Методы исследования безопасности веб-приложений

Методы исследования безопасности веб-приложений

1. Разведка

2. Контроль доступа

3. Фаззинг параметров

4. Проверка логики работы веб-приложения

5. Проверка серверного окружения

Методы исследования безопасности веб-приложений

1. Разведка

• Сканирование портов (nmap)
• Сканирование поддоменов (dnsdumpster)
• Построение и анализа связей между различными субъектами и объектами (maltego)
• ​Исследование видимого контента (глаза)
• Поиск скрытого контента (директорий, файлов, информации) (dirb, dirsearch)
• Определение платформы и веб-окружения (wappalyzer)
• Определение форм ввода (глаза)

Методы исследования безопасности веб-приложений

2. Контроль доступа

• Проверка средств аутентификации и авторизации (hydra, patator, BurpSuite, OWASP ZAP)
• Проверка требований парольной политики (глаза)
• Тестирование восстановления учетной записи (глаза)
• Проверка полномочий и прав доступа (глаза)
• Тестирование функций сохранения сессии (время жизни, сессионный токен, признаки, попытки одновременной работы, CSRF и т.д.) (глаза)

Методы исследования безопасности веб-приложений

3. Фаззинг параметров

• Тестирование приложения к различному виду инъекций (SQL, SOAP, LDAP, XPATH и т.д.) 
• Тестирование приложения к XSS-уязвимостям
• Проверка HTTP заголовков
• Проверка редиректов и переадресаций
• Проверка выполнения команд ОС
• Проверка локального и удаленного инклуда
• Проверка к внедрению XML-сущностей
• Проверка взаимодествия веб-сокетов
  • (BurpSuite, OWASP ZAP, sqlmap, Arachni)

Методы исследования безопасности веб-приложений

4. Проверка логики работы веб-приложения

• Тестирование логики работы приложения
• Тестирование на т.н. «состояние гонки» — race condition
• Тестирование доступности информации исходя из прав доступа или его отсутствия
  • ​(BurpSuite, OWASP ZAP)

Методы исследования безопасности веб-приложений

5. Проверка серверного окружения

• Проверка архитектуры сервера
• Поиск и выявление публичных уязвимостей
• Определение настроек сервера или компонентов
• Проверка прав доступа
  • (Armitage/Metasploit)

Плюшки и полезности

Playloads базы

Коллекция из нескольких типов списков, используемых в процессе оценки безопасности, собранные в одном месте. Типы списков включают в себя имена пользователей, пароли, URL, чувствительные шаблоны данных, Fuzzing полезные нагрузки, веб-оболочки, и многое другое.

 

https://github.com/danielmiessler/SecLists

Playloads базы

Список полезных нагрузок и обходов для анализа безопасности веб-приложений

 

 

 

 

 

 

 

 

https://github.com/swisskyrepo/PayloadsAllTheThings

Где можно потренироваться?

• https://slides.com/jamesjason/
• https://kali.tools
• https://stepik.org/course/127/syllabus
• https://www.youtube.com/watch?v=wjZeynU03LY
• https://www.youtube.com/watch?v=4U-x5bZM4Cg&list=PLrNsDW3nSngZFzpTvl4Onfiltr9xv0hVz
• https://docs.google.com/document/d/13sryZRyjARa6gVzSH3CbUGOYOEx-TWIAsa6_hh8FPlA
• https://habrahabr.ru/post/125206
• https://habrahabr.ru/post/125317
   
• https://www.youtube.com/watch?v=XcLI4cdWOCs&list=PL1LeoQF_fJbzOHndcGO_XyFDE6jRz1AM-

Где можно потренироваться?

Теория

• https://google-gruyere.appspot.com
• http://www.dvwa.co.uk/
• http://www.itsecgames.com/
• http://xss-game.appspot.com
• https://www.hacksplaining.com
• https://habrahabr.ru/company/pentestit/blog/261569
• https://habrahabr.ru/company/pt/blog/138779
• https://habrahabr.ru/company/dsec/blog/200408/
• https://www.checkmarx.com/2015/04/16/15-vulnerable-sites-to-legally-practice-your-hacking-skills
• https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

Где можно потренироваться?

Практика