.
Le but central de cet article est de déterminer une méthodologie de revue de sécurité d'application de Web qui est complète, accessible, et qu'on peut répéter par les lecteurs qui souhaitent appliquer la sagesse nous’des années finies gagnées par ve de les exécuter professionnellement. Les étapes de base dans la méthodologie sont
- profilez l'infrastructure
- serveurs de Web d'attaque
- examinez l'application
- attaquez le mécanisme d'authentification
- attaquez les arrangements d'autorisation
- exécutez une analyse fonctionnelle
- exploitez la connectivité de données
- attaquez les interfaces de gestion
- attaquez le client
- lancez une attaque de démenti-de-service
La première étape dans la méthodologie est de glaner un arrangement à niveau élevé de l'infrastructure de Web de cible. Y a-t-il un client spécial nécessaire pour se relier à l'application ? Quels transports emploie-t-elle ? Au-dessus de quels ports ? Les serveurs de Howmany sont là ? Y a-t-il un compensateur de charge ? Quelle est la marque et le modèle du server(s) de Web ? Est-ce que on compte dessus des emplacements externes pour une certaine fonctionnalité ?
Le nombre fin de vulnérabilités de logiciel de serveur de Web qui ont été des marques éditées celle-ci de la première et habituellement la plupart des domaines de recherche fructueux pour un intrus de Web. Si l'administration d'emplacement est mouillée, vous pouvez frapper le jackpot ici.
Si aucune vulnérabilité sérieuse n'a été trouvée encore, bon pour les concepteurs d'applications (ou peut-être elles’au sujet de chanceux juste). Maintenant l'attention se tourne vers un examen plus granulaire des composants de l'application lui-même—quelle sorte de contenu fonctionne sur le serveur ? Examiner une application de Web essaye de discerner quelles technologies d'application sont déployées (asp, ISAPI, Java, cgi, d'autres ?), la structure d'annuaire et la composition de dossier de l'emplacement, toute teneur authentifiée et les types d'authentification utilisés, tringlerie externe (si quel), et la nature des datastores principaux (si quel). C'est probablement l'une des étapes les plus importantes dans la méthodologie, car les inadvertances ici peuvent avoir des effets significatifs sur l'exactitude et la fiabilité globales de la revue entière d'application.
Si n'importe quel contenu authentifié est découvert dans l'étape précédente, il devrait être complètement analysé, car il protège très probablement des secteurs sensibles d'un emplacement. Les techniques pour évaluer la force des dispositifs d'authentification incluent le mot de passe automatisé devinant des attaques, marque blagueur dans un biscuit, et ainsi de suite.
Une fois qu'un utilisateur est authentifié, la prochaine étape est d'attaquer l'accès aux dossiers et à d'autres objets. Ceci peut être accompli dans diverses voies—par des techniques traversal d'annuaire, changeant le principe d'utilisateur (par exemple, en changeant des valeurs de forme ou de biscuit), demandant les objets cachés avec des noms guessable, essayant des attaques de canonicalization, privilèges d'escalade, et perçant un tunnel des commandes privilégiées en serveur de SQL.
Une autre étape critique dans la méthodologie
est l'analyse réelle de chaque fonction individuelle de
l'application. L'essence de l'analyse fonctionnelle identifie
chaque fonction composante de l'application (par exemple, entrée,
confirmation, et ordre d'ordre dépistant) et essaye d'injecter des
défauts dans chaque réceptacle d'entrée. Ce processus
d'injection essayée de défaut est central à la sécurité de
logiciel examinant, et désigné parfois sous le nom du valida
d'entrée
attaques de tion.
Certaines des attaques les plus dévastatrices sur des applications de Web se relient réellement à la base de données principale. Après tout, ce’s habituellement où toutes les données juteuses de client sont stocké de toute façon, bien ? En raison de la myriade de manières disponibles pour relier des applications de Web aux bases de données, les réalisateurs de Web tendent à se concentrer sur la manière la plus efficace d'établir ce rapport, plutôt que le plus bloqué.
Jusqu'ici, nous l'asile’t avons discuté un des autres services essentiels sur lequel court typiquement ou autour des applications de Web : gestion à distance. Les emplacements de Web courent 24/7, qui signifie qu'il’s pas toujours faisable pour que le Webmaster se repose au centre de calculs quand quelque chose a besoin mettre à jour ou fixer. Combiné avec la propension normale des gens de Web pour le télétravail à distance (aucun code de robe requis), il’s un bon pari que n'importe quelle architecture donnée d'application de Web a un port ouvert quelque part pour permettre l'entretien à distance des serveurs, contenu, bases de données principales, et ainsi de suite.
En outre, juste au sujet de chaque produit de gestion de réseau (matériel ou logiciel) qui a été produit depuis que le mi’90s s'est probablement transporté avec une interface de gestion de Web-based fonctionnant sur un serveur incorporé de Web.
En beaucoup d'années de l'application professionnelle de Web examinant, nous’reprise vue par ve peu de temps approprié de prise de revues pour considérer des attaques contre le côté de client de l'architecture d'application de Web. C'est une inadvertance brute dans notre évaluation, puisqu'il y a eu quelques attaques de dévaster contre la communauté d'utilisateur de Web au cours des années, y compris des stratagèmes scripting d'croix-emplacement, comme ceux édités pour eBay, E*Trade, et des emplacements’de Web de Citigroup s, aussi bien que les vers Internet-soutenus comme Nimda qui pourrait facilement être mis en application dans un emplacement escroc de Web et être envoyé par la poste par l'intermédiaire du URL aux millions de personnes, ou être signalé à un newsgroup populaire, ou être expédié par l'intermédiaire de la causerie en ligne.
Supposant qu'un hasn t’d'attaquant entré en ce moment dans la méthodologie, le dernier refuge d'un esprit défait est démenti du service (DOS), un composant triste mais vrai d'Internet’d'aujourd'hui s. Comme son nom le suggère, le DOS décrit l'acte de nier la fonctionnalité d'application de Web aux utilisateurs légitimes. Il est typiquement effectué en publiant une pléthore du trafic à un emplacement, se noyant hors des demandes légitimes.
Online: 749 users browsing the articles directory
. |