07 Бер, 2023

Нездатність обмежити веб-ресурси

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Нездатність обмежити веб-ресурси відноситься до уразливості в системі безпеки, при якій веб-додатком не вдається належним чином забезпечити контроль доступу, дозволяючи неавторизованим користувачам отримувати доступ до ресурсів, які повинні бути обмежені. Це може відбутися з ряду причин, таких як неправильна конфігурація елементів керування доступом, некоректні механізми автентифікації або недостатня перевірка вхідних даних. Недотримання обмежень на веб-ресурси може призвести до витоку конфіденційної інформації, маніпулювання даними та несанкціонованим діям у додатку, потенційно завдаючи значної шкоди користувачам і організації, запускає додаток.

Приклад уразливого коду на різних мовах програмування:


в Python:

				
					def view_orders(request):
    if not request.user.is_authenticated:
        return redirect('login')
    
    orders = Order.objects.all()
    return render(request, 'orders.html', {'orders': orders})

				
			

 

У цьому прикладі view_orders функція призначена для того, щоб дозволяти переглядати сторінку замовлень тільки аутентифікованим користувачам. Однак перевірка справжності не виконується належним чином, оскільки зловмисник може просто створити запит з підробленим токеном аутентифікації, щоб обійти перевірку і отримати доступ до сторінки замовлень. Щоб усунути цю уразливість, функція повинна використовувати більше надійний механізм аутентифікації, такий як вбудована платформа аутентифікації Django.

• В Java:

				
					public class OrderController {
    @GetMapping("/orders")
    public ResponseEntity<List<Order>> getOrders() {
        List<Order> orders = orderService.getAllOrders();
        return new ResponseEntity<>(orders, HttpStatus.OK);
    }
}

				
			

 

У цьому прикладі getOrders метод OrderController клас дозволяє будь-якому користувачеві отримувати всі замовлення без будь-яких перевірок достовірності або авторизації. Зловмисник може просто створити запит на доступ до /orders кінцева точка і отримання конфіденційної інформації про всіх замовленнях. Щоб усунути цю уразливість, метод повинен застосовувати відповідні засоби контролю доступу, такі як вимога аутентифікації і дозвіл доступу до кінцевої точки замовлень тільки авторизованим користувачам.

• В PHP:

				
					if (!isset($_SESSION['user'])) {
    header('Location: login.php');
    exit;
}

$orders = $db->query('SELECT * FROM orders');

				
			


У цьому прикладі PHP-код перевіряє наявність допустимого сеансу, щоб переконатися, що користувач не аутентифікований, перш ніж запитувати замовлення в базі даних. Однак перевірки на наявність дійсного сеансу недостатньо, так як зловмисник може просто створити підроблений файл cookie сеансу, щоб обійти перевірку і отримати доступ до сторінки замовлень. Щоб усунути цю уразливість, код повинен використовувати більше надійний механізм аутентифікації, такий як вбудоване управління сеансами PHP або стороння бібліотека аутентифікації. Крім того, код повинен застосовувати відповідні перевірки авторизації, щоб гарантувати, що користувачі можуть отримувати доступ лише до замовлень, на перегляд яких їм дозволено.

Приклади використання Відмови від обмеження веб-ресурсів

Розкриття інформації:

Зловмисник може використовувати уразливість "Збій в обмеженні веб-ресурсів" для доступу до конфіденційної інформації, яка повинна бути доступна тільки авторизованим користувачам. Наприклад, якщо веб-додаток дозволяє користувачам, які не пройшли перевірку, отримати доступ до конфіденційних даних клієнтів, таких як імена, адреси та дані кредитної картки, зловмисник може скористатися уразливістю, щоб вкрасти цю інформацію і використовувати її в шахрайських цілях.

Несанкціонований доступ:

Зловмисник може використовувати уразливість "Збій в обмеженні веб-ресурсів" для отримання несанкціонованого доступу до частин веб-додатки, які повинні бути доступні тільки авторизованим користувачам. Наприклад, якщо веб-додаток дозволяє користувачам, які не пройшли перевірку, отримати доступ до панелі адміністратора, зловмисник може скористатися уразливістю, щоб отримати повний контроль над веб-додатком і виконати шкідливі дії, такі як зміна даних, завантаження шкідливого ПЗ або крадіжка облікових даних користувача.

Підвищення привілеїв:

Зловмисник може скористатися уразливістю "Збій в обмеженні веб-ресурсів" для підвищення своїх привілеїв у веб-додатку. Наприклад, якщо веб-додаток дозволяє непривілейованим користувачам отримувати доступ до певних сторінок, до яких вони не повинні мати доступу, зловмисник може скористатися уразливістю, щоб отримати доступ до адміністративних сторінок і виконати дії, на виконання яких вони не уповноважені.

Відмова в обслуговуванні:

Зловмисник може скористатися уразливістю "Збій в обмеженні веб-ресурсів" для запуску атаки типу "відмова в обслуговуванні" проти веб-додатки. Наприклад, якщо веб-додаток дозволяє користувачам, які не пройшли перевірку автентичності, виконувати ресурсномісткі дії, зловмисник може скористатися уразливістю, щоб перевантажити веб-сервер і призвести до збою або відмови відповідати на запити.

Методи підвищення привілеїв при неможливості обмежити веб-ресурси

Перехоплення сеансу:

Зловмисник може перехопити активний сеанс користувача, викравши ідентифікатор сеансу користувача або токен аутентифікації. Це може дозволити зловмиснику видавати себе за користувача та виконувати дії, на виконання яких він уповноважений, такі як доступ до конфіденційної інформації або виконання транзакцій.

Зміна параметрів:

Зловмисник може змінювати параметри запитів, надісланих веб-додатком, щоб обійти контроль доступу і отримати доступ до ресурсів або виконати дії, на виконання яких він не уповноважений. Наприклад, зловмисник може змінити параметр URL для доступу до сторінки з обмеженим доступом або змінити параметри відправленої формі, щоб змінити ціну товару.

Обхід каталогу:

Зловмисник може використовувати методи обходу каталогів, щоб обійти засоби контролю доступу і отримати доступ до файлів або каталогів, доступ до яких їм не дозволено. Це може бути зроблено шляхом введення спеціальних символів або послідовностей шляхи до файлів для переміщення вгору або вниз по структурі каталогів.

Порушена авторизація на рівні об'єкта:

Якщо веб-додаток неправильно застосовує авторизацію на рівні об'єкта, зловмисник може змінити ідентифікатор об'єкта або інші параметри в запиті на доступ до об'єктів, доступ до яких у нього не дозволений. Наприклад, зловмисник може змінити параметр ID в запиті на доступ до облікового запису або даними іншого користувача.

Підвищення привілеїв з допомогою ін'єкційних атак:

Зловмисник може використовувати ін'єкційні атаки, такі як SQL-ін'єкція або командна ін'єкція, для маніпулювання веб-додатком і отримання підвищених привілеїв. Це може дозволити зловмиснику виконати довільний код, змінити базу даних або виконати інші дії, на виконання яких він не уповноважений.

Загальна методологія та контрольний список за нездатність обмежити веб-ресурси

Методологія:

  1. Збір інформації: Зберіть інформацію про веб-додатку, таку як URL-адреса, що використовується технологічний стек і функціональність.

  2. Визначте обмежені ресурси: Визначте, які ресурси повинні бути обмежені і вимагати автентифікації, такі як сторінки, каталоги або дані.

  3. Перевірка на несанкціонований доступ: Спробуйте отримати доступ до обмежених ресурсів без автентифікації, використовуючи такі методи, як зміна URL-адреси, використання різних методів HTTP або маніпулювання файлами cookie.

  4. Перевірка на наявність аутентифицированного доступу: Спробуйте отримати доступ до обмежених ресурсів з різними рівнями авторизації, такими як гість, користувач та адміністратор.

  5. Тест на підвищення привілеїв: Перевірте методи підвищення привілеїв, такі як перехоплення сеансу, зміна параметрів, обхід каталогу і ін'єкційні атаки.

  6. Тест на обхід контролю доступу: Перевірте методи обходу контролю доступу, такі як примусовий вихід із системи, примусова аутентифікація або зміна правил контролю доступу.

  7. Звіт та документування результатів: Документуйте всі виявлені вразливості, включаючи кроки по їх відтворенню і потенційний вплив уразливості. Повідомте про уразливість відповідним сторонам, таким як власник веб-додатки або група безпеки.

Контрольний список:

  1. Переконайтеся, що для доступу до обмежених ресурсів потрібна аутентифікація.

  2. Перевірка на наявність несанкціонованого доступу до обмежених ресурсів.

  3. Перевірте наявність аутентифицированного доступу до обмежених ресурсів з різними рівнями авторизації (гість, користувач, адміністратор і т. д.).

  4. Перевірте методи підвищення привілеїв, такі як перехоплення сеансу, зміна параметрів, обхід каталогу і ін'єкційні атаки.

  5. Перевірте методи обходу контролю доступу, такі як примусовий вихід із системи, примусова аутентифікація або зміна правил контролю доступу.

  6. Тест на горизонтальне підвищення привілеїв, коли користувач отримує доступ до ресурсів, що належать користувачу з тим же рівнем привілеїв.

  7. Тест на вертикальне підвищення привілеїв, коли користувач отримує доступ до ресурсів, що належать користувачу з більш високим рівнем привілеїв.

  8. Перевірте підвищення привілеїв з допомогою непрямої посилання на об'єкт, коли користувач може отримати доступ до ресурсів, маніпулюючи параметром ідентифікатором.

  9. Перевірте на підвищення привілеїв з допомогою недоліків бізнес-логіки, коли користувач може отримати доступ до ресурсів або виконувати дії, використовуючи недоліки в логіці програми.

  10. Документуйте всі висновки, включаючи кроки по відтворенню вразливостей і потенційний вплив кожної уразливості.

  11. Повідомляйте про всі уразливості відповідним сторонам, таким як власник веб-додатки або група безпеки.

Набір інструментів для експлуатації Нездатність обмежити веб-ресурси

Ручні Інструменти:

  • Burp Suite: Популярний проксі-сервер для перехоплення, який дозволяє користувачам перевіряти і змінювати веб-трафік і може використовуватися для ручного тестування проблем з контролем доступу.

  • ZAP (проксі-сервер атаки Zed): Сканер безпеки веб-додатків з відкритим вихідним кодом, який можна використовувати для ручного тестування проблем з контролем доступу, серед інших вразливостей.

  • Postman: Інструмент для ручного тестування веб-служб RESTful, включаючи тестування контролю доступу.

  • Sqlmap: Інструмент для виявлення і використання вразливостей SQL-ін'єкцій, який може бути використаний для підвищення привілеїв і обходу контролю доступу.

  • OWASP Mantra: Інструментарій безпеки, який включає в себе безліч інструментів для ручного тестування веб-додатків, включаючи тестування контролю доступу.

  • Nikto: Сканер веб-сервера, який можна використовувати для ручного тестування проблем з контролем доступу, серед інших вразливостей.

  • DirBuster: Інструмент для перебору каталогів і файлів на веб-сервері, який можна використовувати для ручного тестування проблем з контролем доступу.

  • SQLiPY: Інструмент на основі Python для ручного тестування SQL-ін'єкцій, який можна використовувати для підвищення привілеїв і обходу контролю доступу.

Автоматизовані інструменти:

  • Nessus: Сканер вразливостей, який може використовуватися для автоматичного виявлення і використання проблем з контролем доступу, серед інших вразливостей.

  • Acunetix: Сканер вразливостей веб-додатків, який може використовуватися для автоматичного виявлення і використання проблем з контролем доступу, серед інших вразливостей.

  • OpenVAS: Сканер мережевих вразливостей, який може використовуватися для автоматичного виявлення і використання проблем з контролем доступу, серед інших вразливостей.

  • Netsparker: Сканер безпеки веб-додатків, який може використовуватися для автоматичного виявлення і використання проблем з контролем доступу, серед інших вразливостей.

  • Qualys: Хмарний сканер вразливостей, який може використовуватися для автоматичного виявлення і використання проблем з контролем доступу, серед інших вразливостей.

  • AppScan: Сканер безпеки веб-додатків, який може використовуватися для автоматичного виявлення і використання проблем з контролем доступу, серед інших вразливостей.

  • Skipfish: Сканер безпеки веб-додатків, який може використовуватися для автоматичного виявлення і використання проблем з контролем доступу, серед інших вразливостей.

  • Wapiti: Сканер безпеки веб-додатків, який може використовуватися для автоматичного виявлення і використання проблем з контролем доступу, серед інших вразливостей.

  • Grendel-Scan: Сканер безпеки веб-додатків, який може використовуватися для автоматичного виявлення і використання проблем з контролем доступу, серед інших вразливостей.

Плагіни для браузера:

  • Wappalyzer: Плагін для браузера, який можна використовувати для ідентифікації технологій, використовуваних веб-додатком, що може допомогти виявити потенційні проблеми з контролем доступу.

  • Tamper Data: Плагін для браузера, який дозволяє користувачам змінювати HTTP-запити і відповіді, які можуть бути використані для ручного тестування проблем з контролем доступу.

  • Cookie Manager+: Плагін для браузера, який дозволяє переглядати та змінювати файли cookie, використовувані веб-додатком, які можуть бути використані для ручного тестування проблем з контролем доступу.

Середній бал CVSS Збій стека для обмеження веб-ресурсів

Оцінка уразливості за CVSS (Common Vulnerability Scoring System) залежить від різних факторів, таких як вплив уразливості, можливість використання уразливості і масштаб уразливості. Таким чином, важко отримати середній бал CVSS за відмову стека обмежити веб-ресурси, оскільки він охоплює широкий спектр проблем з контролем доступу, які можуть відрізнятися за ступенем серйозності.

Проте в цілому проблеми з контролем доступу, такі як нездатність обмежити веб-ресурси, вважаються уразливими високого ступеня серйозності, оскільки вони можуть дозволити зловмиснику обійти механізми автентифікації або авторизації і отримати доступ до конфіденційних даних або виконати несанкціоновані дії. Залежно від конкретного характеру уразливості оцінка CVSS може варіюватися від середньої до критичної (наприклад, від 4,0 до 10,0) за шкалою CVSS.

Важливо відзначити, що оцінка CVSS є лише одним з факторів при визначенні серйозності уразливості, і організаціям також слід враховувати вплив та вірогідність використання при визначенні пріоритетів своїх зусиль по забезпеченню безпеки.

Загальна перерахування слабких місць (CWE)

• CWE-285: Неправильна авторизація: ця слабкість описує нездатність належним чином реалізувати засоби контролю доступу, включаючи аутентифікацію, авторизацію і управління сеансами.

• CWE-732: Неправильне призначення дозволів для критичного ресурсу: ця слабкість описує

• CWE-434: Необмежена завантаження файлу з небезпечним типом: ця слабкість описує нездатність належним чином перевірити дані, що вводяться користувачем при завантаженні файлів у веб-додаток, що може призвести до завантаження шкідливих файлів.

• CWE-862: Відсутній авторизація: ця вразливість описує нездатність належним чином авторизувати доступ до ресурсу або функціональності, що може призвести до несанкціонованого доступу або підвищення привілеїв.

• CWE-759: Використання однобічної хеш-без солі: ця слабкість описує використання однобічної хеш-функції без солі, що може привести до виявлення вихідного пароля зловмисником.

• CWE-639: Обхід авторизації за допомогою керованого користувачем ключа: ця слабкість описує нездатність належним чином перевірити дані, що вводяться користувачем при використанні керованого користувачем ключа для авторизації, що може призвести до обходу авторизації.

• CWE-710: Неправильне дотримання стандартів кодування: цей недолік описує недотримання стандартів безпечного кодування, включаючи рекомендації по контролю доступу.

• CWE-807: Залежність від ненадійних вхідних даних при прийнятті рішення про безпеки: ця слабкість описує залежність від ненадійних вхідних даних, таких як користувальницький введення або змінні середовища, при прийнятті рішень про безпеку.

• CWE-285: Неправильна авторизація: ця слабкість описує нездатність належним чином реалізувати засоби контролю доступу, включаючи аутентифікацію, авторизацію і управління сеансами.

• CWE-426: Ненадійний шлях пошуку: ця слабкість описує використання ненадійного шляху пошуку при доступі до файлів або ресурсів, що може призвести до несанкціонованого доступу або підвищення привілеїв.

CVE, пов'язані з нездатністю обмежити веб-ресурси

• CVE-2017-16787 – Утиліта веб-установки пристроях Meinberg LANTIME з прошивкою до версії 6.24.004 дозволяє віддаленим зловмисникам читати довільні файли, використовуючи збій для обмеження доступу URL.

• CVE-2016-1638 – extensions/renderer/resources/platform_app.js у підсистемі розширень Google Chrome до 49.0.2623.75 не було належного обмеження використання веб-API, що дозволяє віддаленим зловмисникам обходити передбачувані обмеження доступу через створене додаток платформи.

• CVE-2014-0053 – Конфігурація плагіна ресурсів 1.0.0 до 1.2.6 для Pivotal Grails 2.0.0 до 2.3.6 не обмежує належним чином доступ до файлів в каталозі WEB-INF, що дозволяє віддаленим зловмисникам отримувати конфіденційну інформацію з допомогою прямого запиту. ПРИМІТКА: цей ідентифікатор був РОЗДІЛЕНИЙ з-за різних дослідників та різних типів вразливостей. Дивіться CVE-2014-2857 для варіанту META-INF і CVE-2014-2858 для обходу каталогу.

• CVE-2012-5478 – AuthorizationInterceptor в JBoss Enterprise Application Platform (EAP) до версії 5.2.0, веб-платформі (EWP) до версії 5.2.0, платформі BRMS до версії 5.3.1 і платформі SOA до версії 5.3.1 неправильно обмежує доступ, що дозволяє віддаленим аутентифікованим користувачам обходити встановлені обмеження ролей і виконувати довільні операції JMX з допомогою невказаних векторів.

• CVE-2012-3557 – Opera до версії 11.65 не обмежувала належним чином читання рядків JSON, що дозволяло віддаленим зловмисникам виконувати междоменную завантаження ресурсів JSON і, отже, отримувати конфіденційну інформацію через створений веб-сайт.

• CVE-2012-2680 – Cmin до версії 0.1.5444, використовувана в Red Hat Enterprise Messaging, Realtime і Grid (MRG) 2.0, належним чином не обмежує доступ до ресурсів, що дозволяє віддаленим зловмисникам отримувати конфіденційну інформацію з допомогою невказаних векторів, пов'язаних з (1) веб-сторінками, (2) "функціями експорту" і (3) "переглядом зображень".

• CVE-2009-2631 – Кілька продуктів SSL VPN без клієнта, які працюють у веб-браузерах, включаючи Stonesoft StoneGate; Cisco ASA; VPN SonicWall E-Class SSL VPN і SonicWall SSL VPN; Шлюз доступу SafeNet SecureWire; Juniper Networks Secure Access; Nortel CallPilot; Citrix Access Gateway; та інші продукти, які працюють в конфігураціях, які не обмежують доступ до того ж домену, що і VPN, витягують вміст видалених URL-адрес з одного домену і переписують їх таким чином, щоб вони виходили з домену VPN, що порушує ту ж політику походження і дозволяє віддаленим зловмисникам проводити атаки з використанням міжсайтових сценаріїв, зчитувати файли cookie, отримані з інших доменів, отримувати доступ до сеансу веб-VPN для отримання доступу до внутрішніх ресурсів, виконувати протоколювання ключів і проводити інші атаки. ПРИМІТКА: можна стверджувати, що це фундаментальна проблема проектування в будь-якому рішенні VPN без клієнта, на відміну від часто зустрічається помилки, яка може бути виправлена в окремих реалізаціях. Тому для всіх продуктів, що мають такий дизайн, був привласнений єдиний CVE.

• CVE-2002-2170 – Working Resources Inc. BadBlue Enterprise версії 1.7 1.74 намагається обмежити дії адміністратора IP-адресою локального хоста, але не надає додаткову аутентификацию, що дозволяє віддаленим зловмисникам виконувати довільний код через веб-сторінку, що містить HTTP POST-запит, який звертається до сторінки dir.hts на локальному хості і додає весь жорсткий диск для спільного використання.

Нездатність обмежити веб-ресурси подвиги

  • Небезпечні прямі посилання на об'єкти (IDOR): Це поширена уразливість, яка виникає, коли веб-додаток не може належним чином перевірити дані, що вводяться користувачем і дозволяє зловмиснику отримати доступ до конфіденційних даних або змінити їх шляхом прямого маніпулювання посиланнями на об'єкти.

  • Перетин шляху: Це вразливість, яка виникає, коли веб-додаток дозволяє зловмиснику отримати доступ до файлів за межами передбачуваного каталогу шляхом маніпулювання шляхами до файлів або послідовностями обходу каталогу.

  • Порушений контроль доступу: Це широка категорія вразливостей, які виникають, коли веб-додатком не вдається належним чином реалізувати засоби контролю доступу, включаючи аутентифікацію, авторизацію і управління сеансами.

  • Підробка міжсайтових запитів (CSRF): Це вразливість, яка виникає, коли веб-додаток дозволяє зловмиснику виконувати несанкціоновані дії від імені користувача-жертви, обманом змусити жертву перейти по шкідливої посиланням або відвідати шкідливий веб-сайт.

  • Недостатня Авторизація: Це вразливість, яка виникає, коли веб-додатком не вдається належним чином виконати перевірку авторизації, дозволяючи зловмиснику отримати несанкціонований доступ до ресурсів або виконати несанкціоновані дії.

  • Необмежена завантаження файлів: Це вразливість, яка виникає, коли веб-додаток дозволяє зловмисникові завантажувати довільні файли, що може призвести до виконання шкідливого коду або розкриття конфіденційної інформації.

  • Недоліки бізнес-логіки: Це вразливість, яка виникає, коли веб-додатком не вдається належним чином реалізувати бізнес-логіку, що призводить до таких вразливостей, як обхід авторизації, підвищення привілеїв чи маніпулювання даними.

  • Session Hijacking: Це вразливість, яка виникає, коли зловмисник може вкрасти ідентифікатор сеансу користувача або маніпулювати їм, що дозволяє йому видавати себе за користувача і отримувати несанкціонований доступ до ресурсів або виконувати несанкціоновані дії.

Практика в тестуванні на відсутність обмеження веб-ресурсів

Вивчіть основи: Зрозумійте, що таке Нездатність обмежити веб-ресурси, як це відбувається і які потенційні наслідки. Ознайомтеся з поширеними векторами атак і уразливими.

Виберіть методологію тестування: Виберіть методологію тестування, що відповідає вашим потребам і цілям. Наприклад, ви можете використовувати ручний підхід, автоматизований інструмент або комбінацію того і іншого.

Визначте тестові випадки: Розробіть список тестових прикладів, що охоплюють поширені вектори атак і уразливості, пов'язані з нездатністю обмежити веб-ресурси. Це може включати тестування на обхід шляху, IDOR, небезпечні засоби контролю доступу, CSRF та інші відповідні уразливості.

Виконайте тестування: Повторіть тестування, використовуючи тестові випадки, які ви визначили. Запишіть всі уразливості або проблеми, з якими ви стикаєтеся, включаючи серйозність і вплив.

Звіт про результати: Створіть звіт з детальним описом ваших висновків, включаючи виявлені вами уразливості, їх серйозність і будь-які рекомендації з усунення.

Усувати проблеми: Працюйте з відповідними зацікавленими сторонами над усуненням будь-яких виявлених вразливостей або проблем. Переконайтеся, що виправлення було ефективним, і при необхідності повторіть тестування.

Залишайтеся в курсі подій: Будьте в курсі нових вразливостей і векторів атак, пов'язаних з нездатністю обмежити веб-ресурси. Регулярно оцінюйте і тестуйте веб-додатки, щоб переконатися, що вони залишаються безпечними.

За нездатність дослідження обмежити веб-ресурси

ОВАСП: Проект Open Web Application Security Project (OWASP) - це некомерційна організація, що надає ресурси та інструменти для забезпечення безпеки веб-додатків. У них є вичерпне керівництво по 10 основних ризиків безпеки веб-додатків, включаючи нездатність обмежити веб-ресурси.

Керівництво хакера веб-додатків: Ця книга Девіда Штуттарда і Маркуса Пінто являє собою всеосяжне керівництво по пошуку і використанню вразливостей веб-додатків, включаючи нездатність обмежити веб-ресурси.

Академія веб-безпеки Portswigger's: PortSwigger - компанія, що створює популярний інструмент безпеки веб-додатків Burp Suite. Їх Академія веб-безпеки надає безкоштовні онлайн-тренінги з безпеки веб-додатків, включаючи відмову від обмеження веб-ресурсів.

Хакер101: Це безкоштовна навчальна онлайн-платформа, яка надається HackerOne, популярною платформою для збору коштів за помилки. Вони пропонують безліч навчальних модулів з безпеки веб-додатків, включаючи відмову від обмеження веб-ресурсів.

YouTube: Існує безліч каналів YouTube, які пропонують навчальні посібники та тренінги з безпеки веб-додатків. Деякі популярні канали включають LiveOverflow, InfosecIreland і OWASP.

Змагання "Захоплення прапора" (CTF): Участь у змаганнях CTF - відмінний спосіб попрактикуватися у своїх навичках в безпечній і контрольованому середовищі. Багато CTF включають в себе проблеми безпеки веб-додатків, які можуть допомогти вам краще зрозуміти, чому не вдається обмежити веб-ресурси.

Книги з оглядом відмови від обмеження веб-ресурсів

Безпека веб-додатків: Керівництво для початківців Брайан Салліван і Вінсент Лью – Ця книга охоплює основи безпеки веб-додатків, включаючи контроль доступу, і надає практичні рекомендації щодо забезпечення безпеки веб-додатків.

Керівництво по тестуванню OWASP by OWASP – Це керівництво надає всеохоплюючу платформу для тестування веб-додатків на наявність вразливостей в системі безпеки, включаючи контроль доступу.

Керівництво хакера веб-додатків: пошук і використання недоліків безпеки Дафидд Штуттард і Маркус Пінто – Ця книга охоплює широкий спектр питань безпеки веб-додатків, включаючи контроль доступу, і містить практичні рекомендації щодо оцінювання та використання вразливостей.

Професійне тестування на проникнення: Створення і функціонування офіційної хакерської лабораторії автор: Томас Вільгельм – У цій книзі розглядаються основи тестування на проникнення, включаючи тестування контролю доступу, і даються практичні рекомендації по налаштуванню і запуску лабораторії тестування на проникнення.

Основи веб-злому: інструменти і методи для атаки в Інтернеті автор: Джош Паулі – Ця книга охоплює основи веб-злому, включаючи тестування контролю доступу, і надає практичні рекомендації щодо оцінювання та використання вразливостей.

Пошук помилок в реальному світі: практичне керівництво по веб-хакінгу Пітер Яворські – У цій книзі наводяться реальні приклади веб-вразливостей, включаючи проблеми з контролем доступу, і даються практичні рекомендації по пошуку і використанню вразливостей.

Підручник хакера 3: Практичне керівництво з тестування на проникнення Пітер Кім – У цій книзі розглядаються практичні методи тестування на проникнення, включаючи тестування контролю доступу, і даються рекомендації по створенню та виконанню ефективних стратегій тестування на проникнення.

Кулінарна книга з тестування веб-безпеки Пако Хоуп і Бен Вальтер – У цій книзі представлені практичні рецепти тестування безпеки веб-додатків, включаючи контроль доступу, і даються рекомендації з побудови ефективних стратегій тестування.

Black Hat Python: Програмування на Python для хакерів і пентестеров автор: Джастін Зейтц – Ця книга охоплює основи програмування на Python для злому і тестування на проникнення, включаючи методи тестування контролю доступу.

Злом сірої капелюхи: керівництво етичного хакера Даніель Регаладо, Шон Харріс і Аллен Харпер – Ця книга являє собою всеосяжне керівництво по етичного злому, включаючи тестування контролю доступу, і містить практичні рекомендації щодо пошуку та використання уразливостей у веб-додатках.

Список корисних навантажень Збій при обмеженні веб-ресурсів

  • Корисне навантаження для обходу каталогу: ../, ../../, ../../../, і так далі.

  • Небезпечна корисне навантаження прямого посилання на об'єкт (IDOR): зміна параметра ID в URL-адресі для доступу до даним інших користувачів.

  • Корисне навантаження обходу аутентифікації: маніпулювання файлами cookie, зміна заголовків HTTP або використання облікових даних за замовчуванням.

  • Корисне навантаження для маніпулювання параметрами: зміна параметрів в URL-адресі або даних форми для обходу контролю доступу або виконання несанкціонованих дій.

  • Корисне навантаження SQL-ін'єкції: використання методів SQL-ін'єкції для вилучення, зміни або видалення даних.

  • Корисне навантаження підробки міжсайтових запитів (CSRF): створення шкідливої HTML-форми, яка надсилає запит на цільовий сайт, використовуючи існуючий сеанс аутентифікації користувача.

  • Корисне навантаження віддаленого включення файлів (RFI): включення видалених файлів шляхом маніпулювання користувальницьким введенням.

  • Корисне навантаження включення локального файлу (LFI): включаючи локальні файли шляхом маніпулювання користувальницьким введенням.

  • Корисне навантаження для обходу колії з нульовим байтом (): використання нульового байта для обходу перевірки вхідних даних і доступу до файлів за межами кореневого каталогу web.

  • Оплата грубої силиoad: спроба вгадати справжні імена користувачів, паролі або іншу конфіденційну інформацію.

Як бути захищеним від відмови обмежити веб-ресурси

  1. Вбудуйте належні засоби контролю доступу: Переконайтеся, що засоби контролю доступу реалізовані правильно, і обмежте доступ до ресурсів на основі дозволів користувача.

  2. Використовуйте правильну перевірку вхідних даних: Перевірте всі вхідні дані від користувачів і переконайтеся, що вони відповідають очікуваним критеріям. Це може допомогти запобігти ін'єкційні атаки та інші види експлуатації.

  3. Дезінфікувати вихідні дані: Переконайтеся, що вихідні дані очищені, щоб запобігти ін'єкційні атаки та інші види експлуатації.

  4. Впровадити безпечне керування сеансами: Вбудуйте належне управління сеансами, щоб забезпечити належну аутентифікацію користувачів і безпеку їх сеансів.

  5. Дотримуйтесь методам безпечного кодування: Використовуйте методи безпечного кодування при розробці веб-додатків, такі як відмова від жорстко закодованих паролів, використання підготовлених інструкцій для запобігання впровадження SQL і шифрування конфіденційних даних.

  6. Підтримуйте програмне забезпечення в актуальному стані: Оновлюйте все програмне забезпечення, яке використовується у веб-додатку, з допомогою останніх виправлень і оновлень безпеки.

  7. Conduct regular security assessments: Регулярно проводите оцінку безпеки веб-додатків для виявлення вразливостей і прийняття заходів щодо їх усунення.

  8. Використовуйте брандмауер веб-додатків (WAF): Використовуйте WAF для захисту від відомих вразливостей і блокування атак.

  9. Навчати користувачів: Навчайте користувачів методам безпечного перегляду веб-сторінок і заохочуйте їх використовувати надійні паролі і повідомляти про будь-які підозрілі дії.

Висновок

Нездатність обмежити веб-ресурси це поширена уразливість в системі безпеки веб-додатків, яка може призвести до несанкціонованого доступу та розкриття конфіденційної інформації. Це може статися, коли додаток неналежним чином обмежує доступ до своїх ресурсів, дозволяючи неавторизованим користувачам отримувати доступ до даних або виконувати дії, які вони не повинні мати можливості.

Щоб запобігти цей тип вразливості, важливо впровадити належні засоби контролю доступу, використовувати належну перевірку вхідних даних і очищення вихідних даних, запровадити безпечне керування сеансами, слідувати методам безпечного кодування, підтримувати програмне забезпечення в актуальному стані, проводити регулярні оцінки безпеки, використовувати брандмауер веб-додатків (WAF) і навчати користувачів методам безпечного перегляду веб-сторінок.

Заходи щодо усунення цієї уразливості в основному зосереджені на впровадження належних засобів контролю доступу і забезпечення перевірки вхідних даних і очищення вихідних даних. Слідуючи цим рекомендаціям, веб-додатки можуть бути краще захищені від нездатності обмежити уразливості веб-ресурсів та інших типів атак.

Інші Послуги

Готові до безпеки?

зв'язатися з нами