ИДС.

Приступ тестирању веб оловке:

Може се спровести у 3 фазе:

# 1) Фаза планирања (пре тестирања)

Пре него што започне тестирање, препоручљиво је планирати које ће се врсте испитивања изводити, како ће се испитивање изводити, утврдити да ли КА треба било какав додатни приступ алатима итд.

• Дефиниција опсега - Ово је исто као и наше функционално тестирање где дефинишемо обим тестирања пре него што започнемо наше напоре.
• Доступност документације тестерима - Уверите се да тестери имају све потребне документе попут докумената који детаљно описују веб архитектуру, тачке интеграције, интеграцију веб услуга итд. Тестер треба да буде упознат са основама ХТТП / ХТТПС протокола и да зна о архитектури веб апликација, начинима пресретања саобраћаја.
• Утврђивање критеријума успеха - За разлику од наших случајева функционалних тестова, где можемо извући очекиване резултате из корисничких захтева / функционалних захтева, тестирање оловке ради на другом моделу. Критеријуми за успех или критеријуми за полагање теста морају бити дефинисани и одобрени.
• Преглед резултата теста из претходног тестирања - Ако је икада урађено претходно тестирање, добро је прегледати резултате теста како бисте разумели које су рањивости постојале у прошлости и која је поправка предузета да би се решила. Ово увек даје бољу слику тестера.
• Разумевање животне средине - Испитивачи би требало да стекну знање о животној средини пре започињања тестирања. Овај корак би требало да им омогући разумевање заштитних зидова или других безбедносних протокола који би били неопходни да би се онемогућило тестирање. Прегледач који треба тестирати треба претворити у платформу за напад, обично се то мења променом проки сервера.

# 2) Фаза напада / извршења (током тестирања):

Тестирање веб продора може се обавити са било које локације, с обзиром на чињеницу да добављач интернета не би требало да ограничава портове и услуге.

• Обавезно покрените тест са различитим корисничким улогама - Испитивачи би требало да осигурају покретање тестова са корисницима који имају различите улоге, јер се систем може понашати другачије у односу на кориснике који имају различите привилегије.
• Свесност о поступању са пост-експлоатацијом - Испитивачи морају следити критеријуме успеха дефинисане као део фазе 1 да би пријавили било какву експлоатацију, такође би требало да следе дефинисани поступак извештавања о рањивостима пронађеним током тестирања. Овај корак углавном укључује испитивача да сазна шта треба урадити након што утврде да је систем угрожен.
• Генерирање извештаја о испитивању - Било које тестирање обављено без одговарајућег извештавања не помаже организацији много, исти је случај са пенетрацијским тестирањем веб апликација. Да би се осигурало да се резултати испитивања правилно деле са свим заинтересованим странама, тестери би требало да креирају одговарајуће извештаје са детаљима о пронађеним рањивостима, методологији која се користи за тестирање, озбиљности и локацији пронађеног проблема.

# 3) Фаза извршења након (након тестирања):

Када се тестирање заврши и извештаји о тестовима поделе са свим дотичним тимовима, сви би требали радити на следећој листи -

• Предложи санацију - Тестирање оловком не би требало да се заврши само идентификовањем рањивости. Дотични тим, укључујући члана КА, требало би да прегледа налазе које су пријавили тестери, а затим разговара о санацији.
• Поново тестирај рањивости - Након што се поправи и примени санација, тестери би требало да поново тестирају како би се уверили да се фиксне рањивости нису појавиле као део њиховог поновног тестирања.
• Поспремити - Као део Пентеста, тестери врше промене у подешавањима проксија, тако да треба извршити чишћење и све промене вратити назад.

Врхунски алати за испитивање продора

Сад, пошто сте већ прочитали цео чланак, верујем да сада имате много бољу идеју о томе шта и како можемо да тестирамо на пенетрацију веб апликације.

Па ми реците, можемо ли ручно да извршимо тестирање пенетрације или се то увек догађа аутоматизацијом помоћу алата. Нема сумње, мислим да већина вас говори о аутоматизацији. :)

То је тачно јер аутоматизација доноси брзину, избегава ручне људске грешке, изврсну покривеност и неколико других предности, али што се тиче оловке, захтева да извршимо ручно тестирање.

Ручно тестирање помаже у проналажењу рањивости повезаних са пословном логиком, смањујући лажне позитивне резултате.

Алати су склони да дају пуно лажних позитивних резултата, па је стога потребна ручна интервенција да би се утврдило да ли су стварне рањивости.

Такође прочитајте - Како тестирати безбедност веб апликација помоћу алата Ацунетик Веб Вулнерабилити Сцаннер (ВВС)

Алати су створени за аутоматизацију наших напора на тестирању. Испод можете пронаћи листу неких алата који се могу користити за Пентест:

1. Бесплатан алат за тестирање оловке
2. Верацоде
3. Вега
4. Бурп Суите
5. НетСпаркер
6. Арацхни
7. Ацунетик
8. ЗАП

За више алата такође можете упутити - 37 моћних алата за тестирање оловке за сваки испитивач пенетрације

Врхунске компаније за испитивање пенетрације

Пружаоци услуга су компаније које пружају услуге у складу са потребама организација за тестирање. Обично се истичу и поседују стручност у различитим областима тестирања, а тестирање могу да изврше у свом домаћинству тест окружења.

У наставку су поменуте неке од водећих компанија које пружају услуге испитивања пенетрације:

• ПСЦ (Усклађеност са сигурношћу плаћања)
• Нетрагард
• Сецурестате
• ЦоалФире
• ХИГХБИТ сигурност
• Неттитуде
• 360
• НетСПи
• ЦонтролСцан
• Скодс Минотти
• 2 | Сец
• Процена безбедности
• Системи ревизије безбедности
• Хацклабс
• ЦКР

Неке потврде о испитивању пенетрације:

Ако сте заинтересовани за сертификат о сертификацији за продор веб апликација, можете се одлучити за следеће сертификате:

• ОСВЕ (Увредљиви стручњак за веб)
• ГВАПТ (ГИАЦ Тестер продора веб апликација)
• ЦВАПТ (Овлашћени испитивач продирања веб апликација)
• еВПТ (испитивач продирања веб апликација елеарнСецурити)

Закључак

У овом упутству смо представили преглед како се тестирање пенетрације врши за веб апликације.

Уз ове информације, испитивач пенетрације може започети тестове рањивости.

У идеалном случају, тестирање пенетрације може нам помоћи да створимо сигуран софтвер. То је скупа метода па се учесталост може одржавати као једном годишње.

Да бисте сазнали више о испитивању пенетрације, прочитајте доле повезане чланке:

• Приступ безбедносном тестирању веб апликација
• Испитивање пенетрације - Комплетан водич са примерима тест примера
• Како тестирати безбедност апликација - технике тестирања безбедности веба и радне површине

Молимо поделите своје ставове или искуства о Пентесту у наставку.

Препоручено читање

• Водич за тестирање безбедности веб апликација
• Тестирање мрежне сигурности и најбољи алати мрежне сигурности
• Најбољи алати за тестирање софтвера 2021. године (КА Тест Аутоматион Тоолс)
• Алфа тестирање и бета тестирање (потпун водич)
• Испитивање сигурности (Комплетан водич)
• Комплетан водич за испитивање пенетрације са примерима тест примера
• Алати за тестирање пенетрације мобилне апликације и добављачи услуга
• Разлика између тестирања радне површине, клијентског сервера и веб тестирања