09 Бер, 2023

Слабкі місця контролю доступу

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Слабкі місця контролю доступу зверніться до вразливостей в заходи безпеки, які застосовуються для обмеження або регулювання доступу до системи, мережі або даними. Контроль доступу є важливим компонентом інформаційної безпеки і допомагає запобігти несанкціонований доступ, зміну або розголошення конфіденційних даних.

Недоліки контролю доступу можуть приймати різні форми, у тому числі:

  • Слабкі або легко вгадувані паролі: Паролі, які легко вгадати або зламати, є серйозною уразливістю, оскільки вони дозволяють неавторизованим користувачам отримувати доступ до системи або даних.

  • Відсутність багатофакторної аутентифікації: Багатофакторна аутентифікація, яка вимагає від користувачів надання декількох форм ідентифікації (таких як пароль і відбиток пальця або маркер безпеки), може поліпшити контроль доступу, ускладнивши доступ неавторизованим користувачам.

  • Неправильно налаштовані списки контролю доступу: Списки контролю доступу (ACL) визначають, які користувачі або групи можуть отримувати доступ до певних ресурсів, таких як файли або каталоги. Неправильно налаштовані списки управління доступом можуть дозволити неавторизованим користувачам отримати доступ до конфіденційних даних.

  • Недостатні або неправильні дозволу: Користувачам повинен бути наданий найменший обсяг доступу, необхідний для їх виконання робочих функцій. Надання користувачам більшої кількості дозволів, ніж їм необхідно, може збільшити ризик несанкціонованого доступу або випадкового витоку даних.

  • Відсутність аудиту та моніторингу: Без належного аудиту і моніторингу може бути складно виявити несанкціонований доступ або інші порушення безпеки.

Приклад уразливого коду на різних мовах програмування:


В Java:

				
					public void viewUserProfile(String userId) {
    User user = getUserById(userId);
    if (user != null) {
        System.out.println("User Name: " + user.getName());
        System.out.println("Email Address: " + user.getEmail());
    }
}

				
			

 

У цьому коді метод viewUserProfile використовується для відображення інформації профілю користувача. Однак перевірка контролю доступу відсутня, щоб гарантувати, що користувач, що викликає цей метод, має право на перегляд профілю. Зловмисник може скористатися цією уразливістю, передавши інший ідентифікатор користувача і отримавши доступ до профілю іншого користувача.

• в Python:

				
					def read_file(filename):
    with open(filename, 'r') as f:
        contents = f.read()
    return contents

				
			


Цей код зчитує вміст файлу за допомогою вбудованого в Python open функція. Однак перевірка контролю доступу відсутня, щоб гарантувати, що користувач, що викликає цю функцію, має право на читання файлу. Зловмисник може скористатися цією уразливістю, передавши інше ім'я файлу і отримавши доступ до конфіденційних даних.

• В PHP:

				
					if ($_SESSION['isAdmin']) {
    // Allow the user to delete a record
    deleteRecord($_GET['recordId']);
}

				
			


У цьому коді deleteRecord функція викликається тільки в тому випадку, якщо користувач має isAdmin прапор встановлений в їх сеансі. Однак перевірка контролю доступу відсутня, щоб гарантувати, що користувач, що викликає цей код, має право видалити запис. Зловмисник може скористатися цією уразливістю, змінивши isAdmin відзначте у своєму сеансі і отримаєте доступ до видалення записів, які вони не мають права видаляти.

Приклади слабких місць в управлінні доступом при експлуатації

Вгадування пароля:

Слабкі або легко вгадувані паролі можуть бути використані зловмисниками для отримання несанкціонованого доступу до системи або даних. Зловмисники можуть використовувати автоматизовані інструменти для перебору різних комбінацій паролів, поки не знайдуть правильний.

Перехоплення сеансу:

Якщо ідентифікатор сеансу користувача скомпрометований, зловмисник може використовувати його, щоб видати себе за користувача і отримати доступ до конфіденційних даних або виконати несанкціоновані дії.

Обхід каталогу:

Атака з обходом каталогу використовує уразливість, при якій зловмисник може переміщатися за межі кореневого каталогу і отримувати доступ до файлів, перегляд яких йому не дозволено. Це можна зробити, маніпулюючи URL-адресами або шляхами до файлів.

Підвищення привілеїв:

Якщо користувачеві надано більше дозволів, ніж йому необхідно, зловмисник може скористатися цією вразливістю, щоб отримати підвищені привілеї і отримати доступ до конфіденційних даних або виконати несанкціоновані дії.

Соціальна інженерія:

Зловмисники можуть використовувати методи соціальної інженерії, щоб обманом змусити користувачів розкрити свої облікові дані для входу або іншу конфіденційну інформацію, що дозволяє їм отримати несанкціонований доступ.

Атаки грубої силою:

Зловмисники можуть використовувати атаки методом грубої сили для отримання несанкціонованого доступу до системи або даних, пробуючи різні комбінації облікових даних для входу, поки не знайдуть правильні.

Методи підвищення привілеїв для усунення недоліків в управлінні доступом

Використання вразливостей:

Зловмисники можуть використовувати уразливості в програмному забезпеченні або операційних системах для отримання підвищених привілеїв. Це може бути зроблено шляхом використання переповнення буфера, ін'єкційних атак або інших вразливостей.

Неправильна конфігурація:

Неправильно налаштовані списки контролю доступу або налаштування дозволів можуть призвести до підвищення привілеїв. Зловмисники можуть використовувати ці неправильні налаштування для отримання підвищених привілеїв доступу до конфіденційних ресурсів.

Уособлення:

Зловмисники можуть видавати себе за користувача з більш високими привілеями, щоб отримати доступ до ресурсів, доступ до яких їм зазвичай не дозволений. Це може бути зроблено шляхом крадіжки або вгадування облікових даних для входу або шляхом використання вразливостей в механізмах аутентифікації.

Зловживання функціональністю:

Деякі програми або системи можуть мати функції, якими можна зловживати для отримання підвищених привілеїв. Наприклад, зловмисник може скористатися функцією, яка дозволяє користувачам виконувати довільний код або запускати системні команди.

Використання налаштувань за замовчуванням:

Налаштування за замовчуванням в програмному забезпеченні або операційних системах можуть надавати більші привілеї, ніж необхідно. Зловмисники можуть використовувати ці налаштування за замовчуванням для отримання підвищених привілеїв.

Соціальна інженерія:

Зловмисники можуть використовувати методи соціальної інженерії, щоб обманом змусити користувачів з більш високими привілеями надати доступ до конфіденційних ресурсів або підвищити їх дозволу.

Загальна методологія та контрольний список for Слабкі місця контролю доступу

Методологія:

  1. Визначте вимоги до контролю доступу: Першим кроком є розуміння вимог до контролю доступу для досліджуваного програми або системи. Це включає в себе ідентифікацію авторизованих користувачів, типів даних або ресурсів, до яких дозволений доступ, і діючих механізмів контролю доступу.

  2. Нанесіть на мапу додаток або систему: Потім нанесіть на мапу досліджуване додаток або систему, щоб визначити всі точки входу і дії користувача, які потенційно можуть призвести до вразливостей в системі контролю доступу.

  3. Перевірка на наявність прямих посилань на об'єкти: Перевірте наявність прямих посилань на об'єкти, спробувавши отримати доступ до ресурсів, які не повинні бути доступні. Наприклад, спробуйте отримати доступ до ресурсу, змінивши ідентифікатор ресурсу в URL.

  4. Тест на підвищення привілеїв: Перевірте на підвищення привілеїв, спробувавши отримати підвищені привілеї. Наприклад, спробуйте отримати доступ до адміністративної функції, вгадавши або вкравши облікові дані для входу.

  5. Перевірка на наявність непрямих посилань на об'єкти: Перевірте наявність непрямих посилань на об'єкти, спробувавши отримати доступ до ресурсів через інші ресурси, які не повинні бути доступні. Наприклад, спробуйте отримати доступ до особистих даних користувача, звернувшись до них через обліковий запис користувача.

  6. Тест на недостатню перевірку авторизації: Перевірте, немає чи недостатніх перевірок авторизації, спробувавши отримати доступ до ресурсів, які повинні вимагати авторизації, але цього не роблять. Наприклад, спробуйте отримати доступ до обмеженого ресурсу без надання будь-яких облікових даних.

  7. Перевірка на наявність вразливостей бізнес-логіки: Перевірте наявність вразливостей бізнес-логіки, які можуть призвести до слабкостей управління доступом. Наприклад, перевірте наявність вразливостей в робочих процесах, які можуть призвести до несанкціонованого доступу до ресурсів.

  8. Тест на обробку помилок: Перевірте обробку помилок, спробувавши викликати помилки в тестованому додатку або системі. Це може допомогти виявити уразливості в системі контролю доступу, які не відразу кидаються в очі.

  9. Огляд механізмів контролю доступу: Перегляньте наявні механізми контролю доступу, включаючи аутентифікацію, авторизацію і ведення журналу аудиту. Це може допомогти виявити слабкі місця в цих механізмах, які можуть бути використані зловмисниками.

  10. Документуйте уразливості і розставляйте пріоритети: Документуйте всі уразливості, виявлені в ході тестування, і розставляйте пріоритети в залежності від їх серйозності і потенційного впливу на досліджуване додаток або систему.

Контрольний список:

  1. Переконайтеся, що механізми аутентифікації функціонують належним чином і що вони належним чином захищають додаток або систему від несанкціонованого доступу.

  2. Переконайтеся, що механізми авторизації забезпечують дотримання належних політик контролю доступу і що користувачі можуть отримувати доступ лише до тих ресурсів, доступ до яких їм дозволено.

  3. Перевірте наявність вразливостей з прямими посиланнями на об'єкти, спробувавши отримати доступ до ресурсів безпосередньо, маніпулюючи URL-адресами або ідентифікаторами ресурсів.

  4. Перевірте наявність вразливостей з непрямими посиланнями на об'єкти, спробувавши отримати доступ до ресурсів побічно, використовуючи зв'язки між ресурсами.

  5. Перевірте уразливості на предмет підвищення привілеїв, спробувавши отримати підвищені привілеї шляхом використання вразливостей в додатку або системі.

  6. Перевірте, немає чи недостатніх перевірок авторизації, спробувавши отримати доступ до ресурсів, які повинні вимагати авторизації, але цього не роблять.

  7. Перегляньте політики контролю доступу, щоб переконатися, що вони є повними, точними та актуальними.

  8. Перевірте наявність вразливостей бізнес-логіки, які можуть призвести до слабкостей управління доступом.

  9. Перегляньте механізми ведення журналу аудиту, щоб переконатися, що вони належним чином реєструють всі спроби доступу і що вони належним чином захищені від несанкціонованого доступу.

  10. Розставте пріоритети і задокументуйте всі результати, включаючи їх серйозність і потенційний вплив на досліджуване додаток або систему.

Набір інструментів для експлуатації Слабкі місця контролю доступу

Ручні Інструменти:

  • Burp Suite: Інструмент тестування безпеки веб-додатків, який можна використовувати для ручного виявлення і використання вразливостей в системі контролю доступу, таких як недостатня перевірка авторизації та прямі посилання на об'єкти.

  • Postman: Інструмент розробки і тестування REST API, який можна використовувати для ручного тестування вразливостей контролю доступу, таких як недостатня перевірка авторизації і уразливості з підвищенням привілеїв.

  • Manual testing frameworks: Платформи ручного тестування, такі як Керівництво по тестуванню OWASP і NIST SP 800-115, надають рекомендації та контрольні списки для виявлення і використання слабких місць контролю доступу.

  • Command-line tools: Інструменти командного рядка, такі як cURL і wget, можуть використовуватися для ручної перевірки вразливостей контролю доступу, таких як прямі посилання на об'єкти і недостатні перевірки авторизації.

Автоматизовані інструменти:

  • Nessus: Сканер вразливостей, який може використовуватися для автоматичного виявлення вразливостей в системі контролю доступу, таких як слабкі механізми аутентифікації і авторизації.

  • Acunetix: Сканер веб-вразливостей, який може використовуватися для автоматичного виявлення вразливостей в системі контролю доступу, таких як недостатня перевірка авторизації та прямі посилання на об'єкти.

  • Nmap: Засіб дослідження мережі та сканування вразливостей, яке може використовуватися для автоматичного виявлення вразливостей в системі контролю доступу, таких як відкриті порти і незахищені служби.

  • OpenVAS: Сканер вразливостей з відкритим вихідним кодом, який може використовуватися для автоматичного виявлення вразливостей в управлінні доступом, таких як слабкі механізми аутентифікації і уразливості з підвищенням привілеїв.

  • Nikto: Сканер веб-сервера, який може використовуватися для автоматичного виявлення вразливостей в системі управління доступом, таких як облікові дані за замовчуванням і уразливості в списках каталогів.

  • Vega: Сканер веб-вразливостей і платформа тестування, які можуть використовуватися для автоматичного виявлення вразливостей в системі контролю доступу, таких як недостатня перевірка авторизації та прямі посилання на об'єкти.

  • SQLMap: Автоматизований інструмент впровадження SQL, який може використовуватися для використання вразливостей контролю доступу, таких як слабкі механізми аутентифікації і уразливості підвищення привілеїв.

  • Metasploit: Інструмент тестування на проникнення, який може використовуватися для автоматичного використання вразливостей контролю доступу, таких як слабкі механізми аутентифікації і уразливості підвищення привілеїв.

  • ZAP: Сканер безпеки веб-додатків, який може використовуватися для автоматичного виявлення вразливостей в системі контролю доступу, таких як недостатня перевірка авторизації та прямі посилання на об'єкти.

Плагіни для браузера:

  • Tamper Data: Надбудова Firefox, яка може використовуватися для перехоплення і зміни запитів і відповідей HTTP / HTTPS, дозволяючи тестувальникам вручну перевіряти уразливості контролю доступу.

  • Cookie Editor: Розширення Chrome, яке можна використовувати для ручного редагування та модифікації файлів cookie, дозволяючи тестувальникам перевіряти уразливості контролю доступу, пов'язані з механізмами аутентифікації на основі файлів cookie.

  • EditThisCookie: Розширення Chrome, яке можна використовувати для редагування файлів cookie та маніпулювання ними, дозволяючи тестувальникам перевіряти уразливості контролю доступу, пов'язані з механізмами аутентифікації на основі файлів cookie.

  • ModHeader: Розширення Chrome, яке можна використовувати для зміни заголовка HTTP, дозволяючи тестувальникам перевіряти уразливості контролю доступу, пов'язані з механізмами аутентифікації на основі заголовків.

  • LiveHTTPHeaders: Надбудова Firefox, яка може використовуватися для перегляду і зміни HTTP-заголовків, дозволяючи тестувальникам перевіряти уразливості контролю доступу, пов'язані з механізмами аутентифікації на основі заголовків.

  • Web Developer: Розширення для браузера, яке може використовуватися для редагування веб-сторінок і маніпулювання ними, дозволяючи тестувальникам перевіряти уразливості контролю доступу, пов'язані з механізмами контролю доступу на стороні клієнта.

  • HackBar: Надбудова Firefox, яка може використовуватися для тестування параметрів і даних URL і управління ними, дозволяючи тестувальникам перевіряти уразливості контролю доступу, пов'язані з механізмами контролю доступу на основі URL.

Середній бал CVSS стек Слабкі місця контролю доступу

Середній бал CVSS за вразливостей управління доступом до стека може сильно варіюватися в залежності від конкретних вразливостей і їх серйозності. Однак, як правило, місця в системі контролю доступу вважаються уразливими високою або критичної серйозності, при цьому оцінки CVSS варіюються від 7.0 до 10.0.

Деякі поширені приклади вразливостей контролю доступу та їх середні оцінки CVSS включають:

  1. Недостатня аутентифікація: оцінка CVSS 8.0 – 10.0

  2. Недостатня авторизація: оцінка CVSS 7.0 – 9.0

  3. Пряме посилання на об'єкт: оцінка CVSS 7.5 – 9.0

  4. Підвищення привілеїв: оцінка CVSS 8,0 – 9,0

  5. Порушений контроль доступу: оцінка CVSS 8.0 – 10.0

Варто зазначити, що оцінки CVSS - це всього лише один показник для вимірювання серйозності уразливості, і що інші фактори, такі як вплив на організацію та ймовірність використання, також слід враховувати при визначенні пріоритетів та усунення недоліків в управлінні доступом.

Загальна перерахування слабких місць (CWE)

• CWE-285: Неправильна авторизація – це CWE відноситься до недоліків, пов'язаних з механізмами авторизації, які не були реалізовані належним чином, що дозволяє несанкціонований доступ до ресурсів.

• CWE-287: Неправильна аутентифікація – це CWE відноситься до недоліків, пов'язаних з механізмами аутентифікації, які не були реалізовані належним чином, що дозволяє зловмисникам обходити аутентифікацію і отримувати несанкціонований доступ.

• CWE-306: Відсутній аутентифікація для критичної функції – це CWE відноситься до недоліків, пов'язаних з критичними функціями, які належним чином не захищені механізмами аутентифікації, що дозволяє несанкціонований доступ до цих функцій.

• CWE-346: Помилка перевірки джерела – цей CWE відноситься до недоліків, пов'язаних з веб-додатками, які неправильно перевіряють джерело запитів, дозволяючи зловмисникам виконувати атаки з підробкою міжсайтових запитів (CSRF).

• CWE-352: Підробка міжсайтових запитів (CSRF) – Цей CWE відноситься до вразливостей, пов'язаних з веб-додатками, які неправильно перевіряють запити, дозволяючи зловмисникам виконувати CSRF атаки.

• CWE-434: Необмежена завантаження файлу з небезпечним типом – цей CWE відноситься до недоліків, пов'язаних з веб-додатками, які дозволяють користувачам завантажувати файли без належної перевірки, що може призвести до завантаження шкідливих файлів.

• CWE-639: Обхід авторизації за допомогою керованого користувачем ключа – цей CWE відноситься до слабких місць, пов'язаних з додатками, які покладаються на керовані користувачем ключі для авторизації, які можуть бути легко обійдені зловмисниками.

• CWE-732: Неправильне призначення дозволів для критичного ресурсу – Це CWE відноситься до вразливостей, пов'язаних з додатками, які неправильно призначають дозволу для критичних ресурсів, дозволяючи несанкціонований доступ до цих ресурсів.

• CWE-759: Використання однобічної хеш-без солі – Це CWE відноситься до недоліків, пов'язаних з додатками, які використовують односторонні хеш-функції без солі, що може зробити їх уразливими для попередньо обчислених хеш-атак.

• CWE-829: Включення функціональності сфери ненадійного контролю – Цей CWE відноситься до слабкостей, пов'язаною з додатками, які включають код з ненадійних джерел, що може призвести до вразливостей в системі безпеки, включаючи слабкі місця в управлінні доступом.

CVE, пов'язані зі слабкостями контролю доступу

• CVE-2017-12251 – Уразливість в веб-консолі Cisco Cloud Services Platform (CSP) 2100 може дозволити пройшов перевірку автентичності віддаленого зловмиснику зловмисно взаємодіяти зі службами або віртуальними машинами (ВМ), що працюють віддалено на вразливому пристрої CSP. Уразливість пов'язана зі слабкостями в генерації певних механізмів аутентифікації URL веб-консолі. Зловмисник може скористатися цією уразливістю, перейшовши по одному з URL-адрес розміщених віртуальних машин в Cisco CSP і переглянувши певні шаблони, які управляють механізмами веб-додатки для контролю аутентифікації. Експлойт може дозволити зловмиснику отримати доступ до певної віртуальній машині на CSP, що призведе до повної втрати конфіденційності, цілісності і доступності системи. Ця вразливість впливає на платформу Cisco Cloud Services Platform (CSP) 2100 із запущеним випуском програмного забезпечення 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1, або 2.2.2. Ідентифікатори помилок Cisco: CSCve64690.

• CVE-2002-1747 – Vtun 2.5b1 не аутентифікує пересилаються пакети, що дозволяє віддаленим зловмисникам непомітно вводити дані в сеанси користувачів і, можливо, контролювати вміст даних за допомогою атак "вирізати і вставити" на ECB.

Слабкі місця контролю доступу експлойти

  • SQL-ін'єкція – цей тип атаки дозволяє зловмисникові обійти контроль доступу і отримати доступ до конфіденційних даних шляхом маніпулювання SQL-запитами.

  • Міжсайтовий скриптінг (XSS) – цей тип атаки дозволяє зловмисникові впровадити шкідливий код на веб-сторінку, яка потім може бути виконаний у браузері інших користувачів, дозволяючи зловмиснику вкрасти токени сеансу і обійти контроль доступу.

  • Підробка міжсайтових запитів (CSRF) – цей тип атаки дозволяє зловмисникові підробляти запити, надіслані до веб-додаток від користувача, який вже пройшов перевірку автентичності, що дозволяє зловмиснику виконувати несанкціоновані дії в програмі.

  • Порушений контроль доступу – цей тип атаки дозволяє зловмисникові обійти контроль доступу шляхом маніпулювання або перехоплення запитів, надісланих з додатком.

  • Підвищення привілеїв – цей тип атаки дозволяє зловмисникові підвищити свої привілеї у програмі або в операційній системі, надаючи їм доступ до ресурсів, доступ до яких їм не дозволено.

  • Перехоплення сеансу – цей тип атаки дозволяє зловмисникові захопити сеанс користувача, викравши його ідентифікатор сеансу, що дозволяє зловмисникові обійти аутентифікацію і отримати доступ до ресурсів, які обмежені для цього користувача.

  • Обхід каталогу – цей тип атаки дозволяє зловмиснику отримати доступ до файлів за межами передбачуваної структури каталогів, що дозволяє їм отримати доступ до конфіденційних файлів, доступ до яких їм не дозволено.

  • Недостатня аутентифікація – цей тип атаки дозволяє зловмисникові обійти засоби контролю справжності, використовуючи слабкі місця в механізмі аутентифікації, такі як слабкі паролі або використання легко угадываемых секретних питань.

  • Недостатня авторизація – цей тип атаки дозволяє зловмисникові обійти засоби контролю авторизації, використовуючи слабкі місця в механізмі авторизації, такі як нездатність підтвердити введення або неналежна перевірка дозволів.

  • Небезпечна пряме посилання на об'єкт (IDOR) – цей тип атаки дозволяє зловмисникові безпосередньо отримувати доступ до об'єктів або маніпулювати ними, минаючи засоби контролю доступу, які призначені для обмеження їх доступу.

Практикуючись в тестуванні на Слабкі місця контролю доступу

Завдання захоплення прапора (CTF) – В Інтернеті є кілька завдань CTF, які зосереджені на слабких сторонах контролю доступу. Ці завдання забезпечують безпечну і контрольоване середовище для тестування контролю доступу і можуть допомогти вам розвинути свої навички у виявленні і використанні вразливостей контролю доступу.

Вразливі додатки – Для практичного тестування контролю доступу доступно кілька навмисно вразливих додатків, таких як OWASP Juice Shop і Скажено вразливе веб-додаток (DVWA). Ці програми забезпечують безпечну і законної середовище для практичного тестування контролю доступу і можуть допомогти вам навчитися виявляти і використовувати слабкі місця контролю доступу.

Програми винагороди за помилки – Багато компаній пропонують програми винагороди за помилки, які винагороджують дослідників безпеки за виявлення вразливостей безпеки і повідомлення про них, включаючи слабкі місця в управлінні доступом. Участь у цих програмах може надати можливість попрактикуватися у тестуванні контролю доступу в реальних додатках, одержуючи при цьому винагороду за свої зусилля.

Онлайн-курси та навчальні посібники – Доступно кілька онлайн-курсів, посібників, присвячених тестування контролю доступу, наприклад, пропонованих OWASP і SANS Institute. Ці курси можуть допомогти вам розвинути свої навички виявлення вразливостей в системі контролю доступу та їх використання.

Лабораторії тестування на проникнення – Деякі компанії пропонують лабораторії тестування на проникнення, які забезпечують безпечну і законної середовище для проведення тестування контролю доступу. Ці лабораторії зазвичай імітують реальні сценарії і можуть допомогти вам розвинути свої навички у виявленні і використанні слабких місць у системі контролю доступу.

Для вивчення недоліків контролю доступу

OWASP – Проект Open Web Application Security Project (OWASP) - це некомерційна організація, яка надає ресурси і рекомендації для підвищення безпеки веб-додатків. Їх веб-сайт пропонує безліч ресурсів, пов'язаних з контролем доступу, в тому числі OWASP Top 10, в якому перераховані 10 найбільш критичних ризиків безпеки веб-додатків, і шпаргалка по контролю доступу, в якій містяться рекомендації щодо правильного впровадження контролю доступу.

Інститут САНС – Інститут SANS - це організація з навчання та сертифікації, яка пропонує курси і ресурси, пов'язані з кібербезпеки. Їх веб-сайт пропонує безліч ресурсів, пов'язаних з контролем доступу, в тому числі SANS Top 25, в якому перераховані 25 найбільш небезпечних програмних помилок, і курс "Основи контролю доступу", який являє собою введення в контроль доступу.

NIST – Національний інститут стандартів і технологій (NIST) є урядовим установою, яка надає рекомендації та ресурси, пов'язані з кібербезпеки. Їх веб-сайт пропонує безліч ресурсів, пов'язаних з контролем доступу, включаючи NIST Cybersecurity Framework, яка забезпечує основу для поліпшення кібербезпеки організацій.

Книги – Доступно кілька книг, присвячених контролю доступу та безпеки, таких як "The Web Application hacker's Handbook" Девіда Штуттарда і Маркуса Пінто і "Security Engineering: керівництво по створенню надійних розподілених систем" Росса Андерсона.

Онлайн-курси – Доступно кілька онлайн-курсів, присвячених контролю доступу, таких як пропоновані Udemy і Coursera.

Книги з оглядом слабких місць контролю доступу

Керівництво хакера веб-додатків: пошук і використання недоліків безпеки автор: Дафидд Штуттард і Маркус Пінто – Ця книга являє собою докладне керівництво по виявленню і використанню вразливостей в системі безпеки веб-додатків, включаючи слабкі місця в управлінні доступом.

Викритий злом: Веб-додатки автор: Джоел Скамбрей, Майк Шема і Калеб Сіма – Ця книга являє собою всеосяжне керівництво з безпеки веб-додатків, включаючи слабкі місця в управлінні доступом.

Кулінарна книга з тестування веб-безпеки: систематичні методи швидкого пошуку проблем Пако Хоуп і Бен Вальтер – У цій книзі представлена колекція рецептів тестування веб-додатків, включаючи методи виявлення і використання слабких місць контролю доступу.

Black Hat Python: Програмування на Python для хакерів і пентестеров автор: Джастін Зейтц – Ця книга являє собою керівництво по використанню Python для тестування безпеки і включає приклади того, як виявляти і використовувати слабкі місця в управлінні доступом.

Злом сірої капелюхи: керівництво етичного хакера автори: Аллен Харпер, Деніел Регаладо та ін. – Ця книга містить огляд етичного злому і включає розділи про безпеку веб-додатків і слабкі сторони контролю доступу.

Основи веб-злому: інструменти і методи для атаки в Інтернеті автор: Джош Паулі – Ця книга являє собою введення в веб-хакерство і включає розділи, присвячені виявленню і використанню слабких місць контролю доступу.

Захист веб-додатків: Остаточне керівництво для розробників JavaScript автор Маріо Кашьяро – Ця книга являє собою керівництво щодо забезпечення безпеки веб-додатків, включаючи методи усунення недоліків в управлінні доступом.

Інженерія безпеки: керівництво по створенню надійних розподілених систем Росс Андерсон – Ця книга містить огляд розробки систем безпеки і включає розділи, присвячені контролю доступу та авторизації.

Керівництво по шеллкодеру: виявлення і використання дірок в безпеці автори: Кріс Энли, Джон Хизман та ін. – Ця книга містить керівництво з використання вразливостей в системі безпеки, включаючи слабкі місця в системі контролю доступу.

Кібербезпека для керівників: Практичне керівництво Грегорі Дж. Таухилл і К. Джозеф Таухилл – Ця книга являє собою практичне керівництво з кібербезпеки для керівників і включає розділи, присвячені контролю доступу та авторизації.

Список слабких місць контролю доступу до корисної навантаженні

  • Доступ до неавторизованим сторінок або каталогах шляхом маніпулювання URL-адресами або параметрами

  • Зміна файлів cookie для обходу аутентифікації або доступу до обмежених зонах

  • Примусовий доступ до адміністративних або привілейованими функцій шляхом зміни параметрів або змінних HTTP-запиту

  • Використання паролів або слабких паролів для доступу до систем або облікових записів

  • Примусове використання паролів або вгадування облікових даних з допомогою тактики соціальної інженерії

  • Використання умов гонки або тимчасових вразливостей для доступу до обмеженої функціональності

  • Використання SQL-ін'єкції для отримання несанкціонованого доступу до баз даних або даних

  • Підробка токенів аутентифікації або ідентифікаторів сеансу для обходу контролю доступу

  • Перехоплення або маніпулювання мережевим трафіком з метою отримання несанкціонованого доступу

  • Використання недоліків бізнес-логіки для отримання несанкціонованого доступу чи привілеїв.

Як бути захищеним від слабких місць у системі контролю доступу

  1. Впроваджуйте суворі політики аутентифікації і паролів, включаючи використання багатофакторної аутентифікації там, де це можливо.

  2. Переконайтеся, що всі облікові записи користувачів мають відповідні рівні доступу та дозволи, і регулярно переглядайте і оновлюйте ці дозволи по мірі необхідності.

  3. Використовуйте шифрування для захисту конфіденційних даних, як під час передачі, так і в стані спокою.

  4. Регулярно переглядайте журнали і дії, щоб виявляти будь-які спроби несанкціонованого доступу або підозрілі дії та реагувати на них.

  5. Вбудуйте засоби контролю доступу на кожному рівні вашої інфраструктури, включаючи веб-програми, операційні системи і мережну інфраструктуру.

  6. Регулярно перевіряйте свої засоби контролю доступу, використовуючи оцінки вразливостей і тестування на проникнення, щоб виявити будь-які слабкі місця і усунути їх, перш ніж вони зможуть бути використані зловмисниками.

  7. Інформуйте співробітників і користувачів про важливість надійних паролів, запобігання фішингових атак і інших передових методах забезпечення безпеки.

  8. Вбудуйте управління доступом (RBAC), щоб гарантувати, що користувачі мають доступ тільки до ресурсів і даних, необхідних для їх виконання.

  9. Вбудуйте контроль доступу з найменшими привілеями, щоб гарантувати, що користувачі мають тільки мінімальний доступ, необхідний для їх виконання робочих функцій.

  10. Регулярно застосовуйте оновлення програмного забезпечення та виправлення до всіх систем і додатків для усунення відомих вразливостей в системі безпеки.

Заходи щодо усунення недоліків в управлінні доступом

  1. Вбудуйте надійні механізми аутентификації, такі як багатофакторна аутентифікація, щоб гарантувати, що тільки авторизовані користувачі можуть отримати доступ до системи або програми.

  2. Використовуйте RBAC (управління доступом на основі ролей), щоб призначати користувачам певні ролі і контролювати дії, які вони можуть виконувати.

  3. Вбудуйте контроль доступу з найменшими привілеями, щоб гарантувати, що користувачі мають доступ тільки до мінімальної кількості ресурсів, необхідних для їх виконання робочих функцій.

  4. Вбудуйте засоби контролю доступу на кожному рівні вашої інфраструктури, включаючи веб-програми, операційні системи і мережну інфраструктуру.

  5. Регулярно переглядайте журнали і дії, щоб виявляти будь-які спроби несанкціонованого доступу або підозрілі дії та реагувати на них.

  6. Вбудуйте шифрування для захисту конфіденційних даних, як під час передачі, так і в стані спокою.

  7. Регулярно перевіряйте свої засоби контролю доступу, використовуючи оцінки вразливостей і тестування на проникнення, щоб виявити будь-які слабкі місця і усунути їх, перш ніж вони зможуть бути використані зловмисниками.

  8. Вбудуйте політику надійних паролів і забезпечте дотримання вимог до терміну дії пароля і його складності.

  9. Регулярно застосовуйте оновлення програмного забезпечення та виправлення до всіх систем і додатків для усунення відомих вразливостей в системі безпеки.

  10. Інформуйте співробітників і користувачів про важливість надійних паролів, запобігання фішингових атак і інших передових методах забезпечення безпеки.

Висновок

Слабкі місця контролю доступу може представляти серйозну загрозу безпеці систем і даних організації. Зловмисники, які використовують ці слабкі місця, можуть отримати несанкціонований доступ до конфіденційних даних, змінити або видалити важливу інформацію і навіть отримати контроль над цілими системами.

Щоб запобігти слабкі місця в управлінні доступом, важливо впровадити надійні засоби контролю доступу на кожному рівні вашої інфраструктури, включаючи веб-програми, операційні системи і мережну інфраструктуру. Це включає впровадження RBAC і контролю доступу з найменшими привілеями, використання надійних механізмів аутентифікації і регулярне тестування ваших засобів контролю доступу з використанням оцінок вразливостей і тестування на проникнення.

Крім того, організації повинні регулярно відслідковувати журнали і дії, щоб виявляти будь-які спроби несанкціонованого доступу або підозрілі дії та реагувати на них, а також впроваджувати шифрування для захисту конфіденційних даних. Слідуючи цим рекомендаціям, організації можуть знизити ризик слабких місць у системі контролю доступу та допомогти захистити свої системи і дані від несанкціонованого доступу.

Інші Послуги

Готові до безпеки?

зв'язатися з нами