Тэставанне на пранікненне вэб-прыкладанняў EITC/IS/WAPT - гэта еўрапейская праграма сертыфікацыі ІТ па тэарэтычных і практычных аспектах тэставання на пранікненне вэб-прыкладанняў (белы ўзлом), уключаючы розныя тэхнікі для павукоў, сканавання і атакі вэб-сайтаў, у тым ліку спецыялізаваных інструментаў і набораў тэсціравання на пранікненне. .
Вучэбная праграма тэсціравання на пранікненне вэб-прыкладанняў EITC/IS/WAPT ахоплівае ўвядзенне ў Burp Suite, вэб-спрайдеринг і DVWA, тэставанне грубай сілы з Burp Suite, выяўленне брандмаўэра вэб-прыкладанняў (WAF) з дапамогай WAFW00F, мэтавую сферу і пошук, выяўленне схаваных файлаў з ZAP, сканіраванне ўразлівасці WordPress і пералік імёнаў карыстальнікаў, праверка балансіроўшчыка нагрузкі, міжсайтавыя сцэнары, XSS - адлюстраваны, захаваны і DOM, проксі-атакі, налада проксі ў ZAP, атакі на файлы і каталогі, выяўленне файлаў і каталогаў з дапамогай DirBuster, практыка вэб-атак , OWASP Juice Shop, CSRF – падробка міжсайтавых запытаў, збор файлаў cookie і адваротны інжынірынг, HTTP-атрыбуты – крадзеж печыва, SQL-ін’екцыя, DotDotPwn – fuzzing пры абыходзе каталогаў, iframe injection і HTML, Heartbleed exploit – выяўленне і эксплуатацыя, увядзенне PHP кода bWAPP - HTML-ін'екцыя, адлюстраваны POST, увядзенне каманд АС з дапамогай Commix, серверная ін'екцыя ўключае SSI, пентэстыраванне ў Docker, OverTheWire Natas, LFI і ўвядзенне каманд, узлом Google для пентэставання, Google Dorks для тэсціравання на пранікненне, Apache2 ModSecurity, а таксама Nginx ModSecurity, у рамках наступнай структуры, якая ўключае поўнае відэадыдактычнае змест у якасці эталона для гэтай сертыфікацыі EITC.
Бяспека вэб-прыкладанняў (часта называюць Web AppSec) - гэта канцэпцыя распрацоўкі вэб-сайтаў для нармальнага функцыянавання, нават калі яны падвяргаюцца атацы. Паняцце заключаецца ў інтэграцыі комплексу мер бяспекі ў вэб-прыкладанне для абароны яго актываў ад варожых агентаў. Вэб-прыкладанні, як і любое праграмнае забеспячэнне, схільныя да недахопаў. Некаторыя з гэтых недахопаў з'яўляюцца рэальнымі ўразлівасцямі, якія могуць быць выкарыстаны, ствараючы рызыку для бізнесу. Такія недахопы абараняюцца з дапамогай бяспекі вэб-прыкладанняў. Гэта цягне за сабой выкарыстанне бяспечных падыходаў да распрацоўкі і ўвядзенне сродкаў кантролю бяспекі на працягу ўсяго жыццёвага цыкла распрацоўкі праграмнага забеспячэння (SDLC), гарантуючы, што недахопы праектавання і праблемы ўкаранення будуць вырашаны. Тэставанне на пранікненне ў Інтэрнэце, якое праводзіцца экспертамі, якія імкнуцца выявіць і выкарыстаць уразлівасці вэб-прыкладанняў з дапамогай так званага падыходу белага ўзлому, з'яўляецца неабходнай практыкай для забеспячэння належнай абароны.
Тэст на пранікненне ў Інтэрнэт, таксама вядомы як тэст на вэб-ручку, сімулюе кібернапад вэб-прыкладанні з мэтай пошуку недахопаў, якія можна выкарыстоўваць. Тэставанне на пранікненне часта выкарыстоўваецца ў дадатак да брандмаўэра вэб-прыкладанняў у кантэксце бяспекі вэб-прыкладанняў (WAF). Тэставанне ручкай, як правіла, цягне за сабой спробу пранікнуць у любую колькасць прыкладных сістэм (напрыклад, API, інтэрфейсныя/бэкэнд-серверы), каб знайсці ўразлівасці, такія як несаніфікаваныя ўводы, якія ўразлівыя да нападаў увядзення кода.
Вынікі онлайн-тэсту на пранікненне можна выкарыстоўваць для налады палітыкі бяспекі WAF і ліквідацыі выяўленых уразлівасцяў.
Тэст на пранікненне складаецца з пяці этапаў.
Працэдура тэставання пяра дзеліцца на пяць этапаў.
- Планаванне і разведка
Вызначэнне аб'ёму і мэтаў тэставання, у тым ліку сістэм, якія будуць разглядацца, і метадалогій тэставання, якія будуць выкарыстоўвацца, з'яўляецца першым этапам.
Каб лепш зразумець, як працуе мэта і яе патэнцыйныя слабыя бакі, збярыце інфармацыю (напрыклад, сеткавыя і даменныя імёны, паштовы сервер). - Сканаванне
Наступны этап - высветліць, як мэтавае прыкладанне будзе рэагаваць на розныя тыпы спробаў уварвання. Звычайна гэта дасягаецца з дапамогай наступных метадаў:
Статычны аналіз – вывучэнне кода прыкладання, каб прадказаць, як яно будзе паводзіць сябе пры запуску. За адзін праход гэтыя інструменты могуць сканаваць увесь код.
Дынамічны аналіз - гэта працэс праверкі кода прыкладання падчас яго працы. Гэты метад сканавання з'яўляецца больш практычным, таму што ён забяспечвае прадукцыйнасць праграмы ў рэжыме рэальнага часу. - Атрыманне доступу
Каб знайсці слабыя бакі мэты, на гэтым этапе выкарыстоўваюцца напады вэб-прыкладанняў, такія як міжсайтавыя сцэнары, SQL-ін'екцыі і бэкдоры. Каб зразумець шкоду, якую могуць нанесці гэтыя ўразлівасці, тэстары спрабуюць выкарыстаць іх, павялічваючы прывілеі, крадзячы даныя, перахопліваючы трафік і гэтак далей. - Захаванне доступу
Мэтай гэтага этапу з'яўляецца ацэнка таго, ці можна выкарыстаць уразлівасць, каб усталяваць доўгатэрміновую прысутнасць у скампраметаванай сістэме, што дазволіць дрэннаму актору атрымаць паглыблены доступ. Мэта складаецца ў тым, каб імітаваць пашыраныя пастаянныя пагрозы, якія могуць заставацца ў сістэме месяцамі, каб скрасці самую канфідэнцыйную інфармацыю кампаніі. - Аналіз
Затым вынікі тэсту на пранікненне ўносяцца ў справаздачу, якая ўключае такую інфармацыю, як:
Уразлівасці, якія былі падрабязна выкарыстаны
Атрыманыя даныя былі канфідэнцыяльнымі
Колькасць часу, на працягу якога тэстар ручак мог заставацца незаўважаным у сістэме.
Эксперты па бяспецы выкарыстоўваюць гэтыя даныя, каб дапамагчы наладзіць налады WAF прадпрыемства і іншыя рашэнні па бяспецы прыкладанняў, каб выправіць уразлівасці і прадухіліць далейшыя атакі.
Метады тэставання на пранікненне
- Тэставанне на знешняе пранікненне факусуюць на актывах фірмы, якія бачныя ў Інтэрнэце, такіх як само вэб-прыкладанне, вэб-сайт кампаніі, а таксама серверы электроннай пошты і даменных імёнаў (DNS). Мэта складаецца ў тым, каб атрымаць доступ да карыснай інфармацыі і атрымаць яе.
- Унутранае тэсціраванне прадугледжвае, што тэсціроўшчык мае доступ да прылажэння за брандмаўэрам кампаніі, якое імітуе варожую інсайдэрскую атаку. Гэта не з'яўляецца неабходным мадэляваннем супрацоўнікаў-ізгояў. Супрацоўнік, чые ўліковыя дадзеныя былі атрыманы ў выніку спробы фішынгу, з'яўляецца звычайнай адпраўной кропкай.
- Сляпое тэсціраванне - гэта калі тэстару проста даецца назва кампаніі, якая праходзіць тэсціраванне. Гэта дазваляе экспертам па бяспецы бачыць, як можа адбывацца факт нападу на прыкладанне ў рэжыме рэальнага часу.
- Падвойнае сляпое тэсціраванне: у падвойным сляпым тэставанні спецыялісты па бяспецы загадзя не ведаюць пра змадэляваную атаку. Яны не паспеюць умацаваць свае ўмацаванні перад спробай прарыву, як у рэальным свеце.
- Мэтавае тэсціраванне - у гэтым сцэнары тэсціроўшчык і супрацоўнікі службы бяспекі супрацоўнічаюць і адсочваюць перамяшчэнне адзін аднаго. Гэта выдатнае навучанне, якое дае групе бяспекі зваротную сувязь у рэжыме рэальнага часу з пункту гледжання хакера.
Брандмаўэры вэб-прыкладанняў і тэставанне на пранікненне
Тэставанне на пранікненне і WAF - гэта два асобныя, але ўзаемадапаўняльныя метады бяспекі. Верагодна, тэстар будзе выкарыстоўваць дадзеныя WAF, такія як журналы, для пошуку і выкарыстання слабых месцаў прыкладання ў многіх тыпах тэставання ручкамі (за выключэннем сляпых і падвойных сляпых тэстаў).
У сваю чаргу, дадзеныя тэставання ручак могуць дапамагчы адміністратарам WAF. Пасля завяршэння тэсту канфігурацыі WAF могуць быць зменены для абароны ад недахопаў, выяўленых падчас тэставання.
Нарэшце, тэставанне ручкай задавальняе некаторым патрабаванням адпаведнасці метадаў аўдыту бяспекі, такім як PCI DSS і SOC 2. Некаторыя патрабаванні, такія як PCI-DSS 6.6, могуць быць выкананы толькі пры выкарыстанні сертыфікаванага WAF. Аднак з-за вышэйзгаданых пераваг і магчымасці змены налад WAF гэта не робіць тэставанне ручкай менш карысным.
Якое значэнне тэставання вэб-бяспекі?
Мэта тэставання вэб-бяспекі - выявіць недахопы бяспекі ў вэб-прыкладаннях і іх наладзе. Прыкладны ўзровень з'яўляецца асноўнай мэтай (г.зн. тое, што працуе па пратаколе HTTP). Адпраўка розных формаў уводу ў вэб-прыкладанне, каб выклікаць праблемы і прымусіць сістэму рэагаваць нечаканым чынам, з'яўляецца звычайным падыходам да праверкі яе бяспекі. Гэтыя «адмоўныя тэсты» правяраюць, ці робіць сістэма што-небудзь, для чаго яна не прызначалася.
Таксама важна разумець, што тэставанне вэб-бяспекі цягне за сабой больш, чым проста праверка функцый бяспекі прыкладання (напрыклад, аўтэнтыфікацыя і аўтарызацыя). Таксама важна гарантаваць, што іншыя функцыі разгортваюцца бяспечна (напрыклад, бізнес-логіка і выкарыстанне належнай праверкі ўваходных дадзеных і кадавання вываду). Мэта складаецца ў тым, каб пераканацца, што функцыі вэб-прыкладання бяспечныя.
Якія розныя тыпы ацэнкі бяспекі?
- Тэст на дынамічную бяспеку прыкладанняў (DAST). Гэты аўтаматызаваны тэст бяспекі прыкладанняў лепш за ўсё падыходзіць для прыкладанняў з нізкім узроўнем рызыкі ўнутраных праграм, якія павінны адпавядаць нарматыўным патрабаванням бяспекі. Спалучэнне DAST з некаторым ручным онлайн-тэставанням бяспекі на прадмет агульных уразлівасцяў з'яўляецца лепшай стратэгіяй для прыкладанняў сярэдняй рызыкі і важных прыкладанняў, якія падвяргаюцца нязначным зменам.
- Праверка бяспекі для статычных прыкладанняў (SAST). Гэтая стратэгія бяспекі прыкладання ўключае ў сябе як аўтаматызаваныя, так і ручныя метады тэставання. Ён ідэальна падыходзіць для выяўлення памылак без неабходнасці запускаць праграмы ў жывым асяроддзі. Гэта таксама дазваляе інжынерам сканаваць зыходны код, каб сістэматычна выяўляць і выпраўляць недахопы бяспекі праграмнага забеспячэння.
- Экспертыза на пранікненне. Гэты ручной тэст бяспекі прыкладанняў ідэальна падыходзіць для асноўных прыкладанняў, асабліва тых, якія перажываюць значныя змены. Каб знайсці пашыраныя сцэнары атакі, ацэнка выкарыстоўвае бізнес-логіку і тэставанне на аснове праціўнікаў.
- Самаабарона прыкладання падчас выканання (RASP). Гэты растучы метад бяспекі прыкладанняў уключае ў сябе мноства тэхналагічных метадаў для інструментарыя прыкладання, каб можна было назіраць за пагрозамі і, спадзяюся, прадухіляць іх у рэжыме рэальнага часу па меры іх узнікнення.
Якую ролю адыгрывае тэставанне бяспекі прыкладанняў у зніжэнні рызыкі кампаніі?
Пераважная большасць нападаў на вэб-прыкладанні ўключаюць:
- SQL-ін'екцыя
- XSS (Межсайтавыя скрыпты)
- Аддаленае выкананне каманд
- Атака праходжання шляху
- Абмежаваны доступ да кантэнту
- Узламаныя ўліковыя запісы карыстальнікаў
- Ўстаноўка шкоднаснага кода
- Страчаны прыбытак ад продажаў
- Давер кліентаў размываецца
- Наносіць шкоду рэпутацыі брэнда
- І шмат іншых нападаў
У сучасным інтэрнэт-асяроддзі вэб-прыкладанні могуць пацярпець ад розных праблем. На малюнку вышэй паказаны некалькі найбольш распаўсюджаных нападаў, якія здзяйсняюцца зламыснікамі, кожная з якіх можа нанесці значны ўрон асобнаму дадатку або цэламу бізнесу. Веданне шматлікіх нападаў, якія робяць прыкладанне ўразлівым, а таксама магчымых вынікаў атакі, дазваляе кампаніі ліквідаваць уразлівасці раней часу і эфектыўна іх праверыць.
На ранніх этапах SDLC могуць быць устаноўлены меры паслаблення ўздзеяння, каб прадухіліць любыя праблемы шляхам выяўлення асноўнай прычыны ўразлівасці. Падчас праверкі бяспекі вэб-прыкладанняў веды аб тым, як працуюць гэтыя пагрозы, таксама могуць быць выкарыстаны для нацэльвання на вядомыя цікавыя месцы.
Распазнанне наступстваў атакі таксама важна для кіравання рызыкамі кампаніі, паколькі наступствы паспяховай атакі могуць быць выкарыстаны для вызначэння цяжару ўразлівасці ў цэлым. Калі падчас праверкі бяспекі выяўляюцца ўразлівасці, вызначэнне іх сур'ёзнасці дазваляе кампаніі больш эфектыўна расставіць прыярытэты па выпраўленні. Каб знізіць рызыку для кампаніі, пачніце з крытычных праблемаў сур'ёзнасці і ідзіце да праблем з меншым уздзеяннем.
Перш чым выявіць праблему, ацэнка магчымага ўздзеяння кожнай праграмы ў бібліятэцы прыкладанняў кампаніі дапаможа вам расставіць прыярытэты ў тэставанні бяспекі прыкладання. Тэставанне бяспекі Wenb можа быць запланавана, каб у першую чаргу арыентавацца на найважнейшыя прыкладанні фірмы, з больш мэтанакіраваным тэставаннем, каб знізіць рызыку для бізнесу. З усталяваным спісам гучных прыкладанняў, тэставанне бяспекі wenb можа быць запланавана, каб быць нацэленым на найважнейшыя прыкладання фірмы, з больш мэтанакіраваным тэставаннем, каб знізіць рызыку для бізнесу.
Якія функцыі варта вывучыць падчас праверкі бяспекі вэб-прыкладанняў?
Падчас тэставання бяспекі вэб-прыкладанняў разгледзьце наступны няпоўны спіс функцый. Неэфектыўнае выкананне кожнага з іх можа прывесці да слабых месцаў, падвяргаючы кампанію небяспецы.
- Канфігурацыя прыкладання і сервера. Налады шыфравання/крыптаграфіі, канфігурацыі вэб-сервера і гэтак далей з'яўляюцца прыкладамі патэнцыйных недахопаў.
- Праверка ўводу і апрацоўкі памылак Дрэнная апрацоўка ўводу і вываду прыводзіць да ўвядзення SQL, міжсайтавых сцэнарыяў (XSS) і іншых тыповых праблем з увядзеннем.
- Аўтэнтыфікацыя і падтрыманне сесій. Уразлівасці, якія могуць прывесці да выдачы за карыстальніка. Таксама варта ўлічваць трываласць і абарону пасведчанняў.
- Аўтарызацыя. Магчымасць прыкладання абараняць ад вертыкальнага і гарызантальнага павышэння прывілеяў праходзіць праверку.
- Логіка ў бізнэсе. Большасць праграм, якія забяспечваюць функцыянальнасць бізнесу, абапіраюцца на гэта.
- Логіка на баку кліента. Гэты тып функцый становіцца ўсё больш распаўсюджаным з сучаснымі вэб-старонкамі з цяжкім JavaScript, а таксама з вэб-старонкамі, якія выкарыстоўваюць іншыя тыпы кліенцкіх тэхналогій (напрыклад, Silverlight, Flash, аплеты Java).
Для дэталёвага азнаямлення з вучэбнай праграмай сертыфікацыі вы можаце разгарнуць і прааналізаваць табліцу ніжэй.
Вучэбная праграма сертыфікацыі тэсціравання на пранікненне вэб-прыкладанняў EITC/IS/WAPT спасылаецца на дыдактычныя матэрыялы з адкрытым доступам у відэаформе. Працэс навучання падзелены на пакрокавую структуру (праграмы -> урокі -> тэмы), якая ахоплівае адпаведныя часткі вучэбнай праграмы. Таксама прадастаўляюцца неабмежаваныя кансультацыі з экспертамі па дамене.
Падрабязна пра працэдуру сертыфікацыі глядзіце Як гэта працуе?.
Спампуйце поўныя афлайн-падрыхтоўчыя матэрыялы для праграмы пранікнення вэб-прыкладанняў EITC/IS/WAPT у файле PDF
Падрыхтоўчыя матэрыялы EITC/IS/WAPT – стандартная версія
Падрыхтоўчыя матэрыялы EITC/IS/WAPT – пашыраная версія з пытаннямі для агляду