07 Мар, 2023

Неспособность ограничить веб-ресурсы

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Неспособность ограничить веб-ресурсы относится к уязвимости в системе безопасности, при которой веб-приложению не удается должным образом обеспечить контроль доступа, позволяя неавторизованным пользователям получать доступ к ресурсам, которые должны быть ограничены. Это может произойти по целому ряду причин, таких как неправильная конфигурация элементов управления доступом, некорректные механизмы аутентификации или недостаточная проверка входных данных. Несоблюдение ограничений на веб-ресурсы может привести к утечке конфиденциальной информации, манипулированию данными и несанкционированным действиям в приложении, потенциально причиняя значительный вред пользователям и организации, запускающей приложение.

Пример уязвимого кода на разных языках программирования:


в Python:

				
					def view_orders(request):
    if not request.user.is_authenticated:
        return redirect('login')
    
    orders = Order.objects.all()
    return render(request, 'orders.html', {'orders': orders})

				
			

 

В этом примере view_orders функция предназначена для того, чтобы разрешать просматривать страницу заказов только аутентифицированным пользователям. Однако проверка подлинности не выполняется должным образом, поскольку злоумышленник может просто создать запрос с поддельным токеном аутентификации, чтобы обойти проверку и получить доступ к странице заказов. Чтобы устранить эту уязвимость, функция должна использовать более надежный механизм аутентификации, такой как встроенная платформа аутентификации Django.

• в Java:

				
					public class OrderController {
    @GetMapping("/orders")
    public ResponseEntity<List<Order>> getOrders() {
        List<Order> orders = orderService.getAllOrders();
        return new ResponseEntity<>(orders, HttpStatus.OK);
    }
}

				
			

 

В этом примере getOrders метод в OrderController класс позволяет любому пользователю получать все заказы без каких-либо проверок подлинности или авторизации. Злоумышленник может просто создать запрос на доступ к /orders конечная точка и получение конфиденциальной информации обо всех заказах. Чтобы устранить эту уязвимость, метод должен применять соответствующие средства контроля доступа, такие как требование аутентификации и разрешение доступа к конечной точке заказов только авторизованным пользователям.

• в PHP:

				
					if (!isset($_SESSION['user'])) {
    header('Location: login.php');
    exit;
}

$orders = $db->query('SELECT * FROM orders');

				
			


В этом примере PHP-код проверяет наличие допустимого сеанса, чтобы убедиться, что пользователь аутентифицирован, прежде чем запрашивать заказы в базе данных. Однако проверки на наличие действительного сеанса недостаточно, так как злоумышленник может просто создать поддельный файл cookie сеанса, чтобы обойти проверку и получить доступ к странице заказов. Чтобы устранить эту уязвимость, код должен использовать более надежный механизм аутентификации, такой как встроенное управление сеансами PHP или сторонняя библиотека аутентификации. Кроме того, код должен применять соответствующие проверки авторизации, чтобы гарантировать, что пользователи могут получать доступ только к заказам, на просмотр которых им разрешено.

Примеры использования Отказа от ограничения веб-ресурсов

Раскрытие информации:

Злоумышленник может использовать уязвимость "Сбой в ограничении веб-ресурсов" для доступа к конфиденциальной информации, которая должна быть доступна только авторизованным пользователям. Например, если веб-приложение позволяет пользователям, не прошедшим проверку подлинности, получить доступ к конфиденциальным данным клиентов, таким как имена, адреса и данные кредитной карты, злоумышленник может воспользоваться уязвимостью, чтобы украсть эту информацию и использовать ее в мошеннических целях.

Несанкционированный доступ:

Злоумышленник может использовать уязвимость "Сбой в ограничении веб-ресурсов" для получения несанкционированного доступа к частям веб-приложения, которые должны быть доступны только авторизованным пользователям. Например, если веб-приложение позволяет пользователям, не прошедшим проверку подлинности, получить доступ к панели администратора, злоумышленник может воспользоваться уязвимостью, чтобы получить полный контроль над веб-приложением и выполнить вредоносные действия, такие как изменение данных, загрузка вредоносного ПО или кража учетных данных пользователя.

Повышение привилегий:

Злоумышленник может воспользоваться уязвимостью "Сбой в ограничении веб-ресурсов" для повышения своих привилегий в веб-приложении. Например, если веб-приложение позволяет непривилегированным пользователям получать доступ к определенным страницам, к которым они не должны иметь доступа, злоумышленник может воспользоваться уязвимостью, чтобы получить доступ к административным страницам и выполнить действия, на выполнение которых они не уполномочены.

Отказ в обслуживании:

Злоумышленник может воспользоваться уязвимостью "Сбой в ограничении веб-ресурсов" для запуска атаки типа "отказ в обслуживании" против веб-приложения. Например, если веб-приложение позволяет пользователям, не прошедшим проверку подлинности, выполнять ресурсоемкие действия, злоумышленник может воспользоваться уязвимостью, чтобы перегрузить веб-сервер и привести к его сбою или отказу отвечать на запросы.

Методы повышения привилегий при невозможности ограничить веб-ресурсы

Перехват сеанса:

Злоумышленник может перехватить активный сеанс пользователя, похитив идентификатор сеанса пользователя или токен аутентификации. Это может позволить злоумышленнику выдавать себя за пользователя и выполнять действия, на выполнение которых он уполномочен, такие как доступ к конфиденциальной информации или выполнение транзакций.

Изменение параметров:

Злоумышленник может изменять параметры в запросах, отправляемых веб-приложению, чтобы обойти контроль доступа и получить доступ к ресурсам или выполнить действия, на выполнение которых он не уполномочен. Например, злоумышленник может изменить параметр URL для доступа к странице с ограниченным доступом или изменить параметры в отправленной форме, чтобы изменить цену товара.

Обход каталога:

Злоумышленник может использовать методы обхода каталогов, чтобы обойти средства контроля доступа и получить доступ к файлам или каталогам, доступ к которым им не разрешен. Это может быть сделано путем введения специальных символов или последовательностей в пути к файлам для перемещения вверх или вниз по структуре каталогов.

Нарушенная авторизация на уровне объекта:

Если веб-приложение неправильно применяет авторизацию на уровне объекта, злоумышленник может изменить идентификатор объекта или другие параметры в запросе на доступ к объектам, доступ к которым у него не разрешен. Например, злоумышленник может изменить параметр ID в запросе на доступ к учетной записи или данным другого пользователя.

Повышение привилегий с помощью инъекционных атак:

Злоумышленник может использовать инъекционные атаки, такие как SQL-инъекция или командная инъекция, для манипулирования веб-приложением и получения повышенных привилегий. Это может позволить злоумышленнику выполнить произвольный код, изменить базу данных или выполнить другие действия, на выполнение которых он не уполномочен.

Общая методология и контрольный список за неспособность ограничить веб-ресурсы

Методология:

  1. Сбор информации: Соберите информацию о веб-приложении, такую как URL-адрес, используемый технологический стек и функциональность приложения.

  2. Определите ограниченные ресурсы: Определите, какие ресурсы должны быть ограничены и требовать аутентификации, такие как страницы, каталоги или данные.

  3. Проверка на несанкционированный доступ: Попытайтесь получить доступ к ограниченным ресурсам без аутентификации, используя такие методы, как изменение URL-адреса, использование различных методов HTTP или манипулирование файлами cookie.

  4. Проверка на наличие аутентифицированного доступа: Попытайтесь получить доступ к ограниченным ресурсам с различными уровнями авторизации, такими как гость, пользователь и администратор.

  5. Тест на повышение привилегий: Проверьте методы повышения привилегий, такие как перехват сеанса, изменение параметров, обход каталога и инъекционные атаки.

  6. Тест на обход контроля доступа: Проверьте методы обхода контроля доступа, такие как принудительный выход из системы, принудительная аутентификация или изменение правил контроля доступа.

  7. Отчет и документирование результатов: Документируйте все обнаруженные уязвимости, включая шаги по их воспроизведению и потенциальное воздействие уязвимости. Сообщите об уязвимостях соответствующим сторонам, таким как владелец веб-приложения или группа безопасности.

Контрольный список:

  1. Убедитесь, что для доступа к ограниченным ресурсам требуется аутентификация.

  2. Проверка на наличие несанкционированного доступа к ограниченным ресурсам.

  3. Проверьте наличие аутентифицированного доступа к ограниченным ресурсам с различными уровнями авторизации (гость, пользователь, администратор и т.д.).

  4. Проверьте методы повышения привилегий, такие как перехват сеанса, изменение параметров, обход каталога и инъекционные атаки.

  5. Проверьте методы обхода контроля доступа, такие как принудительный выход из системы, принудительная аутентификация или изменение правил контроля доступа.

  6. Тест на горизонтальное повышение привилегий, когда пользователь получает доступ к ресурсам, принадлежащим другому пользователю с тем же уровнем привилегий.

  7. Тест на вертикальное повышение привилегий, когда пользователь получает доступ к ресурсам, принадлежащим пользователю с более высоким уровнем привилегий.

  8. Проверьте повышение привилегий с помощью косвенной ссылки на объект, когда пользователь может получить доступ к ресурсам, манипулируя параметром или идентификатором.

  9. Проверьте на повышение привилегий с помощью недостатков бизнес-логики, когда пользователь может получить доступ к ресурсам или выполнять действия, используя недостатки в логике приложения.

  10. Документируйте все выводы, включая шаги по воспроизведению уязвимостей и потенциальное воздействие каждой уязвимости.

  11. Сообщайте обо всех уязвимостях соответствующим сторонам, таким как владелец веб-приложения или группа безопасности.

Набор инструментов для эксплуатации Неспособность ограничить веб-ресурсы

Ручные Инструменты:

  • Burp Suite: Популярный прокси-сервер для перехвата, который позволяет пользователям проверять и изменять веб-трафик и может использоваться для ручного тестирования проблем с контролем доступа.

  • ZAP (прокси-сервер атаки Zed): Сканер безопасности веб-приложений с открытым исходным кодом, который можно использовать для ручного тестирования проблем с контролем доступа, среди прочих уязвимостей.

  • Postman: Инструмент для ручного тестирования веб-служб RESTful, включая тестирование контроля доступа.

  • Sqlmap: Инструмент для обнаружения и использования уязвимостей SQL-инъекций, который может быть использован для повышения привилегий и обхода контроля доступа.

  • OWASP Mantra: Инструментарий безопасности, который включает в себя множество инструментов для ручного тестирования веб-приложений, включая тестирование контроля доступа.

  • Nikto: Сканер веб-сервера, который можно использовать для ручного тестирования проблем с контролем доступа, среди прочих уязвимостей.

  • DirBuster: Инструмент для перебора каталогов и файлов на веб-сервере, который можно использовать для ручного тестирования проблем с контролем доступа.

  • SQLiPY: Инструмент на основе Python для ручного тестирования SQL-инъекций, который можно использовать для повышения привилегий и обхода контроля доступа.

Автоматизированные инструменты:

  • Nessus: Сканер уязвимостей, который может использоваться для автоматического обнаружения и использования проблем с контролем доступа, среди других уязвимостей.

  • Acunetix: Сканер уязвимостей веб-приложений, который может использоваться для автоматического обнаружения и использования проблем с контролем доступа, среди прочих уязвимостей.

  • OpenVAS: Сканер сетевых уязвимостей, который может использоваться для автоматического обнаружения и использования проблем с контролем доступа, среди прочих уязвимостей.

  • Netsparker: Сканер безопасности веб-приложений, который может использоваться для автоматического обнаружения и использования проблем с контролем доступа, среди прочих уязвимостей.

  • Qualys: Облачный сканер уязвимостей, который может использоваться для автоматического обнаружения и использования проблем с контролем доступа, среди прочих уязвимостей.

  • AppScan: Сканер безопасности веб-приложений, который может использоваться для автоматического обнаружения и использования проблем с контролем доступа, среди прочих уязвимостей.

  • Skipfish: Сканер безопасности веб-приложений, который может использоваться для автоматического обнаружения и использования проблем с контролем доступа, среди прочих уязвимостей.

  • Wapiti: Сканер безопасности веб-приложений, который может использоваться для автоматического обнаружения и использования проблем с контролем доступа, среди прочих уязвимостей.

  • Grendel-Scan: Сканер безопасности веб-приложений, который может использоваться для автоматического обнаружения и использования проблем с контролем доступа, среди прочих уязвимостей.

Плагины для браузера:

  • Wappalyzer: Плагин для браузера, который можно использовать для идентификации технологий, используемых веб-приложением, что может помочь выявить потенциальные проблемы с контролем доступа.

  • Tamper Data: Плагин для браузера, который позволяет пользователям изменять HTTP-запросы и ответы, которые могут быть использованы для ручного тестирования проблем с контролем доступа.

  • Менеджер файлов cookie+: Плагин для браузера, который позволяет пользователям просматривать и изменять файлы cookie, используемые веб-приложением, которые могут быть использованы для ручного тестирования проблем с контролем доступа.

Средний балл CVSS Сбой стека для ограничения веб-ресурсов

Оценка уязвимости по CVSS (Common Vulnerability Scoring System) зависит от различных факторов, таких как воздействие уязвимости, возможность использования уязвимости и масштаб уязвимости. Таким образом, трудно получить средний балл CVSS за отказ стека ограничить веб-ресурсы, поскольку он охватывает широкий спектр проблем с контролем доступа, которые могут различаться по степени серьезности.

Однако в целом проблемы с контролем доступа, такие как неспособность ограничить веб-ресурсы, считаются уязвимостями высокой степени серьезности, поскольку они могут позволить злоумышленнику обойти механизмы аутентификации или авторизации и получить доступ к конфиденциальным данным или выполнить несанкционированные действия. В зависимости от конкретного характера уязвимости оценка CVSS может варьироваться от средней до критической (например, от 4,0 до 10,0) по шкале CVSS.

Важно отметить, что оценка CVSS является лишь одним из факторов при определении серьезности уязвимости, и организациям также следует учитывать влияние и вероятность использования при определении приоритетов своих усилий по обеспечению безопасности.

Общее перечисление слабых мест (CWE)

• CWE-285: Неправильная авторизация: эта слабость описывает неспособность должным образом реализовать средства контроля доступа, включая аутентификацию, авторизацию и управление сеансами.

• CWE-732: Неправильное назначение разрешений для критического ресурса: эта слабость описывает

• CWE-434: Неограниченная загрузка файла с опасным типом: эта слабость описывает неспособность должным образом проверить вводимые пользователем данные при загрузке файлов в веб-приложение, что может привести к загрузке вредоносных файлов.

• CWE-862: Отсутствует авторизация: эта уязвимость описывает неспособность должным образом авторизовать доступ к ресурсу или функциональности, что может привести к несанкционированному доступу или повышению привилегий.

• CWE-759: Использование одностороннего хэша без соли: эта слабость описывает использование односторонней хэш-функции без соли, что может привести к обнаружению исходного пароля злоумышленником.

• CWE-639: Обход авторизации с помощью управляемого пользователем ключа: эта слабость описывает неспособность должным образом проверить вводимые пользователем данные при использовании управляемого пользователем ключа для авторизации, что может привести к обходу авторизации.

• CWE-710: Неправильное соблюдение стандартов кодирования: этот недостаток описывает несоблюдение стандартов безопасного кодирования, включая рекомендации по контролю доступа.

• CWE-807: Зависимость от ненадежных входных данных при принятии решения о безопасности: эта слабость описывает зависимость от ненадежных входных данных, таких как пользовательский ввод или переменные среды, при принятии решений о безопасности.

• CWE-285: Неправильная авторизация: эта слабость описывает неспособность должным образом реализовать средства контроля доступа, включая аутентификацию, авторизацию и управление сеансами.

• CWE-426: Ненадежный путь поиска: эта слабость описывает использование ненадежного пути поиска при доступе к файлам или ресурсам, что может привести к несанкционированному доступу или повышению привилегий.

CVE, связанные с неспособностью ограничить веб-ресурсы

• CVE-2017-16787 – Утилита веб-настройки в устройствах Meinberg LANTIME с прошивкой до версии 6.24.004 позволяет удаленным злоумышленникам читать произвольные файлы, используя сбой для ограничения доступа по URL.

• CVE-2016-1638 – extensions/renderer/resources/platform_app.js в подсистеме расширений в Google Chrome до 49.0.2623.75 не было надлежащего ограничения использования веб-API, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения доступа через созданное приложение платформы.

• CVE-2014-0053 – Конфигурация плагина ресурсов по умолчанию 1.0.0 до 1.2.6 для Pivotal Grails 2.0.0 до 2.3.6 не ограничивает должным образом доступ к файлам в каталоге WEB-INF, что позволяет удаленным злоумышленникам получать конфиденциальную информацию с помощью прямого запроса. ПРИМЕЧАНИЕ: этот идентификатор был РАЗДЕЛЕН из-за разных исследователей и разных типов уязвимостей. Смотрите CVE-2014-2857 для варианта META-INF и CVE-2014-2858 для обхода каталога.

• CVE-2012-5478 – AuthorizationInterceptor в JBoss Enterprise Application Platform (EAP) до версии 5.2.0, веб-платформе (EWP) до версии 5.2.0, платформе BRMS до версии 5.3.1 и платформе SOA до версии 5.3.1 неправильно ограничивает доступ, что позволяет удаленным аутентифицированным пользователям обходить установленные ограничения ролей и выполнять произвольные операции JMX с помощью неуказанных векторов.

• CVE-2012-3557 – Opera до версии 11.65 не ограничивала должным образом чтение строк JSON, что позволяло удаленным злоумышленникам выполнять междоменную загрузку ресурсов JSON и, следовательно, получать конфиденциальную информацию через созданный веб-сайт.

• CVE-2012-2680 – Cmin до версии 0.1.5444, используемая в Red Hat Enterprise Messaging, Realtime и Grid (MRG) 2.0, должным образом не ограничивает доступ к ресурсам, что позволяет удаленным злоумышленникам получать конфиденциальную информацию с помощью неуказанных векторов, связанных с (1) “веб-страницами”, (2) “функциями экспорта” и (3) “просмотром изображений”.

• CVE-2009-2631 – Несколько продуктов SSL VPN без клиента, которые работают в веб-браузерах, включая Stonesoft StoneGate; Cisco ASA; VPN SonicWall E-Class SSL VPN и SonicWall SSL VPN; Шлюз доступа SafeNet SecureWire; Juniper Networks Secure Access; Nortel CallPilot; Citrix Access Gateway; и другие продукты, работающие в конфигурациях, которые не ограничивают доступ к тому же домену, что и VPN, извлекают содержимое удаленных URL-адресов из одного домена и переписывают их таким образом, чтобы они исходили из домена VPN, что нарушает ту же политику происхождения и позволяет удаленным злоумышленникам проводить атаки с использованием межсайтовых сценариев, считывать файлы cookie, полученные из других доменов, получать доступ к сеансу веб-VPN для получения доступа к внутренним ресурсам, выполнять протоколирование ключей и проводить другие атаки. ПРИМЕЧАНИЕ: можно утверждать, что это фундаментальная проблема проектирования в любом решении VPN без клиента, в отличие от часто встречающейся ошибки, которая может быть исправлена в отдельных реализациях. Поэтому для всех продуктов, имеющих такой дизайн, был присвоен единый CVE.

• CVE-2002-2170 – Working Resources Inc. BadBlue Enterprise версии с 1.7 по 1.74 пытается ограничить действия администратора IP-адресом локального хоста, но не предоставляет дополнительную аутентификацию, что позволяет удаленным злоумышленникам выполнять произвольный код через веб-страницу, содержащую HTTP POST-запрос, который обращается к странице dir.hts на локальном хосте и добавляет весь жесткий диск для совместного использования.

Неспособность ограничить веб-ресурсы подвиги

  • Небезопасные прямые ссылки на объекты (IDOR): Это распространенная уязвимость, возникающая, когда веб-приложение не может должным образом проверить вводимые пользователем данные и позволяет злоумышленнику получить доступ к конфиденциальным данным или изменить их путем прямого манипулирования ссылками на объекты.

  • Пересечение пути: Это уязвимость, возникающая, когда веб-приложение позволяет злоумышленнику получить доступ к файлам за пределами предполагаемого каталога путем манипулирования путями к файлам или последовательностями обхода каталога.

  • Нарушенный контроль доступа: Это широкая категория уязвимостей, которые возникают, когда веб-приложению не удается должным образом реализовать средства контроля доступа, включая аутентификацию, авторизацию и управление сеансами.

  • Подделка межсайтовых запросов (CSRF): Это уязвимость, которая возникает, когда веб-приложение позволяет злоумышленнику выполнять несанкционированные действия от имени пользователя-жертвы, обманом заставляя жертву перейти по вредоносной ссылке или посетить вредоносный веб-сайт.

  • Недостаточная Авторизация: Это уязвимость, которая возникает, когда веб-приложению не удается должным образом выполнить проверку авторизации, позволяя злоумышленнику получить несанкционированный доступ к ресурсам или выполнить несанкционированные действия.

  • Неограниченная загрузка файлов: Это уязвимость, которая возникает, когда веб-приложение позволяет злоумышленнику загружать произвольные файлы, что может привести к выполнению вредоносного кода или раскрытию конфиденциальной информации.

  • Недостатки бизнес-логики: Это уязвимость, которая возникает, когда веб-приложению не удается должным образом реализовать бизнес-логику, что приводит к таким уязвимостям, как обход авторизации, повышение привилегий или манипулирование данными.

  • Перехват сеанса: Это уязвимость, которая возникает, когда злоумышленник может украсть идентификатор сеанса пользователя или манипулировать им, что позволяет ему выдавать себя за пользователя и получать несанкционированный доступ к ресурсам или выполнять несанкционированные действия.

Практика в тестировании на отсутствие ограничения веб-ресурсов

Изучите основы: Поймите, что такое Неспособность ограничить веб-ресурсы, как это происходит и каковы потенциальные последствия. Ознакомьтесь с распространенными векторами атак и уязвимостями.

Выберите методологию тестирования: Выберите методологию тестирования, соответствующую вашим потребностям и целям. Например, вы можете использовать ручной подход, автоматизированный инструмент или комбинацию того и другого.

Определите тестовые случаи: Разработайте список тестовых примеров, охватывающих распространенные векторы атак и уязвимости, связанные с неспособностью ограничить веб-ресурсы. Это может включать тестирование на обход пути, IDOR, небезопасные средства контроля доступа, CSRF и другие соответствующие уязвимости.

Выполните тестирование: Проведите тестирование, используя тестовые случаи, которые вы определили. Запишите все уязвимости или проблемы, с которыми вы сталкиваетесь, включая серьезность и воздействие.

Отчет о результатах: Создайте отчет с подробным описанием ваших выводов, включая выявленные вами уязвимости, их серьезность и любые рекомендации по устранению.

Устранять проблемы: Работайте с соответствующими заинтересованными сторонами над устранением любых выявленных уязвимостей или проблем. Убедитесь, что исправление было эффективным, и при необходимости повторите тестирование.

Оставайтесь в курсе событий: Будьте в курсе новых уязвимостей и векторов атак, связанных с неспособностью ограничить веб-ресурсы. Регулярно оценивайте и тестируйте веб-приложения, чтобы убедиться, что они остаются безопасными.

За неспособность исследования ограничить веб-ресурсы

ОВАСП: Проект Open Web Application Security Project (OWASP) - это некоммерческая организация, предоставляющая ресурсы и инструменты для обеспечения безопасности веб-приложений. У них есть исчерпывающее руководство по 10 основным рискам безопасности веб-приложений, включая неспособность ограничить веб-ресурсы.

Руководство хакера веб-приложений: Эта книга Дэвида Штуттарда и Маркуса Пинто представляет собой всеобъемлющее руководство по поиску и использованию уязвимостей веб-приложений, включая неспособность ограничить веб-ресурсы.

Академия веб-безопасности Portswigger's: PortSwigger - компания, создающая популярный инструмент безопасности веб-приложений Burp Suite. Их Академия веб-безопасности предоставляет бесплатные онлайн-тренинги по безопасности веб-приложений, включая отказ от ограничения веб-ресурсов.

Хакер101: Это бесплатная обучающая онлайн-платформа, предоставляемая HackerOne, популярной платформой для сбора средств за ошибки. Они предлагают множество учебных модулей по безопасности веб-приложений, включая отказ от ограничения веб-ресурсов.

YouTube: Существует множество каналов YouTube, которые предлагают учебные пособия и тренинги по безопасности веб-приложений. Некоторые популярные каналы включают LiveOverflow, InfosecIreland и OWASP.

Соревнования "Захват флага" (CTF): Участие в соревнованиях CTF - отличный способ попрактиковаться в своих навыках в безопасной и контролируемой среде. Многие CTF включают в себя проблемы безопасности веб-приложений, которые могут помочь вам лучше понять, почему не удается ограничить веб-ресурсы.

Книги с обзором отказа от ограничения веб-ресурсов

Безопасность веб-приложений: Руководство для начинающих Брайан Салливан и Винсент Лью – Эта книга охватывает основы безопасности веб-приложений, включая контроль доступа, и предоставляет практические рекомендации по обеспечению безопасности веб-приложений.

Руководство по тестированию OWASP by OWASP – Это руководство предоставляет всеобъемлющую платформу для тестирования веб-приложений на наличие уязвимостей в системе безопасности, включая контроль доступа.

Руководство хакера веб-приложений: поиск и использование недостатков безопасности Дафидд Штуттард и Маркус Пинто – Эта книга охватывает широкий спектр вопросов безопасности веб-приложений, включая контроль доступа, и содержит практические рекомендации по тестированию и использованию уязвимостей.

Профессиональное тестирование на проникновение: Создание и функционирование официальной хакерской лаборатории автор: Томас Вильгельм – В этой книге рассматриваются основы тестирования на проникновение, включая тестирование контроля доступа, и даются практические рекомендации по настройке и запуску лаборатории тестирования на проникновение.

Основы веб-взлома: инструменты и методы для атаки в Интернете автор: Джош Паули – Эта книга охватывает основы веб-взлома, включая тестирование контроля доступа, и предоставляет практические рекомендации по тестированию и использованию уязвимостей.

Поиск ошибок в реальном мире: практическое руководство по веб-хакингу Питер Яворски – В этой книге приводятся реальные примеры веб-уязвимостей, включая проблемы с контролем доступа, и даются практические рекомендации по поиску и использованию уязвимостей.

Учебник хакера 3: Практическое руководство по тестированию на проникновение Питер Ким – В этой книге рассматриваются практические методы тестирования на проникновение, включая тестирование контроля доступа, и даются рекомендации по созданию и выполнению эффективных стратегий тестирования на проникновение.

Кулинарная книга по тестированию веб-безопасности Пако Хоуп и Бен Вальтер – В этой книге представлены практические рецепты тестирования безопасности веб-приложений, включая контроль доступа, и даются рекомендации по построению эффективных стратегий тестирования.

Black Hat Python: Программирование на Python для хакеров и пентестеров автор: Джастин Зейтц – Эта книга охватывает основы программирования на Python для взлома и тестирования на проникновение, включая методы тестирования контроля доступа.

Взлом серой шляпы: руководство этичного хакера Даниэль Регаладо, Шон Харрис и Аллен Харпер – Эта книга представляет собой всеобъемлющее руководство по этичному взлому, включая тестирование контроля доступа, и содержит практические рекомендации по поиску и использованию уязвимостей в веб-приложениях.

Список полезных нагрузок Сбой при ограничении веб-ресурсов

  • Полезная нагрузка для обхода каталога: ../, ../../, ../../../, и так далее.

  • Небезопасная полезная нагрузка прямой ссылки на объект (IDOR): изменение параметра ID в URL-адресе для доступа к данным других пользователей.

  • Полезная нагрузка обхода аутентификации: манипулирование файлами cookie, изменение заголовков HTTP или использование учетных данных по умолчанию.

  • Полезная нагрузка для манипулирования параметрами: изменение параметров в URL-адресе или данных формы для обхода контроля доступа или выполнения несанкционированных действий.

  • Полезная нагрузка SQL-инъекции: использование методов SQL-инъекции для извлечения, изменения или удаления данных.

  • Полезная нагрузка подделки межсайтовых запросов (CSRF): создание вредоносной HTML-формы, которая отправляет запрос на целевой сайт, используя существующий сеанс аутентификации пользователя.

  • Полезная нагрузка удаленного включения файлов (RFI): включение удаленных файлов путем манипулирования пользовательским вводом.

  • Полезная нагрузка включения локального файла (LFI): включая локальные файлы путем манипулирования пользовательским вводом.

  • Полезная нагрузка для обхода пути с нулевым байтом (): использование нулевого байта для обхода проверки входных данных и доступа к файлам за пределами корневого каталога web.

  • Оплата грубой силыoad: попытка угадать действительные имена пользователей, пароли или другую конфиденциальную информацию.

Как быть защищенным от отказа ограничить веб-ресурсы

  1. Внедрите надлежащие средства контроля доступа: Убедитесь, что средства контроля доступа реализованы правильно, и ограничьте доступ к ресурсам на основе разрешений пользователя.

  2. Используйте правильную проверку входных данных: Проверьте все входные данные от пользователей и убедитесь, что они соответствуют ожидаемым критериям. Это может помочь предотвратить инъекционные атаки и другие виды эксплуатации.

  3. Дезинфицировать выходные данные: Убедитесь, что выходные данные очищены, чтобы предотвратить инъекционные атаки и другие виды эксплуатации.

  4. Внедрить безопасное управление сеансами: Внедрите надлежащее управление сеансами, чтобы обеспечить надлежащую аутентификацию пользователей и безопасность их сеансов.

  5. Следуйте методам безопасного кодирования: Используйте методы безопасного кодирования при разработке веб-приложений, такие как отказ от жестко закодированных паролей, использование подготовленных инструкций для предотвращения внедрения SQL и шифрование конфиденциальных данных.

  6. Поддерживайте программное обеспечение в актуальном состоянии: Обновляйте все программное обеспечение, используемое в веб-приложении, с помощью последних исправлений и обновлений безопасности.

  7. Проводить регулярные оценки безопасности: Регулярно проводите оценку безопасности веб-приложений для выявления уязвимостей и принятия мер по их устранению.

  8. Используйте брандмауэр веб-приложений (WAF): Используйте WAF для защиты от известных уязвимостей и блокирования атак.

  9. Обучать пользователей: Обучайте пользователей методам безопасного просмотра веб-страниц и поощряйте их использовать надежные пароли и сообщать о любых подозрительных действиях.

Заключение

Неспособность ограничить веб-ресурсы это распространенная уязвимость в системе безопасности веб-приложений, которая может привести к несанкционированному доступу и раскрытию конфиденциальной информации. Это может произойти, когда приложение ненадлежащим образом ограничивает доступ к своим ресурсам, позволяя неавторизованным пользователям получать доступ к данным или выполнять действия, которые они не должны иметь возможности.

Чтобы предотвратить этот тип уязвимости, важно внедрить надлежащие средства контроля доступа, использовать надлежащую проверку входных данных и очистку выходных данных, внедрить безопасное управление сеансами, следовать методам безопасного кодирования, поддерживать программное обеспечение в актуальном состоянии, проводить регулярные оценки безопасности, использовать брандмауэр веб-приложений (WAF) и обучать пользователей методам безопасного просмотра веб-страниц.

Меры по устранению этой уязвимости в основном сосредоточены на внедрении надлежащих средств контроля доступа и обеспечении проверки входных данных и очистки выходных данных. Следуя этим рекомендациям, веб-приложения могут быть лучше защищены от неспособности ограничить уязвимости веб-ресурсов и других типов атак.

Другие Услуги

Готовы к безопасности?

Связаться с нами