ЕИТЦ/ИС/ВАПТ тестирање пенетрације веб апликација је европски програм ИТ сертификације о теоретским и практичним аспектима тестирања пенетрације веб апликација (бело хаковање), укључујући различите технике за паукове веб сајтова, скенирање и технике напада, укључујући специјализоване алате и пакете за тестирање пенетрације .
Наставни план и програм ЕИТЦ/ИС/ВАПТ тестирања пенетрације веб апликација обухвата увод у Бурп Суите, веб спридеринг и ДВВА, тестирање грубе силе са Бурп Суите-ом, детекцију заштитног зида веб апликација (ВАФ) са ВАФВ00Ф, циљни опсег и спидеринг, откривање скривених датотека са ЗАП, ВордПресс скенирање рањивости и набрајање корисничког имена, скенирање балансера оптерећења, скриптовање на више локација, КССС – рефлектовани, ускладиштени и ДОМ, прокси напади, конфигурисање проксија у ЗАП-у, напади на датотеке и директоријуме, откривање датотека и директоријума помоћу ДирБустер-а, вежбање веб напада , ОВАСП Јуице Схоп, ЦСРФ – Фалсификовање захтева на више локација, прикупљање колачића и обрнуто инжењерство, ХТТП атрибути – крађа колачића, СКЛ ињекција, ДотДотПвн – фуззинг преко директоријума, ифраме ињекција и ХТМЛ ињекција, Хеартблеед експлоатација – откривање и експлоатација, убацивање ПХП кода бВАПП – ХТМЛ ињекција, рефлектовани ПОСТ, ињекција ОС команде са Цоммик-ом, на страни сервера укључује ССИ ињекцију, пентестирање у Доцкер-у, ОверТхеВире Натас, ЛФИ и убризгавање команди, Гоогле хаковање за пентестирање, Гоогле Доркс За тестирање пенетрације, Апацхе2 МодСецурити, као и Нгинк МодСецурити, у оквиру следеће структуре, обухватајући свеобухватан видео дидактички садржај као референцу за ову ЕИТЦ сертификат.
Безбедност веб апликација (која се често назива Веб АппСец) је концепт дизајнирања веб локација које ће нормално функционисати чак и када су нападнуте. Појам је интегрисање скупа безбедносних мера у веб апликацију како би се заштитила њена средства од непријатељских агената. Веб апликације, као и сваки софтвер, склоне су недостацима. Неке од ових недостатака су стварне рањивости које се могу искористити и представљају ризик за предузећа. Од таквих недостатака се штити безбедност веб апликација. То подразумева коришћење безбедних развојних приступа и постављање безбедносних контрола током животног циклуса развоја софтвера (СДЛЦ), обезбеђујући да се отклоне недостаци у дизајну и проблеми имплементације. Тестирање пенетрације на мрежи, које спроводе стручњаци који имају за циљ да открију и искористе рањивости веб апликација користећи такозвани приступ белог хаковања, неопходна је пракса како би се омогућила одговарајућа одбрана.
Тест пенетрације на веб, такође познат као тест веб оловке, симулира сајбер напад на веб апликацију како би се пронашао искориштави недостатак. Тестирање пенетрације се често користи за допуну заштитног зида веб апликације у контексту безбедности веб апликација (ВАФ). Тестирање оловком, генерално, подразумева покушај продора у било који број система апликација (нпр. АПИ-ји, фронтенд/бацкенд сервери) у циљу проналажења рањивости, као што су неочишћени улази који су рањиви на нападе убризгавањем кода.
Налази онлајн теста пенетрације могу се користити за конфигурисање безбедносних политика ВАФ-а и адресирање откривених рањивости.
Испитивање пенетрације има пет корака.
Процедура тестирања оловке је подељена у пет корака.
- Планирање и извиђање
Дефинисање обима и циљева теста, укључујући системе којима се треба бавити и методологије тестирања које ће се користити, је прва фаза.
Да бисте боље разумели како циљ функционише и његове потенцијалне слабости, прикупите обавештајне податке (нпр. имена мреже и домена, сервер поште). - Скенирање
Следећа фаза је да схватите како ће циљна апликација реаговати на различите типове покушаја упада. Ово се обично постиже коришћењем следећих метода:
Статичка анализа – Испитивање кода апликације да би се предвидело како ће се понашати када се покрене. У једном пролазу, ови алати могу скенирати цео код.
Динамичка анализа је процес провере кода апликације док она ради. Овај метод скенирања је практичнији јер пружа увид у перформансе апликације у реалном времену. - Добијање приступа
Да би се откриле слабости циља, овај корак користи нападе на веб апликације као што су скриптовање на више локација, СКЛ ињекција и позадинска врата. Да би разумели штету коју ове рањивости могу да нанесу, тестери покушавају да их искористе повећањем привилегија, крађом података, пресретањем саобраћаја и тако даље. - Одржавање приступа
Сврха ове фазе је да процени да ли се рањивост може искористити за успостављање дугорочног присуства у компромитованом систему, омогућавајући лошем актеру да добије дубински приступ. Циљ је опонашати напредне упорне претње, које могу остати у систему месецима како би украле најосетљивије информације компаније. - Анализа
Резултати теста пенетрације се затим стављају у извештај који укључује информације као што су:
Рањивости које су детаљно искоришћене
Подаци који су добијени били су осетљиви
Колико је времена тестер оловке био у стању да остане непримећен у систему.
Стручњаци за безбедност користе ове податке да помогну у конфигурисању ВАФ подешавања предузећа и других безбедносних решења апликација како би закрпили рањивости и спречили даље нападе.
Методе испитивања пенетрације
- Екстерно тестирање пенетрације фокусира се на имовину компаније која је видљива на интернету, као што је сама веб апликација, веб локација компаније, као и сервери е-поште и имена домена (ДНС). Циљ је добити приступ и извући корисне информације.
- Интерно тестирање подразумева да тестер има приступ апликацији иза заштитног зида компаније која симулира непријатељски инсајдерски напад. Ово није неопходна симулација лажног радника. Запослени чији су акредитиви добијени као резултат покушаја пхисхинга је уобичајена полазна тачка.
- Слепо тестирање је када се тестеру једноставно наведе име компаније која се тестира. Ово омогућава стручњацима за безбедност да виде како би се стварни напад на апликацију могао одиграти у реалном времену.
- Двоструко слепо тестирање: У двоструко слепом тесту, стручњаци за безбедност нису свесни симулираног напада унапред. Неће имати времена да ојачају своја утврђења пре покушаја пробоја, баш као у стварном свету.
- Циљано тестирање – у овом сценарију, тестер и особље обезбеђења сарађују и прате међусобно кретање. Ово је одлична вежба за обуку која безбедносном тиму даје повратне информације у реалном времену из перспективе хакера.
Заштитни зидови веб апликација и тестирање пенетрације
Тестирање пенетрације и ВАФ су две одвојене, али комплементарне безбедносне технике. Тестер ће вероватно користити ВАФ податке, као што су евиденције, да пронађе и искористи слабе области апликације у многим типовима тестирања оловком (са изузетком слепих и двоструко слепих тестова).
Заузврат, подаци о тестирању оловке могу помоћи ВАФ администраторима. Након завршетка теста, ВАФ конфигурације се могу модификовати да би се заштитиле од недостатака откривених током теста.
Коначно, тестирање оловком задовољава одређене захтеве усаглашености метода провере безбедности, као што су ПЦИ ДСС и СОЦ 2. Одређени захтеви, као што је ПЦИ-ДСС 6.6, могу бити испуњени само ако се користи сертификовани ВАФ. Међутим, због горе наведених предности и могућности да се модификују ВАФ подешавања, ово не чини тестирање оловком мање корисним.
Какав је значај тестирања безбедности на вебу?
Циљ тестирања безбедности на вебу је да се идентификују безбедносни недостаци у веб апликацијама и њиховом подешавању. Апликациони слој је примарни циљ (тј. оно што ради на ХТТП протоколу). Слање различитих облика уноса веб апликацији како би се изазвали проблеми и натерали систем да реагује на неочекиване начине је уобичајен приступ тестирању његове безбедности. Ови „негативни тестови“ покушавају да виде да ли систем ради нешто што није требало да постигне.
Такође је важно схватити да тестирање безбедности на вебу подразумева више од само провере безбедносних функција апликације (као што су аутентификација и ауторизација). Такође је кључно осигурати да се друге функције безбедно примењују (нпр. пословна логика и коришћење одговарајуће валидације улаза и излазног кодирања). Сврха је да се осигура да су функције веб апликације безбедне.
Које су многе врсте безбедносних процена?
- Тест за динамичку безбедност апликација (ДАСТ). Овај аутоматизовани тест безбедности апликација је најпогоднији за апликације са ниским ризиком, унутрашње окренуте, које морају да испуњавају регулаторне безбедносне захтеве. Комбиновање ДАСТ-а са неким ручним онлајн безбедносним тестирањем за уобичајене рањивости је најбоља стратегија за апликације средњег ризика и кључне апликације које пролазе кроз мање промене.
- Безбедносна провера за статичке апликације (САСТ). Ова безбедносна стратегија апликације укључује и аутоматизоване и ручне методе тестирања. Идеалан је за откривање грешака без потребе за покретањем апликација у живом окружењу. Такође омогућава инжењерима да скенирају изворни код како би открили и поправили софтверске безбедносне пропусте на систематски начин.
- Испитивање пенетрације. Овај ручни тест безбедности апликација је идеалан за основне апликације, посебно оне које пролазе кроз значајне промене. Да би се пронашли напредни сценарији напада, евалуација користи пословну логику и тестирање засновано на противнику.
- Самозаштита апликације у току извршавања (РАСП). Овај растући метод безбедности апликација укључује разне технолошке технике за инструментирање апликације тако да се претње могу посматрати и, надамо се, спречити у реалном времену како се појаве.
Какву улогу има тестирање безбедности апликација у смањењу ризика компаније?
Велика већина напада на веб апликације укључује:
- СКЛ Ињецтион
- КССС (Унакрсне скрипте на сајтовима)
- Даљинско извршавање команди
- Патх Траверсал Аттацк
- Ограничен приступ садржају
- Компромитовани кориснички налози
- Инсталација злонамерног кода
- Изгубљени приход од продаје
- Поверење купаца нарушава
- Штета репутацији бренда
- И много других напада
У данашњем Интернет окружењу, Веб апликација може бити оштећена разним изазовима. Горња графика приказује неколико најчешћих напада које врше нападачи, од којих сваки може проузроковати значајну штету појединачној апликацији или целом предузећу. Познавање многих напада који апликацију чине рањивом, као и могућих резултата напада, омогућава компанији да унапред реши рањивости и ефикасно их тестира.
Контроле за ублажавање могу се успоставити током раних фаза СДЛЦ-а да би се спречили проблеми идентификацијом основног узрока рањивости. Током теста безбедности веб апликације, знање о томе како ове претње функционишу се такође може користити за циљање познатих места од интереса.
Препознавање утицаја напада је такође важно за управљање ризиком компаније, јер се утицаји успешног напада могу користити за одређивање укупне озбиљности рањивости. Ако се рањивости открију током безбедносног теста, одређивање њихове озбиљности омогућава компанији да ефикасније одреди приоритете у поправљању проблема. Да бисте смањили ризик за компанију, почните са проблемима критичне озбиљности и спустите се на проблеме са мањим утицајем.
Пре него што идентификујете проблем, процена могућег утицаја сваког програма у библиотеци апликација компаније ће вам помоћи да дате приоритет тестирању безбедности апликације. Венб безбедносно тестирање се може заказати тако да прво циља на критичне апликације компаније, са циљанијим тестирањем како би се смањио ризик по пословање. Са утврђеном листом апликација високог профила, Венб безбедносно тестирање се може заказати тако да прво циља критичне апликације компаније, са циљанијим тестирањем како би се смањио ризик по пословање.
Током теста безбедности веб апликације, које карактеристике треба испитати?
Током тестирања безбедности веб апликација, размотрите следећу непотпуну листу функција. Неефикасна примена сваког од њих може довести до слабости, доводећи компанију у опасност.
- Конфигурација апликације и сервера. Шифровање/криптографске поставке, конфигурације веб сервера и тако даље су примери потенцијалних недостатака.
- Валидација уноса и руковања грешкама Лоша обрада улаза и излаза доводи до СКЛ ињекције, скриптовања на више локација (КССС) и других типичних проблема са убризгавањем.
- Аутентификација и одржавање сесија. Рањивости које могу довести до лажног представљања корисника. Такође треба узети у обзир снагу акредитива и заштиту.
- Овлашћење. Капацитет апликације да заштити од вертикалне и хоризонталне ескалације привилегија се тестира.
- Логика у послу. Већина програма који пружају пословну функционалност се ослањају на њих.
- Логика на страни клијента. Ова врста функција постаје све чешћа код модерних веб страница са тешким ЈаваСцриптом, као и код веб страница које користе друге врсте технологија на страни клијента (нпр. Силверлигхт, Фласх, Јава аплети).
Да бисте се детаљно упознали са наставним планом и програмом сертификације, можете проширити и анализирати табелу испод.
Курикулум сертификације за тестирање пенетрације веб апликација ЕИТЦ/ИС/ВАПТ упућује на дидактичке материјале отвореног приступа у видео облику. Процес учења је подељен на структуру корак по корак (програми -> лекције -> теме) која покрива релевантне делове курикулума. Такође су обезбеђене неограничене консултације са стручњацима из домена.
За детаље о процедури сертификације проверите Како то функционише.
Преузмите комплетне припремне материјале за самоучење ван мреже за програм за тестирање пенетрације веб апликација ЕИТЦ/ИС/ВАПТ у ПДФ датотеци
ЕИТЦ/ИС/ВАПТ припремни материјали – стандардна верзија
ЕИТЦ/ИС/ВАПТ припремни материјали – проширена верзија са питањима за преглед