01 Бер, 2023

Недостатня авторизація

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Недостатня авторизація відноситься до ситуації, коли особа або організація не мають достатнього дозволу або повноважень для доступу до певного ресурсу або виконання певної дії в системі або додатку. Це може відбутися через відсутність належних механізмів автентифікації або авторизації, таких як відсутні або неадекватні засоби керування доступом, або з-за помилки в конфігурації таких засобів управління. Недостатня авторизація - це вразливість у системі безпеки, яка може призвести до несанкціонованого доступу, витоку даних і інших інцидентів безпеки, що може призвести до потенційного збитку, втрати даних або юридичної відповідальності.

Приклад уразливого коду на різних мовах програмування:


в Python:

				
					# Insufficient Authorization vulnerability in Python

def view_profile(user_id):
    if user_id == current_user.id:
        # show the user's profile
    else:
        raise Exception("You are not authorized to view this profile")

				
			


У цьому коді користувач намагається переглянути профіль, передаючи ідентифікатор користувача в якості параметра. Однак код тільки перевіряє, чи збігається ідентифікатор користувача з ідентифікатором поточного увійшов в систему користувача. Якщо ідентифікатор користувача не збігається, код викликає виключення, але він не надає ніяких інших перевірок авторизації, таких як перевірка ролі користувача або дозволів.

• В Java:

				
					// Insufficient Authorization vulnerability in Java

public void updateAccountBalance(int accountId, double amount) {
    Account account = accountRepository.findById(accountId);
    if (account.getOwner().getId() == currentUser.getId()) {
        account.setBalance(account.getBalance() + amount);
        accountRepository.save(account);
    } else {
        throw new SecurityException("Unauthorized access to account");
    }
}

				
			


У цьому коді користувач намагається відновити баланс облікового запису, ввівши ідентифікатор облікового запису і суму. Код перевіряє, чи збігається ідентифікатор власника облікового запису з ідентифікатором поточного увійшов в систему користувача. Якщо вони збігаються, код дозволяє продовжити оновлення, але не надає ніяких інших перевірок авторизації, таких як перевірка ролі користувача або дозволів.

• В PHP:

				
					// Insufficient Authorization vulnerability in PHP

function deleteFile($filename) {
    if (strpos($filename, "/tmp/") !== false) {
        if (file_exists($filename)) {
            unlink($filename);
        } else {
            throw new Exception("File does not exist");
        }
    } else {
        throw new Exception("You are not authorized to delete this file");
    }
}

				
			


У цьому коді користувач намагається видалити файл, передаючи ім'я файлу як параметр. Код перевіряє, чи містить ім'я файлу рядок "/tmp/". Якщо це станеться, код продовжить видалення, але він не надає ніяких інших перевірок авторизації, таких як перевірка ролі користувача або дозволів.

Приклади використання Недостатнього дозволу

Доступ до конфіденційних даних:

Припустимо, зловмисник отримує доступ до облікового запису користувача, використовуючи вразливість з недостатньою авторизацією. У цьому випадку вони потенційно можуть отримати доступ до конфіденційних даних, таких як особиста інформація, фінансові дані або конфіденційні ділові дані.

Зміна даних:

Зловмисник може змінювати дані в системі або додатку, використовуючи вразливість з недостатньою авторизацією, наприклад, змінюючи баланс облікового запису користувача, змінюючи критично важливі системні налаштування або змінюючи важливі бізнес-дані.

Підвищення привілеїв:

Зловмисник може підвищити свої привілеї в системі або додатку, скориставшись вразливістю з недостатньою авторизацією, наприклад, отримавши доступ адміністратора або обійшовши контроль доступу, щоб отримати доступ до обмежених областей системи.

Відмова в обслуговуванні:

Зловмисник може виконати атаку типу "відмова в обслуговуванні", використовуючи вразливість з недостатньою авторизацією, наприклад, завалюючи систему запитами, що перевищують дозволені ліміти користувача, що може призвести до того, що система перестане відповідати на запити або стане недоступною для інших користувачів.

Ін'єкційні атаки:

Зловмисник може впровадити шкідливий код у систему, використовуючи вразливість з недостатньою авторизацією, наприклад, відправивши запит оброблений або змінивши параметри таким чином, що система виконує код за межами дозволеної області, що призводить до витоку даних або компрометації системи.

Методи підвищення привілеїв при недостатній авторизації

Використання незахищених вразливостей:

Зловмисники можуть використовувати незахищені місця в системі або додатку, щоб отримати доступ до більш високих привілеїв. Наприклад, зловмисники можуть використовувати відомі уразливості в програмному забезпеченні чи операційної системи, щоб отримати доступ до системи на рівні адміністратора.

Злом пароля:

Зловмисники можуть спробувати зламати паролі привілейованих облікових записів, таких як облікові записи адміністратора, використовуючи грубу силу чи атаки по словнику. У разі успіху зловмисник може отримати доступ до привілейованої облікового запису і підвищити свої привілеї.

Використання неправильно налаштованих параметрів безпеки:

Зловмисники можуть використовувати неправильно налаштовані параметри безпеки в системі або додатку для обходу контролю доступу і отримання більш високих привілеїв. Наприклад, зловмисник може використовувати неправильно налаштовані права доступу до файлів для отримання доступу до конфіденційних файлів або каталогів.

Використання шкідливих програм:

Зловмисники можуть використовувати шкідливе ПО для отримання доступу до привілейованих облікових записів або виконання шкідливого коду в системі, що призводить до підвищення привілеїв. Наприклад, зловмисник може використовувати руткіт, щоб отримати доступ до привілеїв адміністратора рівень і отримати контроль над системою.

Social Engineering:

Зловмисники можуть використовувати методи соціальної інженерії, щоб обманом змусити користувачів з більш високими привілеями надати свої облікові дані для входу або іншу конфіденційну інформацію. Наприклад, зловмисник може використовувати фішингову атаку, щоб обманом змусити адміністратора надати свої облікові дані для входу, які потім зловмисник може використовувати для підвищення своїх привілеїв.

Загальна методологія та контрольний список за недостатню авторизацію

Методологія:

  1. Визначте активи і ресурси, які вимагають захисту: Визначте, які активи і ресурси вимагають захисту, такі як користувальницькі дані, конфіденційна інформація, конфігурації системи і критично важливі функції.

  2. Визначте ролі і привілеї: Визначте ролі і привілеї, необхідні для доступу і зміни активів та ресурсів, визначених на кроці 1. Це включає в себе визначення ролей користувачів, засобів контролю доступу і механізмів авторизації.

  3. Тест на контроль доступу: Переконайтеся, що засоби контролю доступу впроваджені належним чином і функціонують належним чином. Це включає в себе перевірку правильності вхідних даних, зміна параметрів і управління сеансами.

  4. Тест на підвищення привілеїв: Переконайтеся, що неможливо підвищити привілеї крім того, що дозволено для кожної ролі. Це включає в себе тестування на наявність відомих вразливостей, тестування на наявність неправильно налаштованих параметрів безпеки і тестування на атаки зі зломом паролів.

  5. Тест на горизонтальне підвищення привілеїв: Переконайтеся, що користувачі не можуть отримати доступ до ресурсів, доступ до яких їм не дозволено. Це включає в себе тестування на наявність вразливостей, які дозволяють користувачам обходити засоби контролю доступу, такі як недостатньо захищені API або засоби контролю доступу, які покладаються виключно на кошти управління на стороні клієнта.

  6. Тест на вертикальне підвищення привілеїв: Переконайтеся, що користувачі не можуть отримати доступ до ресурсів, що виходить за рамки їх дозволеного рівня. Це включає в себе тестування на наявність вразливостей, які дозволяють користувачам підвищувати свої привілеї, використовуючи уразливості системи або уразливість в компонентах сторонніх виробників.

  7. Документуйте і повідомляйте про результати: Документуйте результати і повідомляйте про них команді розробників. Надайте детальну інформацію про вразливості, її впливі і серйозності. Крім того, надайте рекомендації по усуненню наслідків і пом'якшення наслідків.

Контрольний список:

  1. Перегляньте механізми контролю доступу, включаючи аутентифікацію, авторизацію і управління сеансами, щоб переконатися, що вони правильно реалізовані і не можуть бути обійдені.

  2. Протестуйте перевірки авторизації, щоб переконатися, що користувачі можуть отримувати доступ до ресурсів і функцій, на використання яких їм дозволено. Переконайтеся, що неможливо обійти перевірки авторизації шляхом зміни вхідних даних чи використання вразливостей.

  3. Переконайтеся, що ролі і привілеї реалізовані належним чином і що користувачі не можуть підвищувати свої привілеї, використовуючи уразливості або неправильні налаштування.

  4. Перевірте горизонтальне підвищення привілеїв, спробувавши отримати доступ до ресурсів, які не авторизовані для поточного користувача або ролі.

  5. Перевірте вертикальне підвищення привілеїв, намагаючись підвищити привілеї, використовуючи уразливості або неправильні налаштування.

  6. Перевірте наявність вразливостей в компонентах сторонніх виробників, таких як фреймворки та бібліотеки, які можуть бути використані для обходу контролю доступу або підвищення привілеїв.

  7. Протестуйте функціональність виходу з системи, щоб переконатися, що сеанси належним чином визнані недійсними і користувачі не можуть отримати доступ до ресурсів або функцій після виходу з системи.

  8. Перевірте наявність вразливостей для перехоплення сеансів, які можуть дозволити зловмиснику захопити активний сеанс і отримати несанкціонований доступ до ресурсів і функцій.

  9. Переконайтеся, що повідомлення про помилки не містять конфіденційної інформації, яка може бути використана для обходу контролю доступу або підвищення привілеїв.

  10. Документуйте всі результати і повідомляйте про них команді розробників. Надайте детальну інформацію про вразливості, її впливі і серйозності. Крім того, надайте рекомендації по усуненню наслідків і пом'якшення наслідків.

Набір інструментів для використання Недостатньою авторизації

Ручні інструменти:

  • Burp Suite: Платформа тестування веб-додатків, яка включає в себе проксі-сервер для перехоплення, сканер веб-додатків і різні інструменти для використання вразливостей з недостатньою авторизацією.

  • OWASP ZAP: Сканер безпеки веб-додатків з відкритим вихідним кодом, який включає автоматичні сканери для виявлення вразливостей з недостатньою авторизацією.

  • Nmap: Інструмент дослідження мережі та аудиту безпеки, який можна використовувати для виявлення вразливостей з недостатньою авторизацією шляхом сканування мережевих служб.

  • SQLMap: Інструмент для використання вразливостей SQL-ін'єкцій, які можуть бути використані для обходу механізмів аутентифікації і авторизації.

  • Metasploit Framework: Інструмент тестування на проникнення, який включає в себе різні модулі для тестування на наявність вразливостей з недостатньою авторизацією.

  • Hydra: Інструмент для злому паролів, який можна використовувати для перевірки на наявність слабких паролів або паролів за замовчуванням, які можуть дозволити зловмиснику обійти механізми автентифікації або авторизації.

  • DirBuster: Засіб перерахування каталогів і файлів веб-додатків, яке можна використовувати для виявлення прихованих файлів і каталогів, які можуть використовуватися для обходу механізмів аутентифікації і авторизації.

  • WPScan: Сканер вразливостей для веб-сайтів WordPress, який можна використовувати для виявлення вразливостей з недостатньою авторизацією, таких як слабкі паролі або перерахування користувачів.

  • XSStrike: Сканер вразливостей міжсайтового скриптинга (XSS), який можна використовувати для виявлення вразливостей з недостатньою авторизацією, які можуть бути використані для обходу механізмів аутентифікації і авторизації.

Автоматизовані інструменти:

  • Acunetix: Сканер безпеки веб-додатків, який включає автоматичне сканування на наявність вразливостей недостатньою авторизації, таких як небезпечні політики паролів і управління сеансами.

  • Netsparker: Сканер безпеки веб-додатків, який включає автоматичне сканування на наявність вразливостей з недостатньою авторизацією, таких як фіксація сеансу і слабкі паролі.

  • AppSpider: Сканер безпеки веб-додатків, який включає автоматичне сканування на наявність вразливостей з недостатньою авторизацією, таких як небезпечні прямі посилання на об'єкти і підвищення привілеїв.

  • OpenVAS: Сканер вразливостей з відкритим вихідним кодом, який включає автоматичне сканування на наявність вразливостей з недостатньою авторизацією, таких як небезпечне керування сеансами і слабкі паролі.

  • Qualys: Хмарна платформа управління уразливими, яка включає автоматичне сканування на наявність вразливостей з недостатньою авторизацією, таких як фіксація сеансу і підвищення привілеїв.

  • Rapid7: Платформа для управління уразливими і тестування на проникнення, яка включає автоматичне сканування на наявність вразливостей з недостатньою авторизацією, таких як обхід аутентифікації і підвищення привілеїв.

  • Nessus: Сканер вразливостей, який включає автоматичне сканування на наявність вразливостей з недостатньою авторизацією, таких як небезпечне керування сеансами і слабкі паролі.

  • Nikto: Сканер вразливостей веб-сервера, який включає автоматичне сканування на наявність вразливостей з недостатньою авторизацією, таких як небезпечне управління сеансами та обхід каталогів.

  • Vega: Сканер вразливостей веб-додатків з відкритим вихідним кодом, який включає автоматичне сканування на наявність вразливостей з недостатньою авторизацією, таких як підвищення привілеїв і перехоплення сеансу.

Плагіни для браузера:

  • Tamper Data: Розширення Firefox, яке дозволяє користувачам перехоплювати і змінювати запити HTTP і HTTPS, які можуть бути використані для перевірки вразливостей недостатньою авторизації.

  • Edit This Cookie: Розширення Chrome, що дозволяє користувачам переглядати і редагувати файли cookie, які можуть бути використані для перевірки вразливостей недостатньою авторизації, заснованих на сеансових файли cookie.

Середній бал CVSS Недостатня авторизація стека

Оцінка CVSS (Common Vulnerability Score System) для вразливостей з недостатньою авторизацією може сильно варіюватися в залежності від конкретного контексту і серйозності уразливості. Однак, як правило, уразливості з недостатньою авторизацією вважаються уразливими високою або критичної серйозності, оскільки вони можуть призвести до несанкціонованого доступу до конфіденційних даних або функцій.

Середній бал CVSS для вразливостей з недостатньою авторизацією в стеку веб-додатків або систем оцінити складно, оскільки він залежить від багатьох факторів, таких як складність систем, кількість векторів атак, рівень контролю доступу, характер даних, що захищаються або функцій та багато інших.

Важливо відзначити, що навіть одна уразливість недостатньою авторизації з високим показником CVSS може представляти значний ризик для організації, оскільки вона може бути використана зловмисниками для отримання несанкціонованого доступу до конфіденційних даних або виконання шкідливих дій. Тому важливо провести ретельне тестування і усунення вразливостей недостатньою авторизації для забезпечення безпеки веб-додатків і систем.

Загальна перерахування слабких місць (CWE)

• CWE-284: неправильний контроль доступу – ця слабкість виникає, коли додаток неправильно обмежує доступ до конфіденційних ресурсів, таких як файли або дані.

• CWE-285: неправильна авторизація – ця слабкість виникає, коли додаток неправильно перевіряє дозволу, перш ніж дозволити доступ до ресурсу.

• CWE-287: неправильна аутентифікація – ця вразливість виникає, коли додаток належним чином не перевіряє особу користувача перед наданням доступу до ресурсів або функцій.

• CWE-639: Обхід авторизації за допомогою керованого користувачем ключа – ця вразливість виникає, коли додаток використовує контрольоване користувачем значення, таке як cookie або ідентифікатор сеансу, для авторизації доступу до ресурсів або функцій.

• CWE-862: відсутній авторизація – ця вразливість виникає, коли додаток не застосовує ніяких перевірок авторизації, дозволяючи будь-якому користувачеві отримати доступ до будь-якого ресурсу або функціональності.

• CWE-863: неправильна авторизація – ця вразливість виникає, коли додаток виконує перевірки авторизації, але перевірок недостатньо для запобігання несанкціонованого доступу.

• CWE-935: неправильна авторизація в службі – ця вразливість виникає, коли програма або служба не забезпечують належне виконання перевірок авторизації для запитів або повідомлень.

• CWE-942: надмірно дозвільна авторизація – ця слабкість виникає, коли додаток надає користувачам більше дозволів, ніж необхідно, створюючи непотрібний ризик несанкціонованого доступу.

• CWE-943: неправильна нейтралізація спеціальних елементів, використовуваних при прийнятті рішення про авторизації – ця слабкість виникає, коли додаток неправильно перевіряє вхідні дані, які використовуються при прийнятті рішень про авторизації, що дозволяє зловмисникам маніпулювати процесом прийняття рішень.

• CWE-1021: Неправильне обмеження надмірних спроб аутентифікації – ця вразливість виникає, коли додаток неправильно обмежує кількість спроб аутентифікації, дозволяючи зловмисникам виконувати атаки методом перебору для угадування паролів або інших облікових даних.

Топ-10 CVE, пов'язаних з недостатньою авторизацією

• CVE-2023-24029 – У Progress WS_FTP Server до версії 8.8 адміністратор хоста може підвищити свої привілеї через адміністративний інтерфейс з-за недостатнього контролю авторизації, застосовуваного до робочих процесів зміни користувачем.

• CVE-2022-39031 – Smart eVision має недостатню авторизацію для функції збору завдань. Несанкціонований віддалений зловмисник може використовувати цю уразливість для отримання ідентифікаторів сеансів тільки інших звичайних користувачів.

• CVE-2022-22326 – IBM Datapower Gateway з 10.0.2.0 за 10.0.4.0, з 10.0.1.0 за 10.0.1.5 і з 2018.4.1.0 за 2018.4.1.18 може допускати несанкціонований перегляд журналів і файлів із-за недостатньої перевірки авторизації. Ідентифікатор IBM X-Force: 218856.

• CVE-2022-20941 – Уразливість в веб-інтерфейсі управління програмним забезпеченням Cisco Firepower Management Center (FMC) може дозволити віддаленого зловмиснику, який не пройшов перевірку, отримати доступ до конфіденційної інформації. Ця вразливість, пов'язана з відсутністю авторизації для певних ресурсів у веб-інтерфейсі управління, а також недостатньою ентропією в іменах цих ресурсів. Зловмисник може скористатися цією уразливістю, відправивши серію HTTPS-запитів на вразливе пристрій для перерахування ресурсів на пристрої. Успішний експлойт може дозволити зловмиснику отримати конфіденційну інформацію з пристрою.

• CVE-2022-20747 – Уразливість в API історії програмного забезпечення Cisco SD-WAN vManage Software може дозволити віддаленого зловмиснику, який пройшов перевірку автентичності, отримати доступ до конфіденційної інформації в вразливою системі. Ця вразливість, пов'язана з недостатньою перевіркою авторизації API базової операційної системи. Зловмисник може скористатися цією уразливістю, відправивши запит оброблений API в Cisco vManage в якості користувача з більш низькими привілеями та отримавши доступ до конфіденційної інформації, доступ до якої зазвичай їм не дозволено.

• CVE-2021-46704 – У GenieACS 1.2.x до версії 1.2.8 інтерфейсу API користувацького інтерфейсу вразливий для неаутентифицированного введення команди ОС через аргумент ping host (lib/ui/api.ts і lib/ping.ts). Вразливість виникає із-за недостатньої перевірки вхідних даних у поєднанні з відсутньою перевіркою авторизації.

• CVE-2021-39341 – Плагін OptinMonster WordPress вразливий для розкриття конфіденційної інформації і несанкціонованого оновлення налаштувань із-за недостатньої перевірки авторизації за допомогою функції logged_in_or_has_api_key в ~/OMAPI/RestApi.php файл, який може використовуватися для використання шкідливих веб-скриптів на сайтах з встановленим плагіном. Це впливає на версії до 2.6.4 включно.

• CVE-2021-34766 – Уразливість в веб-інтерфейсі Cisco Smart Software Manager On-Prem (SSM On-Prem) може дозволити віддаленого зловмиснику, який пройшов перевірку автентичності, підвищити привілеї і створювати, читати, оновлювати або видаляти записи та настройки в декількох функціях. Ця вразливість, пов'язана з недостатньою авторизацією можливостей ролі Системного користувача та Системного оператора. Зловмисник може скористатися цією уразливістю, безпосередньо звернувшись до веб-ресурсу. Успішний експлойт може дозволити зловмиснику створювати, читати, оновлювати або видаляти записи та настройки в декількох функціях без необхідних дозволів у веб-інтерфейсі.

• CVE-2021-31535 – LookupCol.c X.Org Від X до X11R7.7 і libX11 до версії 1.7.1 можуть дозволити віддаленим зловмисникам виконувати довільний код. Запит libX11 XLookupColor (призначений для пошуку кольору на стороні сервера) містить помилку, що дозволяє клієнту відправляти запити на ім'я кольору з ім'ям, довжина якого перевищує максимальний розмір, дозволений протоколом (а також перевищує максимальний розмір пакету для пакетів звичайного розміру). Контрольовані користувачем дані, що перевищують максимальний розмір, потім інтерпретуються сервером як додаткові запити протоколу X і виконуються, наприклад, для повного відключення авторизації сервера X. Наприклад, якщо жертва стикається з шкідливими послідовностями управління терміналом для колірних кодів, зловмисник може отримати повний контроль над запущеним графічним сеансом.

• CVE-2021-31384 – З-за відсутності слабкою авторизації та недостатньої деталізації управління доступом в конкретній конфігурації пристрою в Juniper Networks Junos OS на SRX Series існує уразливість, при якій зловмисник, який намагається отримати доступ до адміністративних інтерфейсам J-Web, може успішно зробити це з будь-якого інтерфейсу пристрою, незалежно від конфігурації веб-управління та правил фільтрації які в іншому випадку можуть захистити доступ до J-Web. Ця проблема зачіпає: Juniper Networks Junos OS SRX Series 20.4 версії 20.4R1 і більш пізні версії до 20.4R2-S1, 20.4R3; версії 21.1 до 21.1R1-S1, 21.1R2. Ця проблема не впливає на Juniper Networks версії ОС Junos до 20.4R1.

Недостатня авторизація подвиги

  • SQL-ін'єкція: Зловмисники можуть використовувати SQL-ін'єкцію для обходу аутентифікації та отримання несанкціонованого доступу до баз даних або конфіденційних даних.

  • Обхід каталогу: Зловмисники можуть використовувати обхід каталогів, щоб обійти механізми контролю доступу і отримати доступ до файлів або каталогів, доступ до яких їм не дозволено.

  • Порушений контроль доступу: Цей тип експлойта включає використання вразливостей в механізмах контролю доступу для отримання несанкціонованого доступу до ресурсів або функцій.

  • Session Hijacking: Зловмисники можуть перехопити сеанси користувачів, щоб отримати несанкціонований доступ до конфіденційних даних або функцій.

  • Підробка міжсайтових запитів (CSRF): Зловмисники можуть використовувати CSRF, щоб обманом змусити користувачів виконувати у веб-додатку дії, на виконання яких вони не уповноважені, такі як зміна паролів або вчинення несанкціонованих транзакцій.

  • Порушена аутентифікація: Цей тип експлойта включає використання вразливостей в механізмах аутентифікації для отримання несанкціонованого доступу до ресурсів або функцій.

  • Обхід авторизації: Зловмисники можуть обійти перевірки авторизації, щоб отримати несанкціонований доступ до ресурсів або функцій.

  • Небезпечна пряме посилання на об'єкт: Цей тип експлойта передбачає прямий доступ до конфіденційних даних або функцій шляхом маніпулювання посиланнями на об'єкти, а не через належні механізми контролю доступу.

  • Brute-Force Attacks: Зловмисники можуть використовувати атаки методом перебору, щоб вгадати паролі або інші облікові дані і отримати несанкціонований доступ до ресурсів або функцій.

  • Підвищення привілеїв: Зловмисники можуть використовувати методи підвищення привілеїв, щоб отримати підвищені привілеї і отримати доступ до конфіденційних даних або функцій, доступ до яких їм не дозволено.

Практикуючись в тестуванні на Недостатня авторизація

Створення уразливого веб-додатки: Створіть веб-додаток з навмисно вразливими уразливими недостатньою авторизації і потренуйтеся тестувати його з використанням різних інструментів і методів.

Використовуйте вразливі віртуальні машини: Використовуйте готові віртуальні машини з навмисно вразливими уразливими з недостатньою авторизацією і практикуйте їх тестування з використанням різних інструментів і методів.

Беріть участь у заходах Capture the Flag (CTF): Заходи CTF - це змагання, в яких учасникам пропонується вирішити ряд завдань з використанням навичок злому, включаючи тестування на наявність вразливостей з недостатньою авторизацією.

Використовуйте онлайн-ресурси: Існує безліч онлайн-ресурсів і платформ, що пропонують вразливі веб-додатку для тестування, такі як WebGoat, Mutillidae і скажено вразливе веб-додаток.

Практикуйтеся в програмах винагороди за помилки: Багато компаній пропонують програми винагороди за помилки, в рамках яких вони винагороджують окремих осіб за виявлення та повідомлення про уразливості безпеки, включаючи уразливості з недостатньою авторизацією, в своїх веб-додатках і системах.

Відвідуйте тренінги і конференції: Відвідуйте тренінги та конференції з безпеки веб-додатків і недостатнього тестування авторизації, щоб вивчити нові методи і підходи до тестування.

Робота над реальними проектами: Працюйте над реальними проектами або програмами з командою досвідчених професіоналів, які можуть направляти і наставляти вас у тестуванні на наявність вразливостей з недостатньою авторизацією.

Для дослідження недостатньо дозволу

Зрозуміти основи: Почніть з вивчення механізмів контролю доступу, аутентифікації та авторизації, а також поширених вразливостей, пов'язаних з недостатньою авторизацією.

Ознайомтеся з відповідною документацією: Вивчіть документацію з мов програмування, фреймворкам та інструментів, які ви будете тестувати на наявність вразливостей недостатньою авторизації.

Дізнайтеся про поширених методах експлойтів: Вивчіть поширені методи, використовувані для використання вразливостей з недостатньою авторизацією, такі як підвищення привілеїв, обхід каталогів і перехоплення сеансу.

Практичне тестування на наявність вразливостей недостатньою авторизації: Використовуйте інструменти і методи, такі як ручне тестування, автоматичне сканування і нечітке тестування, для виявлення вразливостей недостатньою авторизації в веб-додатках і системах.

Беріть участь в онлайн-спільнотах: Приєднуйтесь до онлайн-спільнот, присвяченим безпеки веб-додатків і недостатнього тестування авторизації, таким як OWASP, і взаємодійте з іншими учасниками, щоб навчитися на їхньому досвіді і ділитися своїми знаннями.

Відвідуйте тренінги і конференції: Відвідуйте тренінги та конференції з безпеки веб-додатків і недостатнього тестування авторизації, щоб вивчити нові методи і підходи до тестування.

Робота над реальними проектами: Працюйте над реальними проектами або програмами з командою досвідчених професіоналів, які можуть направляти і наставляти вас у тестуванні на наявність вразливостей з недостатньою авторизацією.

Книги з відкликанням про недостатню авторизації

"Керівництво хакера веб-додатків: пошук і використання недоліків безпеки" автор: Дафидд Штуттард і Маркус Пінто: Ця книга являє собою всеосяжне керівництво по тестуванню вразливостей веб-додатків, включаючи недостатню авторизацію.

“Керівництво по тестуванню OWASP v4.1" Проект Open Web Application Security Project (OWASP): У цьому посібнику представлена детальна методологія тестування веб-додатків, включаючи тестування на уразливості з недостатньою авторизацією.

"Безпека веб-додатків: керівництво для початківців" Брайан Салліван і Вінсент Ллю: Ця книга являє собою введення в безпеку веб-додатків, включаючи уразливості з недостатньою авторизацією.

"Професійне тестування на проникнення: створення і функціонування офіційної хакерської лабораторії" автор: Томас Вільгельм: Ця книга містить покрокове керівництво по налаштуванню лабораторії тестування на проникнення і включає розділ, присвячений тестуванню на уразливості з недостатньою авторизацією.

"Основи злому і тестування на проникнення: етичний злом і тестування на проникнення стали простіше" Патрік Энгебретсон: Ця книга являє собою введення в етичний злом і включає розділ про тестування на уразливості з недостатньою авторизацією.

"Зламані веб-додатки: Секрети і рішення безпеки веб-додатків" автор: Джоел Скамбрей, Вінсент Ллю і Калеб Сіма: Ця книга являє собою всеосяжне керівництво по тестуванню вразливостей веб-додатків, включаючи недостатню авторизацію.

"Злом сірої капелюхи: керівництво етичного хакера" Даніель Регаладо, Шон Харріс, Аллен Харпер, Кріс Голок і Джонатан Несс: Ця книга містить огляд етичного злому і включає розділ про тестування вразливостей з недостатньою авторизацією.

"Безпека веб-додатків: повне керівництво по забезпеченню безпеки вашого додатки" автор Ендрю Хоффман: Ця книга являє собою всеосяжне керівництво з безпеки веб-додатків, включаючи уразливості з недостатньою авторизацією.

"Перша десятка активних засобів контролю OWASP" Проект Open Web Application Security Project (OWASP): У цьому посібнику представлений список з десяти основних превентивних елементів управління, що допомагають запобігти поширені уразливості веб-додатків, включаючи недостатню авторизацію.

"Створення захищеного програмного забезпечення: як правильно уникнути проблем з безпекою" Джон Виега і Гері Макгроу: Ця книга містить рекомендації щодо створення захищеного програмного забезпечення, включаючи рекомендації щодо запобігання вразливостей з недостатньою авторизацією.

Список корисних навантажень Недостатня авторизація

  • Корисні навантаження SQL-ін'єкцій: Ці корисні навантаження призначені для маніпулювання SQL-запити з метою отримання несанкціонованого доступу до даним або обходу механізмів аутентифікації.

  • Корисне навантаження при обході каталогів: Ці корисні навантаження використовуються для доступу до файлів або каталогів за межами передбачуваного каталогу, що може призвести до несанкціонованого доступу до конфіденційних файлів.

  • Корисне навантаження міжсайтових сценаріїв (XSS): Ці корисні навантаження використовуються для впровадження шкідливого коду на веб-сторінку, що може дозволити зловмиснику виконати довільний код або вкрасти ваші облікові дані.

  • Корисні навантаження в обхід аутентифікації: Ці корисні навантаження використовуються для обходу механізмів автентифікації, таких як перебір або використання облікових даних за замовчуванням.

  • Корисні навантаження для перехоплення сеансів: Ці корисні навантаження використовуються для перехоплення користувальницьких сеансів, дозволяючи зловмиснику видавати себе за законного користувача і отримувати несанкціонований доступ до даних або функцій.

  • Корисне навантаження при маніпулюванні параметрами: Ці корисні навантаження використовуються для маніпулювання вхідними параметрами з метою обходу перевірок авторизації або отримання доступу до неавторизованим функцій.

  • Корисне навантаження при маніпулюванні заголовком HTTP: Ці корисні навантаження використовуються для маніпулювання заголовками HTTP, щоб обійти перевірки авторизації або отримати доступ до неавторизованим функцій.

  • Корисне навантаження при завантаженні файлів: Ці корисні навантаження використовуються для перевірки вразливостей при завантаженні файлів, які можуть бути використані для завантаження шкідливих файлів або отримання несанкціонованого доступу до сервера.

  • Корисні навантаження для впровадження XML: Ці корисні навантаження використовуються для маніпулювання введенням XML для обходу перевірок авторизації або отримання доступу до неавторизованим функцій.

  • Корисні навантаження для введення команд: Ці корисні навантаження використовуються для виконання довільних команд на сервері, що дозволяє зловмиснику отримати несанкціонований доступ до даних або функцій.

Як захиститися від недостатньої авторизації

  1. Використовуйте надійні механізми аутентифікації: Впровадьте надійні і безпечні механізми аутентификації, такі як багатофакторна аутентифікація, для запобігання несанкціонованого доступу до конфіденційних даних і функцій.

  2. Обмежити доступ до ресурсів: Впровадьте політики контролю доступу для обмеження доступу до ресурсів на основі ролі користувача, дозволів чи інших критеріїв.

  3. Використовуйте найменші привілеї: Дотримуйтесь принципу найменших привілеїв і надайте користувачам лише мінімальний рівень доступу, необхідний для виконання їх завдань.

  4. Впровадити безпечне керування сеансами: Впровадьте механізми безпечного керування сеансами, такі як тайм-аути сеансу та анулювання сеансу при виході з системи, щоб запобігти перехоплення сеансу.

  5. Використовуйте безпечні політики паролів: Впровадьте політики захисту паролів, такі як вимога надійних паролів і примусове закінчення строку дії пароля, для запобігання несанкціонованого доступу до облікових записів користувачів.

  6. Шифрування конфіденційних даних: Використовуйте шифрування для захисту конфіденційних даних, як під час передачі, так і в стані спокою, щоб запобігти несанкціонований доступ.

  7. Проводите регулярне тестування безпеки: Проводити регулярні тести безпеки, такі як тестування на проникнення і оцінка вразливостей, для виявлення та усунення потенційних вразливостей з недостатньою авторизацією.

  8. Підтримуйте програмне забезпечення в актуальному стані: Оновлюйте програмне забезпечення і додатки за допомогою останніх виправлень і оновлень безпеки для усунення відомих вразливостей в системі безпеки.

  9. Використовуйте безпечні методи кодування: Використовуйте методи безпечного кодування, такі як перевірка вхідних даних і кодування вихідних даних, щоб запобігти появі вразливостей недостатньою авторизації в програмному забезпеченні в процесі розробки.

  10. Запровадити моніторинг безпекиВпровадити механізми моніторингу безпеки для виявлення спроб несанкціонованого доступу і підозрілої активності і реагування на них.

Заходи по пом'якшенню наслідків недостатньої авторизації

  1. Впровадити управління доступом (RBAC): RBAC - це метод обмеження доступу до ресурсів на основі ролі або дозволів користувача. Впровадження RBAC може допомогти запобігти несанкціонований доступ до конфіденційних даних і функцій.

  2. Використовуйте параметризрвані запити: Використовуйте параметризрвані запити замість об'єднаних операторів SQL для запобігання атак з використанням SQL-ін'єкцій.

  3. Обмеження швидкості реалізації: Вбудуйте обмеження швидкості для запобігання атак методом перебору та інших типів атак, які засновані на відправлення великої кількості запитів.

  4. Використовуйте безпечне керування сеансами: Вбудуйте механізми безпечного керування сеансами, такі як тайм-аути сеансу та анулювання сеансу при виході з системи, щоб запобігти перехоплення сеансу.

  5. Реалізувати перевірку вхідних даних: Вбудуйте перевірку вхідних даних, щоб переконатися, що вводяться користувачем дані правильно відформатовані і містять тільки очікувані символи.

  6. Використовуйте безпечні політики паролів: Вбудуйте політики захисту паролів, такі як вимога надійних паролів і примусове закінчення строку дії пароля, для запобігання несанкціонованого доступу до облікових записів користувачів.

  7. Використовуйте шифрування: Використовуйте шифрування для захисту конфіденційних даних, як під час передачі, так і в стані спокою, щоб запобігти несанкціонований доступ.

  8. Реалізувати двофакторну аутентифікацію (2FA): Вбудуйте 2FA, щоб забезпечити додатковий рівень безпеки для аутентифікації користувача.

  9. Проводите регулярне тестування безпеки: Проводьте регулярні перевірки безпеки, такі як тестування на проникнення і оцінка вразливостей, для виявлення та усунення потенційних вразливостей з недостатньою авторизацією.

  10. Запровадити моніторинг безпеки: Вбудуйте механізми моніторингу безпеки для виявлення спроб несанкціонованого доступу і підозрілої активності і реагування на них.

Висновок

Недостатня авторизація це критична уразливість системи безпеки, яка виникає, коли зловмисник отримує несанкціонований доступ до ресурсу або функціональності, до яких у нього не повинно бути доступу. Це може статися із-за слабких місць у механізмах контролю доступу, таких як RBAC або політики паролів.

Наслідки недостатньої авторизації можуть бути серйозними, включаючи крадіжку або компрометацію конфіденційних даних, несанкціоноване зміна даних несанкціонований доступ до конфіденційних функцій.

Для усунення вразливостей, пов'язаних з недостатньою авторизацією, організаціям слід впровадити надійні механізми контролю доступу, використовувати методи безпечного кодування, впровадити безпечне керування сеансами і проводити регулярне тестування безпеки. Крім того, важливо підтримувати програмне забезпечення в актуальному стані та впроваджувати механізми моніторингу безпеки для виявлення спроб несанкціонованого доступу і підозрілої активності і реагування на них.

В цілому, організаціям важливо робити активні кроки для захисту від вразливостей з недостатньою авторизацією, щоб забезпечити безпеку і цілісність своїх систем і даних.

Інші Послуги

Готові до безпеки?

зв'язатися з нами