Мени

Водич за тестирање безбедности веб апликација

web application security testing guide

компаније које нуде услуге рачунарства у облаку

Захваљујући огромној количини података ускладиштених у веб апликацијама и повећању броја трансакција на мрежи, правилно тестирање безбедности веб апликација постаје веома важно из дана у дан.

У овом чланку ћемо детаљно научити о кључним терминима који се користе у тестирању безбедности веб страница и приступу тестирања.

Тестирање безбедности веб апликација

Шта ћете научити:

Шта је испитивање сигурности?

Испитивање сигурности је поступак којим се проверава да ли је поверљиви подаци остају поверљиви или не (тј. није изложен физичким / правним лицима којима није намењен) и корисници могу обављати само оне задатке за које су овлашћени

На пример, корисник не би требало да буде у могућности да ускрати функционалност веб странице другим корисницима или корисник не би требало да буде у могућности да ненамерно мења функционалност веб апликације итд.

Неки кључни појмови који се користе у испитивању сигурности

Пре него што наставимо даље, биће корисно да се упознамо са неколико термина који се често користе у тестирању безбедности веб апликација:

Шта је „рањивост“?

То је слабост веб апликације. Узрок такве „слабости“ може бити због грешака у апликацији, убризгавања (СКЛ / скриптни код) или присуства вируса.

Шта је „манипулација УРЛ-ом“?

Неке веб апликације у УРЛ-у комуницирају додатне информације између клијента (прегледача) и сервера. Промена неких података у УРЛ-у може понекад довести до нежељеног понашања сервера и то се назива Манипулација УРЛ-ом .

Шта је „СКЛ ињекција“?

Ово је поступак уметања СКЛ израза преко корисничког интерфејса веб апликације у неки упит који затим извршава сервер.

Шта је „КССС (Цросс-Сите Сцриптинг)“?

Када корисник убаци ХТМЛ / скрипту на страни клијента у кориснички интерфејс веб апликације, ово уметање је видљиво другим корисницима и назива се КССС .

Шта је „лажно представљање“?

Зове се стварање обмањујућих веб страница или е-маила сличних другима Споофинг .

Препоручени алати за испитивање безбедности

# 1) Ацунетик

Ацунетик сигурносни алат

Ацунетик је енд-то-енд сигурносни скенер веб апликација. Даће 360-степени поглед на сигурност ваше организације. Способан је да открије 6500 врста рањивости попут СКЛ ињекција, КССС и слабих лозинки итд. Користи напредну технологију макро снимања за скенирање сложених образаца на више нивоа.

шта је .епс датотека

Платформа је интуитивна и лака за употребу. Можете планирати и одредити приоритете за комплетна скенирања као и за појединачна скенирања. Садржи уграђену функционалност управљања рањивостима. Уз помоћ ЦИ алата попут Јенкинса, нове грађевине се могу аутоматски скенирати.

=> Испробајте Ацунетик за сигурност веб апликација

# 2) Киуван

киуван банер

Пронађите и поправите рањивости у свом коду у свакој фази СДЛЦ-а.

Киуван је у складу са најстрожим безбедносним стандардима, укључујући ОВАСП, ЦВЕ, САНС 25, ХИППА и друге.Интегришите Киуван у свој ИДЕ за тренутне повратне информације током развоја. Киуван подржава све главне програмске језике и интегрише се са водећим ДевОпс алатима.

=> Скенирајте свој код бесплатно

Приступ испитивању безбедности

Да би извршио користан тест безбедности веб апликације, испитивач безбедности треба да има добро знање о ХТТП протоколу.

Важно је разумети како клијент (прегледач) и сервер комуницирају помоћу ХТТП-а.

Поред тога, испитивач би требао знати барем основе СКЛ убризгавања и КССС-а.

Надамо се да број сигурносних недостатака присутних у веб апликацији неће бити велик. Међутим, то што ћете бити у стању да тачно опишете све сигурносне недостатке са свим потребним детаљима сигурно ће вам помоћи.

Методе за тестирање безбедности на мрежи

# 1) Пробијање лозинке

Испитивање сигурности на а Веб апликација може започети „Пробијање лозинке“. Да бисте се пријавили у приватна подручја апликације, можете погодити корисничко име / лозинку или користити неки алат за разбијање лозинки за исте. Доступна је листа уобичајених корисничких имена и лозинки, заједно са крекерима за лозинке отвореног кода.

Ако веб апликација не примењује сложену лозинку ( На пример, са абецедама, бројевима и специјалним знаковима или са најмање потребним бројем знакова), можда неће требати много времена да се разбију корисничко име и лозинка.

Ако се корисничко име или лозинка чувају у колачићима без шифровања, нападач може да користи различите методе за крађу колачића и података који се чувају у колачићима, попут корисничког имена и лозинке.

За више детаља погледајте чланак на тему „ Тестирање колачића на веб локацији ”.

# 2) Манипулација УРЛ-ом путем ХТТП ГЕТ метода

Тестер треба да провери да ли апликација прослеђује важне информације у низу упита или не. То се дешава када апликација користи ХТТП ГЕТ метод за прослеђивање података између клијента и сервера.

Информације се преносе кроз параметре у низу упита. Тестер може да модификује вредност параметра у низу упита да би проверио да ли га сервер прихвата.

Преко ХТТП ГЕТ захтева, корисничке информације се прослеђују серверу ради потврде идентитета или преузимања података. Нападач може манипулисати сваком улазном променљивом прослеђеном из овог ГЕТ захтева на сервер како би добио потребне информације или оштетио податке. У таквим условима, свако необично понашање апликације или веб сервера представља врата за нападача да уђе у апликацију.

# 3) СКЛ Ињецтион

Следећи фактор који треба проверити је СКЛ Ињецтион. Апликација треба да одбије унос једног цитата (‘) у било који оквир за текст. Уместо тога, ако испитивач наиђе на грешку базе података, то значи да се кориснички унос убацује у неки упит који апликација затим извршава. У таквом случају, апликација је рањива на убризгавање СКЛ-а.

Напади на СКЛ убризгавање су врло критични јер нападач може добити виталне информације из серверске базе података. Да бисте проверили тачке уноса СКЛ убризгавања у своју веб апликацију, пронађите код из базе кодова где се извршавају директни МиСКЛ упити у бази података прихватањем неких корисничких уноса.

Ако су кориснички подаци унесени у СКЛ упите за постављање упита према бази података, нападач може убризгати СКЛ изразе или део СКЛ израза као корисничке уносе да би из базе података извукао виталне информације. Чак и ако нападач успешно сруши апликацију, из грешке СКЛ упита која се приказује у прегледачу, нападач може добити информације које тражи.

У таквим случајевима са посебним знаковима из корисничких уноса треба правилно поступати / заштитити их.

# 4) Цросс-Сите Сцриптинг (КССС)

Тестер би требало додатно да провери да ли веб апликација има КССС (скрипта на више локација). Било који ХТМЛ На пример, или било које писмо На пример, не би требало да прихвати пријава. Ако јесте, онда апликација може бити склона нападу Цросс-Сите Сцриптинг.

Нападач може да користи ову методу за извршавање злонамерне скрипте или УРЛ-а у прегледачу жртве. Користећи скрипте на више локација, нападач може да користи скрипте попут ЈаваСцрипт-а за крађу корисничких колачића и података који се чувају у њима.

Многе веб апликације добијају неке корисне информације и прослеђују их у неким променљивим са различитих страница.

На пример, хттп://ввв.екамплесите.цом/индек.пхп?усерид=123 & упит = киз

Нападач може лако да проследи неки злонамерни унос или као параметар „& упит“ који може да истражи важне податке корисника / сервера у прегледачу.

Важно: Током тестирања безбедности, испитивач треба бити врло опрезан да не би променио било шта од следећег:

  • Конфигурација апликације или сервера
  • Услуге покренуте на серверу
  • Постојећи подаци о корисницима или купцима које хостује апликација

Поред тога, у производном систему треба избегавати безбедносни тест.

Закључак

Сврха безбедносног теста је открити рањивости веб апликације тако да програмери могу уклонити ове рањивости из апликације и учинити веб апликацију и податке сигурним од било каквих неовлашћених радњи.

Препоручена литература => Разлика између САСТ / ДАСТ / ИАСТ / РАСП

листа суседности графа ц ++

Слободно делите своје коментаре / предлоге у вези са овим чланком.

Препоручено читање

^