24 Фев, 2023

Неправильная настройка веб-сервера и веб-приложения

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Неправильная настройка веб-сервера и веб-приложения относится к неправильной настройке или конфигурации веб-серверов или веб-приложений, что может привести к появлению уязвимостей в системе безопасности, которые могут быть использованы злоумышленниками. Неправильные настройки могут включать настройки, связанные с аутентификацией пользователя, контролем доступа, правами доступа к файлам, шифрованием, сетевыми портами и многим другим.

Пример уязвимого кода на разных языках программирования:


в PHP:

				
					$db_host = 'localhost';
$db_user = 'root';
$db_password = 'password';

mysql_connect($db_host, $db_user, $db_password);

				
			


В приведенном выше коде учетные данные базы данных жестко закодированы и хранятся в виде обычного текста, что является распространенной ошибкой. Злоумышленник может легко получить учетные данные, если получит доступ к исходному коду, что может привести к серьезной утечке данных.

• в Java:

				
					import java.sql.*;

Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "root", "password");

				
			


В этом фрагменте кода строка подключения к базе данных содержит жестко заданные учетные данные базы данных, что является плохой практикой. Злоумышленник, получивший доступ к исходному коду, может легко получить учетные данные и использовать их для получения несанкционированного доступа к базе данных.

• в Python:

				
					import requests

response = requests.get('http://example.com', allow_redirects=True)
print(response.text)

				
			


В этом примере allow_redirects параметру присвоено значение True, что может позволить злоумышленнику перенаправлять пользователей на вредоносный веб-сайт. Это может быть использовано для кражи конфиденциальной информации или проведения фишинговых атак.

Примеры неправильной настройки веб-сервера и веб-приложения

Атака с обходом каталога:

В этой атаке злоумышленник пытается получить доступ к файлам за пределами корневого каталога веб-сервера, используя неправильно сконфигурированный веб-сервер. Например, если сервер неправильно настроен для ограничения доступа к конфиденциальным файлам или каталогам, злоумышленник может использовать специально созданный URL-адрес для перехода к этим файлам и их загрузки.

SQL-инъекционная атака:

В этой атаке злоумышленник использует уязвимость в веб-приложении, которая позволяет ему внедрять вредоносный код SQL в запрос базы данных. Это может быть сделано путем использования неправильно настроенного веб-сервера, который не выполняет надлежащую очистку пользовательского ввода или проверку пользовательского ввода, что может привести к несанкционированному доступу к конфиденциальным данным или позволить злоумышленнику выполнять произвольные команды SQL.

Атака с использованием межсайтового скриптинга (XSS):

В ходе этой атаки злоумышленник внедряет вредоносный код на веб-страницу, который затем выполняется в браузере пользователя. Это может быть сделано путем использования неправильно настроенного веб-приложения, которое неправильно очищает вводимые пользователем данные или проверяет вводимые пользователем данные. Затем злоумышленник может украсть конфиденциальные данные или выполнить действия от имени пользователя, такие как перевод средств или отправка электронных писем.

Атака на неправильную конфигурацию сервера:

В этой атаке злоумышленник использует неправильно сконфигурированный веб-сервер, используя известную уязвимость или ошибку конфигурации. Например, если сервер неправильно настроен для ограничения доступа к конфиденциальным файлам или каталогам, злоумышленник может использовать специально созданный URL-адрес для перехода к этим файлам и их загрузки.

Методы повышения привилегий для неправильной настройки веб-сервера и веб-приложения

Использование учетных данных по умолчанию:

Многие веб-серверы или веб-приложения поставляются с именами пользователей и паролями по умолчанию, которые широко известны. Если эти учетные данные не будут изменены или удалены, злоумышленник может использовать их для получения доступа к системе и повышения своих привилегий.

Использование неправильно настроенных разрешений для файлов и каталогов:

Если веб-сервер или веб-приложение имеют неправильно настроенные права доступа к файлам или каталогам, злоумышленник может повысить свои привилегии, получив доступ к файлам или каталогам, к которым у него не должно быть доступа. Например, если файл настроен с разрешениями на чтение и запись для всех пользователей, злоумышленник может иметь возможность изменять файл и выполнять произвольный код.

Использование уязвимостей в веб-приложении:

Если веб-приложение не защищено должным образом, злоумышленник может использовать уязвимости в коде для повышения своих привилегий. Например, злоумышленник может использовать методы внедрения SQL для получения доступа к конфиденциальным данным или выполнения произвольного кода на сервере.

Использование неправильно настроенных сетевых служб:

Если на веб-сервере запущены ненужные или неправильно настроенные сетевые службы, злоумышленник может использовать эти службы для повышения своих привилегий. Например, если на сервере запущена устаревшая версия службы с известной уязвимостью, злоумышленник может воспользоваться этой уязвимостью для получения доступа более высокого уровня.

Общая методология и контрольный список для неправильной настройки веб-сервера и веб-приложения

Методология:

  1. Рекогносцировка: Выполните разведку целевого веб-сервера и веб-приложения для сбора такой информации, как тип веб-сервера, операционная система, структура веб-приложения и другая соответствующая информация. Эта информация может быть собрана с помощью различных методов, таких как сканирование портов, захват баннеров и снятие отпечатков пальцев.

  2. Перечисление: Веб-сервер и веб-приложение для выявления возможных уязвимостей и неправильных настроек. Это можно сделать, изучив приложение, проанализировав ответы от сервера и проверив конфигурации по умолчанию, слабые пароли и другие потенциальные уязвимости.

  3. Оценка Сканирование: Используйте инструменты сканирования уязвимостей для автоматического выявления уязвимостей и неправильных настроек на целевом веб-сервере и веб-приложении. Это может включать сканирование на наличие известных уязвимостей в версиях программного обеспечения, выявление отсутствующих исправлений безопасности и обнаружение стандартных или слабых конфигураций.

  4. Эксплуатация: Попытка использовать любые выявленные уязвимости или неправильные настройки для получения несанкционированного доступа к целевому веб-серверу и веб-приложению. Это может включать такие методы, как внедрение SQL, обход каталогов и другие атаки, которые используют слабые конфигурации или уязвимости.

  5. Отчетность: Документируйте все выявленные уязвимости или неправильные настройки, включая влияние уязвимости и возможные шаги по исправлению. Эта информация может быть использована для повышения безопасности целевого веб-сервера и веб-приложения.

  6. Повторное тестирование: Регулярно проводите повторное тестирование веб-сервера и веб-приложения для выявления новых уязвимостей или неправильных настроек, которые могли появиться со временем. Это может помочь гарантировать, что безопасность веб-сервера и веб-приложения остается эффективной с течением времени.

Контрольный список:

  1. Конфигурация веб-сервера:

    • Проверьте, настроен ли веб-сервер на предотвращение атак с обходом каталогов.

    • Убедитесь, что веб-сервер настроен на использование безопасных протоколов (например, TLS / SSL).

    • Проверьте, настроен ли веб-сервер на предотвращение распространенных HTTP-атак (например, XSS, CSRF и т.д.).

    • Проверьте, были ли изменены учетные данные для входа по умолчанию для веб-сервера или веб-приложения.

  2. Конфигурация веб-приложения:

    • Проверьте, имеет ли веб-приложение функции безопасного входа (например, политика надежного пароля, блокировка учетной записи после определенного количества неудачных попыток входа и т.д.).

    • Проверьте, имеет ли веб-приложение безопасное управление сеансами (например, тайм-аут сеанса, безопасная обработка файлов cookie и т.д.).

    • Убедитесь, что веб-приложение не уязвимо для атак с использованием SQL-инъекций.

    • Проверьте, правильно ли реализована проверка входных данных, чтобы предотвратить вредоносные входные данные.

    • Убедитесь, что веб-приложение настроено для предотвращения распространенных атак веб-приложений (например, XSS, CSRF и т.д.).

    • Убедитесь, что веб-приложение настроено таким образом, чтобы ограничить доступ не прошедших проверку подлинности пользователей к конфиденциальным данным.

  3. Укрепление сервера:

    • Убедитесь, что ненужные службы отключены или удалены.

    • Проверьте, настроена ли операционная система сервера с использованием безопасных параметров (например, политики паролей, брандмауэров и т.д.).

    • Проверьте, обновлено ли программное обеспечение сервера и установлены ли последние исправления безопасности.

    • Убедитесь, что учетные записи пользователей по умолчанию удалены или отключены.

    • Проверьте, правильно ли реализованы средства контроля доступа к серверу для предотвращения несанкционированного доступа.

  4. Резервное копирование и аварийное восстановление:

    • Убедитесь, что существует план резервного копирования и аварийного восстановления.

    • Убедитесь, что резервное копирование выполняется регулярно и проверяется на целостность и полноту.

  5. Регулярное тестирование:

    • Убедитесь, что проводятся регулярные оценки уязвимостей и тестирование на проникновение для выявления потенциальных уязвимостей и неправильных настроек.

Набор инструментов для эксплуатации Неправильная настройка веб-сервера и веб-приложения

Автоматизированные инструменты:

  • Nikto – сканер веб-сервера с открытым исходным кодом, который может выявлять известные уязвимости, конфигурации по умолчанию и другие проблемы. Это инструмент командной строки, который может сканировать более 6700 потенциально опасных файлов или программ.

  • OWASP ZAP – сканер веб-приложений с открытым исходным кодом, который может обнаруживать уязвимости, такие как внедрение SQL, межсайтовый скриптинг (XSS) и обход каталогов. Его можно использовать как пассивный, так и активный сканер.

  • Burp Suite – популярный инструмент тестирования безопасности веб-приложений, который можно использовать для обнаружения и использования уязвимостей, таких как внедрение SQL, межсайтовый скриптинг (XSS) и обход каталогов. Это платный инструмент с бесплатной версией, которая предлагает ограниченную функциональность.

  • Metasploit – платформа для разработки, тестирования и выполнения эксплойтов против уязвимых систем. Его можно использовать для проверки уязвимостей веб-приложений, таких как внедрение SQL, удаленное выполнение кода и включение файлов.

  • Acunetix – коммерческий сканер веб-уязвимостей, который может идентифицировать широкий спектр уязвимостей, включая внедрение SQL, межсайтовый скриптинг (XSS) и включение файлов. Он также включает в себя функцию проверки на наличие неправильно сконфигурированных веб-серверов.

  • OpenVAS – сканер уязвимостей с открытым исходным кодом, который может выявлять известные уязвимости в веб-серверах и веб-приложениях. Он также может сканировать на наличие стандартных или слабых конфигураций.

  • Nessus – коммерческий сканер уязвимостей, который может выявлять широкий спектр уязвимостей, в том числе в веб-серверах и веб-приложениях. Он включает в себя более 130 000 плагинов для обнаружения потенциальных уязвимостей.

  • W3af – платформа для атаки и аудита веб-приложений с открытым исходным кодом, которая может обнаруживать и использовать уязвимости, такие как внедрение SQL, межсайтовый скриптинг (XSS) и обход каталогов. Он включает в себя как активные, так и пассивные возможности сканирования.

  • Qualys – облачный сканер уязвимостей, который может выявлять широкий спектр уязвимостей в веб-серверах и веб-приложениях. Он включает в себя такие функции, как сканирование веб-приложений, брандмауэр веб-приложений и мониторинг соответствия требованиям.

  • Nexpose – сканер уязвимостей, который может выявлять известные уязвимости в веб-серверах и веб-приложениях. Он также может выполнять обнаружение сети и управление активами.

Ручные Инструменты:

  • SQLMap – популярный инструмент командной строки для обнаружения и использования уязвимостей SQL-инъекций в веб-приложениях. Его можно использовать для извлечения данных из баз данных, выполнения команд командной строки и получения контроля над сервером.

  • DirBuster – инструмент, который может перебирать каталоги и файлы на веб-серверах, чтобы обнаружить скрытое содержимое. Его можно использовать для выявления неправильно настроенных серверов или слабых разрешений каталога.

  • Exploit-DB – база данных эксплойтов для известных уязвимостей в веб-серверах и веб-приложениях. Его можно использовать для поиска эксплойтов, нацеленных на конкретные уязвимости.

  • BeEF – фреймворк для использования веб-браузеров и их расширений. Его можно использовать для тестирования безопасности веб-браузеров и выявления уязвимостей, таких как XSS и CSRF.

  • Manual Testing Toolkit (MTT) – набор инструментов и методов для ручного тестирования веб-приложений. Он включает в себя такие инструменты, как Burp Suite, OWASP ZAP и SQLMap, а также советы и методы ручного тестирования.

  • sqlninja – инструмент, который может автоматизировать атаки SQL-инъекций против веб-приложений. Его можно использовать для извлечения данных из баз данных, выполнения команд командной строки и получения контроля над сервером.

  • Netcat – инструмент командной строки, который можно использовать для подключения к серверу и выполнения команд. Его можно использовать для идентификации открытых портов и служб на сервере и выполнения различных задач, таких как передача файлов, создание бэкдоров и выполнение команд командной оболочки.

  • Hydra – инструмент для взлома паролей, который можно использовать для взлома паролей для веб-приложений и служб. Его можно использовать для проверки безопасности механизмов аутентификации, таких как базовая аутентификация HTTP и аутентификация на основе форм.

  • Skipfish – сканер безопасности веб-приложений, который можно использовать для выявления уязвимостей, таких как внедрение SQL, XSS и включение файлов. Он спроектирован так, чтобы быть быстрым и эффективным, и может обрабатывать крупномасштабные сканирования.

  • Sqlmap Tamper Scripts – набор скриптов несанкционированного доступа, которые можно использовать с SQLMap для обхода брандмауэров веб-приложений и уклонения от обнаружения. Они могут изменять полезную нагрузку SQL-инъекции, чтобы избежать обнаружения механизмами безопасности.

Плагины для браузера:

  • Web Developer – расширение для браузера, которое можно использовать для проверки безопасности веб-приложений. Он включает в себя такие функции, как управление файлами cookie, декодирование URL-адресов и манипулирование формами.

  • Hackbar – расширение для браузера, которое можно использовать для проверки уязвимостей SQL-инъекций. Это позволяет пользователю вводить SQL-код непосредственно в веб-форму и просматривать результаты.

  • Cookie Manager+ – расширение для браузера, которое можно использовать для управления файлами cookie и проверки безопасности веб-приложений. Это позволяет пользователю просматривать, редактировать и удалять файлы cookie для определенного веб-сайта.

  • XSS-Me – расширение для браузера, которое можно использовать для проверки уязвимостей межсайтового скриптинга (XSS). Он включает в себя набор тестовых примеров, которые могут быть запущены в веб-приложении для обнаружения уязвимостей XSS.

  • Tamper Data – расширение браузера, которое может использоваться для перехвата и изменения HTTP / HTTPS запросов и ответов. Его можно использовать для проверки на наличие уязвимостей, таких как внедрение SQL и XSS.

Общее перечисление слабых мест (CWE)

• CWE-829: Включение функциональности из ненадежной сферы управления – эта уязвимость возникает, когда веб-приложения включают функциональность из ненадежного источника, такого как сторонняя библиотека или плагин, что может привести к уязвимостям в системе безопасности.

• CWE-200: Передача конфиденциальной информации неавторизованному субъекту – эта уязвимость возникает, когда веб-приложения не могут должным образом защитить конфиденциальную информацию, такую как пароли или личные данные, от несанкционированного доступа.

• CWE-346: Ошибка проверки источника – эта уязвимость возникает, когда веб-приложениям не удается должным образом проверить источник запроса, что может привести к атакам с подделкой межсайтовых запросов (CSRF).

• CWE-434: Неограниченная загрузка файла с опасным типом – эта уязвимость возникает, когда веб-приложения позволяют пользователям загружать файлы опасных типов, такие как исполняемые файлы или файлы сценариев, которые могут быть использованы для выполнения вредоносного кода.

• CWE-522: Недостаточно защищенные учетные данные – эта уязвимость возникает, когда веб-приложения не могут должным образом защитить учетные данные пользователя, такие как пароли или токены сеанса, которые могут быть украдены злоумышленниками.

• CWE-798: Использование жестко запрограммированных учетных данных - эта уязвимость возникает, когда веб–приложения включают жестко запрограммированные учетные данные, такие как пароли или ключи API, которые могут быть легко обнаружены и использованы злоумышленниками.

• CWE-807: Зависимость от ненадежных входных данных при принятии решения о безопасности – эта уязвимость возникает, когда веб-приложениям не удается должным образом проверить вводимые пользователем данные, что может привести к принятию решений о безопасности на основе ненадежных данных.

• CWE-434: Неограниченная загрузка файла с опасным типом – эта уязвимость возникает, когда веб-приложения позволяют пользователям загружать файлы опасных типов, такие как исполняемые файлы или файлы сценариев, которые могут быть использованы для выполнения вредоносного кода.

• CWE-352: Подделка межсайтовых запросов (CSRF) – Эта уязвимость возникает, когда веб-приложениям не удается должным образом проверить источник запроса, что может привести к несанкционированным действиям, предпринимаемым от имени пользователя.

• CWE-295: Неправильная проверка сертификата – эта уязвимость возникает, когда веб-приложениям не удается должным образом проверить сертификаты SSL / TLS, что может привести к атакам "человек посередине" и краже данных.

Топ-10 CVE, связанных с неправильной настройкой веб-сервера и веб-приложения

• CVE-2023-25577 – Werkzeug - это всеобъемлющая библиотека веб-приложений WSGI. До версии 2.2.3 анализатор данных составных форм Werkzeug будет анализировать неограниченное количество частей, включая части файлов. Части могут составлять небольшое количество байт, но для анализа каждой требуется процессорное время, и в качестве данных Python может использоваться больше памяти. Если запрос может быть отправлен на конечную точку, которая обращается к "request.data", "request.form", `request.files` или `request.get_data(parse_form_data=False)`, это может привести к неожиданно высокому использованию ресурсов. Это позволяет злоумышленнику вызвать отказ в обслуживании, отправив обработанные составные данные конечной точке, которая их проанализирует. Требуемое количество процессорного времени может помешать рабочим процессам обрабатывать законные запросы. Требуемый объем оперативной памяти может привести к остановке процесса из-за нехватки памяти. Неограниченное количество частей файла может использовать память и дескрипторы файлов. Если непрерывно отправляется много одновременных запросов, это может привести к исчерпанию или гибели всех доступных работников. Версия 2.2.3 содержит исправление для этой проблемы.

• CVE-2023-24021 – Неправильная обработка байтов ‘\ 0’ при загрузке файлов в ModSecurity до версии 2.9.7 может привести к обходу брандмауэра веб-приложений и переполнению буфера брандмауэра веб-приложений при выполнении правил, считывающих коллекцию FILES_TMP_CONTENT.

• CVE-2023-24021 – Werkzeug - это всеобъемлющая библиотека веб-приложений WSGI. Браузеры могут разрешать “безымянные” файлы cookie, которые выглядят как `= value` вместо `key =value`. Уязвимый браузер может позволить скомпрометированному приложению на соседнем поддомене использовать это, чтобы установить файл cookie типа `=__Host-test = bad` для другого поддомена. Werkzeug до версии 2.2.3 будет анализировать файл cookie `=__Host-test=bad` как __Host-test=bad`. Если приложение Werkzeug запущено рядом с уязвимым или вредоносным поддоменом, который устанавливает такой файл cookie с помощью уязвимого браузера, приложение Werkzeug увидит значение неверного файла cookie, но допустимый ключ файла cookie. Проблема исправлена в Werkzeug 2.2.3.

• CVE-2023-23856 – В SAP BusinessObjects Business Intelligence (пользовательский интерфейс веб-аналитики) – версия 430, некоторые вызовы возвращают json с неправильным типом содержимого в заголовке ответа. В результате пользовательское приложение, которое напрямую вызывает jsp DHTML Web Intelligence, может быть уязвимо для XSS-атак. При успешной эксплуатации злоумышленник может оказать незначительное влияние на целостность приложения.

• CVE-2023-23608 – Spotipy - это облегченная библиотека Python для веб-API Spotify. В версиях, предшествующих 2.22.1, если вредоносный URI передается библиотеке, библиотеку можно обманом заставить выполнить операцию на конечной точке API, отличной от предполагаемой. Код, который Spotipy использует для анализа URI и URL-адресов, позволяет злоумышленнику вставлять произвольные символы в путь, который используется для запросов API. Поскольку можно включить “..”, злоумышленник может перенаправить, например, поиск трека через spotifyApi.track() на произвольную конечную точку API, такую как плейлисты, но это возможно и для других конечных точек. Влияние этой уязвимости в значительной степени зависит от того, какие операции выполняет клиентское приложение при обработке URI от пользователя и как оно использует ответы, которые получает от API. Эта проблема исправлена в версии 2.22.1.

• CVE-2023-22942 – In Splunk Enterprise versions below 8.1.13, 8.2.10, and 9.0.4, a cross-site request forgery in the Splunk Secure Gateway (SSG) app in the ‘kvstore_client’ REST endpoint lets a potential attacker update SSG [App Key Value Store (KV store)](https://docs.splunk.com/Documentation/Splunk/latest/Admin/AboutKVstore) collections using an HTTP GET request. SSG is a Splunk-built app that comes with Splunk Enterprise. The vulnerability affects instances with SSG and Splunk Web enabled.

• CVE-2023-22939 – In Splunk Enterprise versions below 8.1.13, 8.2.10, and 9.0.4, the ‘map’ search processing language (SPL) command lets a search [bypass SPL safeguards for risky commands](https://docs.splunk.com/Documentation/Splunk/latest/Security/SPLsafeguards). The vulnerability requires a higher privileged user to initiate a request within their browser and only affects instances with Splunk Web enabled.

• CVE-2023-22935 – In Splunk Enterprise versions below 8.1.13, 8.2.10, and 9.0.4, the ‘display.page.search.patterns.sensitivity’ search parameter lets a search bypass [SPL safeguards for risky commands](https://docs.splunk.com/Documentation/Splunk/latest/Security/SPLsafeguards). The vulnerability requires a higher privileged user to initiate a request within their browser and only affects instances with Splunk Web enabled.

• CVE-2023-22934 – In Splunk Enterprise versions below 8.1.13, 8.2.10, and 9.0.4, the ‘pivot’ search processing language (SPL) command lets a search bypass [SPL safeguards for risky commands](https://docs.splunk.com/Documentation/Splunk/latest/Security/SPLsafeguards) using a saved search job. The vulnerability requires an authenticated user to craft the saved job and a higher privileged user to initiate a request within their browser. The vulnerability affects instances with Splunk Web enabled.

• CVE-2023-22933 – В версиях Splunk Enterprise ниже 8.1.13, 8.2.10 и 9.0.4 представление позволяет создавать межсайтовые сценарии (XSS) на расширяемом языке разметки (XML) через атрибут LayoutPanel в теге ‘module’. Уязвимость затрагивает экземпляры с включенным Splunk Web.

Неправильная настройка веб-сервера и веб-приложения подвиги

  • SQL-инъекция (SQLi) – Это тип уязвимости веб-приложения, которая позволяет злоумышленникам выполнять произвольный SQL-код в серверной базе данных веб-приложения, потенциально предоставляя им доступ к конфиденциальным данным или возможность изменять или удалять данные.

  • Межсайтовый скриптинг (XSS) – Это тип уязвимости, который позволяет злоумышленникам внедрять вредоносный код в веб-приложение, потенциально позволяя им украсть конфиденциальную информацию или получить контроль над приложением.

  • Удаленное выполнение кода (RCE) – Это тип уязвимости, который позволяет злоумышленникам выполнять произвольный код на веб-сервере, потенциально предоставляя им полный контроль над сервером и возможность красть или изменять данные.

  • Уязвимости при включении файлов – Это тип уязвимости, который позволяет злоумышленникам включать файлы с удаленного сервера или файловой системы, потенциально предоставляя им доступ к конфиденциальной информации или возможность выполнения произвольного кода.

  • Уязвимости при обходе каталогов – Это тип уязвимости, который позволяет злоумышленникам получать доступ к файлам или каталогам за пределами корневого веб-каталога, потенциально предоставляя им доступ к конфиденциальной информации или возможность выполнения произвольного кода.

  • Подделка запросов на стороне сервера (SSRF) – Это тип уязвимости, который позволяет злоумышленникам отправлять запросы из уязвимого веб-приложения в другие системы или серверы, потенциально позволяя им получить доступ к конфиденциальной информации или получить контроль над приложением.

  • Уязвимости при внедрении команд – Это тип уязвимости, который позволяет злоумышленникам выполнять произвольные команды на веб-сервере, потенциально предоставляя им полный контроль над сервером и возможность красть или изменять данные.

  • Атаки на внешнюю сущность XML (XXE) – Это тип уязвимости, который позволяет злоумышленникам включать внешние объекты в XML-документы, потенциально предоставляя им доступ к конфиденциальной информации или возможность выполнять произвольный код.

  • Небезопасные прямые ссылки на объекты (IDOR) – Это тип уязвимости, который позволяет злоумышленникам получать доступ к данным и изменять их напрямую, манипулируя URL-адресами или другими параметрами, потенциально предоставляя им доступ к конфиденциальной информации или возможность изменять или удалять данные.

  • Внедрение шаблонов на стороне сервера (SSTI) – Это тип уязвимости, который позволяет злоумышленникам внедрять и выполнять вредоносный код в шаблоны на стороне сервера, что потенциально дает им полный контроль над сервером и возможность красть или изменять данные.

Практикуясь в тестировании на Неправильная настройка веб-сервера и веб-приложения

Создание веб-приложения с известными уязвимостями например, внедрение SQL-кода, межсайтовые сценарии или уязвимости при обходе каталогов. Затем попытайтесь выявить и использовать эти уязвимости, выполнив различные типы тестов.

Используйте существующие уязвимые веб-приложения например, Чертовски уязвимое веб-приложение (DVWA) или WebGoat. Эти приложения разработаны с учетом различных типов уязвимостей, которые вы можете протестировать.

Используйте автоматизированные инструменты например, OWASP ZAP, Burp Suite или Nessus для поиска уязвимостей в веб-приложении. Эти инструменты могут выявлять распространенные неправильные настройки и уязвимости, позволяя вам сосредоточить свои усилия по тестированию на наиболее важных областях.

Практикуйте различные методы ручного тестирования например, тестирование проверки правильности входных данных, тестирование контроля доступа и тестирование управления сеансами. Попытайтесь выявить уязвимости и неправильные настройки, протестировав различные поля ввода, URL-адреса и токены сеанса.

Участвуйте в программах вознаграждения за ошибки например, HackerOne или Bugcrowd для тестирования реальных веб-приложений на наличие уязвимостей. Эти программы позволяют вам тестировать реальные веб-приложения и получать вознаграждение за выявление проблем безопасности.

Для изучения неправильной конфигурации веб-сервера и веб-приложения

OWASP Топ-10: Проект Open Web Application Security Project (OWASP) предоставляет список 10 основных рисков безопасности веб-приложений. Этот список включает в себя множество неправильных настроек и уязвимостей, о которых вы должны знать.

Руководство хакера веб-приложений: Эта книга Дэвида Штуттарда и Маркуса Пинто содержит исчерпывающее руководство по тестированию безопасности веб-приложений. Он охватывает множество неправильных настроек и уязвимостей, с которыми вы, вероятно, столкнетесь.

Руководство по тестированию OWASP: Руководство по тестированию OWASP содержит подробное руководство по тестированию веб-приложений на наличие уязвимостей в системе безопасности. Он включает разделы, посвященные неправильным настройкам, а также другим типам уязвимостей.

Развязанный Метасплоит: Metasploit - популярный инструмент для тестирования и использования уязвимостей веб-приложений. Руководство Metasploit Unleashed содержит подробное введение в использование Metasploit для тестирования безопасности.

Хактбокс: HackTheBox - это веб-сайт, который предоставляет виртуальные машины для тестирования безопасности веб-приложений. Он включает в себя множество уязвимых компьютеров, которые вы можете протестировать, включая машины с неправильными настройками.

ВулнХаб: VulnHub - это еще один веб-сайт, предоставляющий виртуальные машины для тестирования безопасности веб-приложений. Как и HackTheBox, он включает в себя множество уязвимых машин с неправильными настройками.

YouTube: Существует множество каналов YouTube, которые предоставляют учебные пособия по тестированию безопасности веб-приложений. Некоторые популярные каналы включают The Cyber Mentor, John Hammond и LiveOverflow.

Книги с обзором неправильной настройки веб-сервера и веб-приложения

Руководство хакера веб-приложений: поиск и использование недостатков безопасности автор: Дэффидд Штуттард и Маркус Пинто – Эта книга считается библией безопасности веб-приложений. Он охватывает широкий круг вопросов, включая неправильные настройки, и содержит практические рекомендации по выявлению и использованию недостатков безопасности.

Запутанная сеть: руководство по обеспечению безопасности современных веб-приложений Михал Залевский – Эта книга посвящена сложностям современных веб-приложений и тому, как их можно использовать. В нем рассматриваются многие неправильные настройки и даются практические советы по обеспечению безопасности веб-приложений.

Веб-взлом 101: Как заработать деньги, взламывая этично Питер Яворски – Эта книга предназначена для начинающих и содержит введение в безопасность веб-приложений. Он охватывает множество неправильных настроек и включает в себя реальные примеры того, как их можно использовать.

Освоение современного веб-тестирования на Проникновение автор: Пракхар Прасад – Эта книга представляет собой всеобъемлющее руководство по тестированию безопасности веб-приложений. В нем рассказывается о многих неправильных конфигурациях и содержатся практические советы о том, как их выявить и использовать.

Основы веб-взлома: инструменты и методы для атаки в Интернете автор: Джош Паули – Эта книга представляет собой введение в тестирование безопасности веб-приложений. В нем рассказывается о многих неправильных конфигурациях и даются практические советы о том, как их выявить и использовать.

Взлом открытых веб-приложений: Секреты и решения безопасности веб-приложений автор: Джоэл Скамбрей, Майк Шема и Калеб Сима – Эта книга представляет собой всеобъемлющее руководство по тестированию безопасности веб-приложений. В нем рассматриваются многие неправильные настройки и даются практические советы о том, как их выявить и использовать.

Кулинарная книга по тестированию веб-безопасности: выявление уязвимостей и повышение вашей веб-безопасности Пако Хоуп и Бен Вальтер – В этой книге даются практические советы о том, как тестировать веб-приложения на наличие уязвимостей в системе безопасности. В нем рассматриваются многие неправильные настройки и даются практические советы о том, как их выявить и использовать.

Руководство по тестированию OWASP by The Open Web Application Security Project (OWASP) – Эта книга представляет собой полное руководство по тестированию веб-приложений на наличие уязвимостей в системе безопасности. Он охватывает множество неправильных настроек, а также другие типы уязвимостей.

Metasploit: Руководство по тестированию на проникновение Дэвид Кеннеди, Джим О'Горман, Девон Кернс и Мати Ахарони – Эта книга представляет собой полное руководство по использованию платформы Metasploit для тестирования безопасности веб-приложений. В нем рассматриваются многие неправильные настройки и даются практические советы о том, как их выявить и использовать.

Взлом серой шляпы: руководство этичного хакера Даниэль Регаладо, Шон Харрис и Аллен Харпер – Эта книга представляет собой всеобъемлющее руководство по этическому взлому, включая тестирование безопасности веб-приложений. В нем рассказывается о многих неправильных конфигурациях и даются практические советы о том, как их выявить и использовать.

Список неправильной конфигурации веб-сервера и веб-приложения полезных нагрузок

  • Полезные нагрузки SQL-инъекций – Эти полезные нагрузки используются для использования неправильно сконфигурированных баз данных SQL, обычно путем внедрения вредоносного кода SQL в поле ввода.

  • Полезная нагрузка для межсайтовых сценариев (XSS) – Эти полезные нагрузки используются для использования уязвимостей в веб-приложениях, которые позволяют злоумышленнику внедрять вредоносный код на веб-страницу, просматриваемую другими пользователями.

  • Полезная нагрузка при включении файлов – Эти полезные нагрузки используются для использования уязвимостей в веб-приложениях, которые позволяют злоумышленнику включать и запускать произвольные файлы на сервере.

  • Полезная нагрузка при обходе каталогов – Эти полезные нагрузки используются для использования уязвимостей в веб-приложениях, которые позволяют злоумышленнику получить доступ к файлам и каталогам за пределами корневого веб-каталога.

  • Полезная нагрузка для ввода команд – Эти полезные нагрузки используются для использования уязвимостей в веб-приложениях, которые позволяют злоумышленнику выполнять произвольные команды на сервере.

  • Полезная нагрузка для подделки запросов на стороне сервера (SSRF) – Эти полезные нагрузки используются для использования уязвимостей в веб-приложениях, которые позволяют злоумышленнику отправлять произвольные запросы с сервера в другие внутренние или внешние системы.

  • Полезные нагрузки для внедрения XML – Эти полезные нагрузки используются для использования уязвимостей в веб-приложениях, которые позволяют злоумышленнику внедрять вредоносный код в поля ввода XML.

  • Полезная нагрузка внедрения шаблонов на стороне сервера (SSTI) – Эти полезные нагрузки используются для использования уязвимостей в веб-приложениях, которые позволяют злоумышленнику внедрять вредоносный код в шаблоны на стороне сервера.

  • Полезные нагрузки, разделяющие HTTP-ответы – Эти полезные нагрузки используются для использования уязвимостей в веб-приложениях, которые позволяют злоумышленнику вводить вредоносные HTTP-заголовки в ответ сервера.

  • Полезная нагрузка для внедрения LDAP – Эти полезные нагрузки используются для использования уязвимостей в веб-приложениях, которые позволяют злоумышленнику внедрять вредоносный код в запросы LDAP.

Как защититься от неправильной настройки веб-сервера и веб-приложения

  1. Регулярно обновляйте веб-серверы, операционные системы и приложения последними исправлениями и обновлениями безопасности для устранения известных уязвимостей.

  2. Используйте надежные, сложные пароли для всех учетных записей и убедитесь, что пароли не являются общими для нескольких учетных записей. Рассмотрите возможность использования менеджера паролей для создания и хранения сложных паролей.

  3. Отключите ненужные службы и порты, чтобы уменьшить поверхность атаки веб-сервера.

  4. Используйте HTTPS для шифрования данных, передаваемых между веб-сервером и клиентами, и обеспечения безопасных подключений путем настройки веб-сервера для перенаправления HTTP-запросов на HTTPS.

  5. Внедрите контроль доступа, чтобы гарантировать, что пользователи имеют только те разрешения, которые необходимы для выполнения их ролей. Рассмотрите возможность использования многофакторной аутентификации для дополнительной защиты конфиденциальных учетных записей.

  6. Регулярно создавайте резервные копии данных вашего веб-сервера, включая код приложения, базы данных и файлы конфигурации, и храните резервные копии в безопасном удаленном месте.

  7. Регулярно просматривайте журналы веб-сервера, чтобы выявлять любые подозрительные действия, такие как попытки несанкционированного доступа или необычные схемы трафика, и реагировать на них.

  8. Выбирайте платформы веб-приложений со встроенными функциями безопасности, такими как проверка входных данных, кодирование выходных данных, а также элементы управления аутентификацией и авторизацией.

  9. Регулярно проводите оценку уязвимостей и тестирование на проникновение, чтобы выявить и устранить потенциальные проблемы безопасности, прежде чем они могут быть использованы злоумышленниками.

  10. Обучите сотрудников передовым методам обеспечения безопасности веб-серверов и приложений, таким как отказ от обмена паролями, сообщения о подозрительных действиях и осторожность при открытии электронных писем или переходе по ссылкам.

Меры по смягчению последствий для Неправильная настройка веб-сервера и веб-приложения

  1. Выбирайте платформы веб-приложений со встроенными функциями безопасности, такими как проверка входных данных, кодирование выходных данных, а также элементы управления аутентификацией и авторизацией.

  2. Используйте инструменты управления конфигурацией для автоматизации развертывания и управления веб-серверами и приложениями, снижая риск неправильных настроек из-за ошибок, сделанных вручную.

  3. Настройте веб-серверы и приложения с использованием безопасных настроек по умолчанию, таких как отключение ненужных служб и портов, а также использование надежных протоколов шифрования.

  4. Проводите регулярные аудиты безопасности и оценки уязвимостей для выявления и устранения неправильных настроек и других проблем безопасности.

  5. Внедрите средства контроля доступа для ограничения доступа к конфиденциальным данным и функциям и используйте управление доступом на основе ролей, чтобы гарантировать, что пользователи имеют только разрешения, необходимые для выполнения своих ролей.

  6. Внедрите многофакторную аутентификацию для дополнительной защиты конфиденциальных учетных записей.

  7. Регулярно просматривайте журналы веб-сервера, чтобы выявлять любые подозрительные действия, такие как попытки несанкционированного доступа или необычные схемы трафика, и реагировать на них.

  8. Регулярно создавайте резервные копии данных вашего веб-сервера, включая код приложения, базы данных и файлы конфигурации, и храните резервные копии в безопасном удаленном месте.

  9. Обучите сотрудников передовым методам обеспечения безопасности веб-серверов и приложений, таким как отказ от обмена паролями, сообщения о подозрительных действиях и осторожность при открытии электронных писем или переходе по ссылкам.

  10. Будьте в курсе последних угроз безопасности и уязвимостей, а также применяйте исправления и обновления, как только они станут доступны, чтобы снизить риск использования.

Заключение

Неправильная настройка веб-сервера и веб-приложения может представлять серьезную угрозу безопасности веб-сайтов и онлайн-приложений. Неправильные настройки могут возникать из-за человеческой ошибки или использования небезопасных значений по умолчанию и могут привести к ряду уязвимостей в системе безопасности, которые могут быть использованы злоумышленниками. Эти уязвимости могут быть использованы для кражи конфиденциальных данных, компрометации учетных записей пользователей или даже для получения контроля над уязвимой системой.

Чтобы снизить риск неправильной настройки веб-серверов и веб-приложений, организациям следует внедрять платформы веб-приложений, ориентированные на безопасность, использовать инструменты управления конфигурацией для автоматизации развертывания и управления, регулярно проводить аудит безопасности, применять средства контроля доступа, отслеживать журналы веб-сервера, создавать резервные копии данных, обучать сотрудников и получать информацию о последних угрозах безопасности и уязвимые места. Предпринимая эти шаги, организации могут снизить риск уязвимостей, связанных с неправильной конфигурацией, и помочь обеспечить безопасность своих онлайн-активов.

Другие Услуги

Готовы к безопасности?

Связаться с нами