EITC/IS/WAPT Webtoepassings penetrasietoetsing

Die bevindinge van die aanlyn penetrasietoets kan gebruik word om WAF-sekuriteitsbeleide op te stel en ontdekte kwesbaarhede aan te spreek.

Penetrasietoetsing het vyf stappe.

Die pentoetsprosedure word in vyf stappe verdeel.

1. Beplanning en verkenning
   Die definisie van die omvang en doelwitte van 'n toets, insluitend die stelsels wat aangespreek moet word en die toetsmetodologieë wat gebruik moet word, is die eerste fase.
   Om 'n beter begrip te kry van hoe 'n teiken werk en sy potensiële swakhede, versamel intelligensie (bv. netwerk- en domeinname, posbediener).
2. Skandering
   Die volgende fase is om uit te vind hoe die teikentoepassing op verskillende tipes indringingspogings sal reageer. Dit word gewoonlik bereik deur die volgende metodes te gebruik:
   Statiese analise – Ondersoek 'n toepassing se kode om te voorspel hoe dit sal optree wanneer dit uitgevoer word. In 'n enkele pas kan hierdie instrumente die hele kode skandeer.
   Dinamiese analise is die proses om 'n toepassing se kode te inspekteer terwyl dit werk. Hierdie metode van skandering is meer prakties omdat dit 'n intydse oorsig van 'n toepassing se werkverrigting bied.
3. Toegang verkry
   Om 'n teiken se swakpunte te vind, gebruik hierdie stap webtoepassingsaanvalle soos kruiswerf-skriptering, SQL-inspuiting en agterdeure. Om die skade te verstaan ​​wat hierdie kwesbaarhede kan aanrig, probeer toetsers om hulle uit te buit deur voorregte te eskaleer, data te steel, verkeer te onderskep, ensovoorts.
4. Behou toegang
   Die doel van hierdie stadium is om te bepaal of die kwesbaarheid uitgebuit kan word om 'n langtermyn-teenwoordigheid in die gekompromitteerde stelsel te vestig, wat 'n slegte akteur in staat stel om in-diepte toegang te kry. Die doel is om gevorderde aanhoudende bedreigings na te boots, wat maande lank in 'n stelsel kan bly om 'n maatskappy se mees sensitiewe inligting te steel.
5. Analise
   Die penetrasietoetsresultate word dan in 'n verslag geplaas wat inligting insluit soos:
   Kwesbaarhede wat in detail uitgebuit is
   Data wat verkry is wat sensitief was
   Die hoeveelheid tyd wat die pentoetser ongemerk in die stelsel kon bly.
   Sekuriteitskundiges gebruik hierdie data om 'n onderneming se WAF-instellings en ander toepassingsekuriteitsoplossings op te stel om kwesbaarhede te herstel en verdere aanvalle te voorkom.

Metodes van penetrasietoetsing

• Eksterne penetrasietoetsing fokus op 'n firma se bates wat op die internet sigbaar is, soos die webtoepassing self, die maatskappywebwerf, sowel as e-pos- en domeinnaambedieners (DNS). Die doel is om toegang tot nuttige inligting te verkry en dit te onttrek.
• Interne toetsing behels dat 'n toetser toegang het tot 'n toepassing agter 'n maatskappy se firewall wat 'n vyandige insider-aanval simuleer. Dit is nie 'n skelm werknemersimulasie nodig nie. 'n Werknemer wie se geloofsbriewe verkry is as gevolg van 'n uitvissingpoging is 'n algemene beginpunt.
• Blinde toetsing is wanneer 'n toetser bloot die naam van die maatskappy wat getoets word, verskaf word. Dit stel sekuriteitskenners in staat om te sien hoe 'n werklike toepassingsaanranding intyds kan afspeel.
• Dubbelblinde toetsing: In 'n dubbelblinde toets is sekuriteitspersoneel vooraf onbewus van die gesimuleerde aanval. Hulle sal nie tyd hê om hul vestings te versterk voor 'n poging tot breuk nie, net soos in die regte wêreld.
• Geteikende toetsing – in hierdie scenario werk die toetser en sekuriteitspersoneel saam en hou tred met mekaar se bewegings. Dit is 'n uitstekende opleidingsoefening wat 'n sekuriteitspan intydse terugvoer gee vanuit die perspektief van 'n hacker.

Webtoepassingsbrandmure en penetrasietoetsing

Penetrasietoetsing en WAF's is twee afsonderlike maar komplementêre sekuriteitstegnieke. Die toetser sal waarskynlik WAF-data, soos logs, gebruik om 'n toepassing se swak areas in baie tipes pentoetse te vind en te ontgin (met die uitsondering van blinde en dubbelblinde toetse).

Op sy beurt kan pentoetsdata WAF-administrateurs help. Na die voltooiing van 'n toets, kan WAF-konfigurasies gewysig word om te beskerm teen die foute wat tydens die toets opgespoor is.

Ten slotte, pentoetsing voldoen aan sekere van die sekuriteitsouditmetodes se voldoeningsvereistes, soos PCI DSS en SOC 2. Sekere vereistes, soos PCI-DSS 6.6, kan slegs nagekom word as 'n gesertifiseerde WAF gebruik word. As gevolg van die bogenoemde voordele en potensiaal om WAF-instellings te verander, maak dit egter nie pentoetsing minder nuttig nie.

Wat is die betekenis van websekuriteitstoetsing?

Die doel van websekuriteitstoetsing is om sekuriteitsfoute in webtoepassings en hul opstelling te identifiseer. Die toepassingslaag is die primêre teiken (dws wat op die HTTP-protokol loop). Om verskillende vorme van insette na 'n webtoepassing te stuur om probleme te veroorsaak en die stelsel op onverwagte maniere te laat reageer, is 'n algemene benadering om sy sekuriteit te toets. Hierdie "negatiewe toetse" kyk om te sien of die stelsel iets doen wat dit nie bedoel was om te bereik nie.

Dit is ook noodsaaklik om te besef dat websekuriteitstoetsing meer behels as net die verifikasie van die toepassing se sekuriteitskenmerke (soos verifikasie en magtiging). Dit is ook van kardinale belang om te verseker dat ander kenmerke veilig ontplooi word (bv. besigheidslogika en die gebruik van behoorlike insetvalidering en uitsetkodering). Die doel is om seker te maak dat die webtoepassing se funksies veilig is.

Wat is die baie soorte sekuriteitsbeoordelings?

• Toets vir dinamiese toepassingsekuriteit (DAST). Hierdie geoutomatiseerde toepassingsekuriteitstoets is die beste geskik vir laerisiko, intern-gerigte toepassings wat aan regulatoriese sekuriteitsvereistes moet voldoen. Die kombinasie van DAST met 'n paar handmatige aanlyn sekuriteitstoetse vir algemene kwesbaarhede is die beste strategie vir mediumrisiko-toepassings en belangrike toepassings wat klein veranderinge ondergaan.
• Sekuriteitskontrole vir statiese toepassings (SAST). Hierdie toepassingsekuriteitstrategie sluit beide outomatiese en handmatige toetsmetodes in. Dit is ideaal om foute op te spoor sonder om programme in 'n lewendige omgewing te laat loop. Dit stel ingenieurs ook in staat om bronkode te skandeer om sagteware-sekuriteitsfoute op 'n sistematiese wyse op te spoor en op te los.
• Penetrasie-ondersoek. Hierdie handmatige toepassingsekuriteitstoets is ideaal vir noodsaaklike toepassings, veral dié wat beduidende veranderinge ondergaan. Om gevorderde aanvalscenario's te vind, gebruik die evaluering besigheidslogika en teëstander-gebaseerde toetse.
• Toepassing selfbeskerming in die looptyd (RASP). Hierdie groeiende toepassingsekuriteitsmetode sluit 'n verskeidenheid tegnologietegnieke in om 'n toepassing te instrumenteer sodat bedreigings dopgehou kan word en hopelik in reële tyd voorkom kan word soos dit voorkom.

Watter rol speel toepassingsekuriteitstoetsing om maatskappy se risiko te verlaag?

Die oorgrote meerderheid aanvalle op webtoepassings sluit in:

• SQL-inspuiting
• XSS (Cross Site Scripting)
• Uitvoering van afstandbevele
• Pad deurkruisaanval
• Beperkte inhoudtoegang
• Gekompromitteerde gebruikerrekeninge
• Installasie van kwaadwillige kode
• Verlore verkoopsinkomste
• Kliënte se vertroue erodeer
• Handelsmerkreputasie benadeel
• En baie ander aanvalle

In vandag se internetomgewing kan 'n webtoepassing deur 'n verskeidenheid uitdagings benadeel word. Die grafiek hierbo toon 'n paar van die mees algemene aanvalle wat deur aanvallers gepleeg word, wat elkeen aansienlike skade aan 'n individuele toepassing of 'n hele besigheid kan veroorsaak. Deur die vele aanrandings te ken wat 'n toepassing kwesbaar maak, sowel as die moontlike resultate van 'n aanval, stel maatskappy in staat om kwesbaarhede voor die tyd op te los en effektief daarvoor te toets.

Versagtende beheermaatreëls kan in die vroeë fases van die SDLC ingestel word om enige probleme te voorkom deur die hoofoorsaak van die kwesbaarheid te identifiseer. Tydens 'n webtoepassingsekuriteitstoets kan kennis van hoe hierdie bedreigings werk ook gebruik word om bekende plekke van belang te teiken.

Die erkenning van die impak van 'n aanval is ook belangrik vir die bestuur van maatskappy se risiko, aangesien die impak van 'n suksesvolle aanval gebruik kan word om die erns van die kwesbaarheid in die algemeen te bepaal. As kwesbaarhede tydens 'n sekuriteitstoets ontdek word, stel die bepaling van die erns daarvan die maatskappy in staat om regstellende pogings meer effektief te prioritiseer. Om risiko vir maatskappy te verminder, begin met kritieke ernskwessies en werk jou pad af na laer impak.

Voordat u 'n probleem identifiseer, sal die beoordeling van die moontlike impak van elke program in die maatskappy se toepassingsbiblioteek u help om toepassingsekuriteitstoetsing te prioritiseer. Wenb-sekuriteitstoetse kan geskeduleer word om eerstens die onderneming se kritieke toepassings te teiken, met meer geteikende toetse om die risiko teen die onderneming te verlaag. Met 'n gevestigde lys van hoëprofieltoepassings, kan wenb-sekuriteitstoetse geskeduleer word om eerstens die onderneming se kritieke toepassings te teiken, met meer geteikende toetse om die risiko teen die onderneming te verlaag.

Watter kenmerke moet tydens 'n webtoepassingsekuriteitstoets ondersoek word?

Oorweeg die volgende nie-uitputtende lys kenmerke tydens webtoepassingsekuriteitstoetsing. 'n Ondoeltreffende implementering van elkeen kan swakhede tot gevolg hê, wat maatskappy in gevaar stel.

• Konfigurasie van die toepassing en bediener. Enkripsie/kriptografiese opstellings, webbedienerkonfigurasies, ensovoorts is almal voorbeelde van potensiële foute.
• Validasie van invoer- en fouthantering Swak invoer- en uitsetverwerking lei tot SQL-inspuiting, kruis-werf scripting (XSS) en ander tipiese inspuitprobleme.
• Stawing en instandhouding van sessies. Kwesbaarhede wat kan lei tot gebruiker-nabootsing. Geloofskrag en beskerming moet ook in ag geneem word.
• Magtiging. Die toepassing se vermoë om teen vertikale en horisontale voorregte-eskalasies te beskerm, word getoets.
• Logika in besigheid. Die meeste programme wat besigheidsfunksionaliteit verskaf, maak daarop staat.
• Logika aan die kant van die kliënt. Hierdie tipe kenmerk word al hoe meer algemeen met moderne, JavaScript-swaar webblaaie, sowel as webbladsye wat ander tipes kliënt-kant tegnologie gebruik (bv. Silverlight, Flash, Java applets).