22 Лют, 2023

Недостатній захист транспортного рівня

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Недостатній захист транспортного рівня (ITLP) відноситься до уразливості в системі безпеки, яка виникає, коли мережевий канал зв'язку між двома об'єктами (наприклад, клієнтом і сервером) не має достатнього захисту від перехоплення, втручання чи підслуховування. Це може призвести до того, що конфіденційна інформація стане доступною зловмисникам, які можуть перехопити повідомлення, яке може бути використано у зловмисних цілях. Відсутність захисту може бути викликано рядом причин, таких як використання слабких алгоритмів шифрування або використання незахищених протоколів, таких як HTTP замість HTTPS.

Приклад уразливого коду на різних мовах програмування:


В Java:

				
					URL url = new URL("https://example.com");
HttpURLConnection conn = (HttpURLConnection) url.openConnection();
conn.setDoOutput(true);
OutputStreamWriter writer = new OutputStreamWriter(conn.getOutputStream());
writer.write("This is a test");
writer.flush();

				
			


У наведеному вище Java-коді URL об'єкт створюється з допомогою http протокол, який є незахищеним. Це означає, що зв'язок між клієнтом і сервером не шифрується і може бути перехоплена зловмисниками. Щоб уникнути цієї проблеми, рекомендується використовувати https замість цього.

• в Python:

				
					import requests

payload = {'username': 'user', 'password': 'pass'}
r = requests.post('http://example.com/login', data=payload)

				
			


Наведений вище код Python відправляє запит на вхід на сервер http протокол, який не є безпечним. Щоб уникнути цієї проблеми, рекомендується використовувати https замість цього.

• в C#:

				
					using System.Net;
using System.IO;

string url = "http://example.com";
HttpWebRequest request = (HttpWebRequest)WebRequest.Create(url);
request.Method = "POST";
string postData = "This is a test";
byte[] byteArray = Encoding.UTF8.GetBytes(postData);
request.ContentLength = byteArray.Length;
Stream dataStream = request.GetRequestStream();
dataStream.Write(byteArray, 0, byteArray.Length);
dataStream.Close();
WebResponse response = request.GetResponse();

				
			


У наведеному вище коді C # HttpWebRequest об'єкт створюється з допомогою http протокол, який є незахищеним. Це означає, що зв'язок між клієнтом і сервером не шифрується і може бути перехоплена зловмисниками. Щоб уникнути цієї проблеми, рекомендується використовувати https замість цього.

• В PHP:

				
					<?php
$url = 'http://example.com';
$data = array('foo' => 'bar');
$options = array(
  'http' => array(
    'header'  => "Content-type: application/x-www-form-urlencoded\r\n",
    'method'  => 'POST',
    'content' => http_build_query($data),
  ),
);
$context  = stream_context_create($options);
$result = file_get_contents($url, false, $context);
?>

				
			


У наведеному вище PHP-коді $url змінна налаштована на використання http протокол, який не є безпечним. Це означає, що зв'язок між клієнтом і сервером не шифрується і може бути перехоплена зловмисниками. Щоб уникнути цієї проблеми, рекомендується використовувати https замість цього.

Приклади експлуатації Недостатній захист транспортного рівня

Атака "Людина посередині" (MITM):

При цьому типі атаки зловмисник перехоплює зв'язок між клієнтом і сервером може зчитувати або змінювати обмінювані дані. Наприклад, зловмисник може використовувати засіб аналізу пакетів для захоплення мережевого трафіку, а потім використовувати методи дешифрування для отримання конфіденційних даних, таких як паролі, дані кредитної картки або особиста інформація.

Session Hijacking:

При цьому типі атаки зловмисник краде ідентифікатор сеансу або маркер, який використовується клієнтом для зв'язку з сервером, а потім використовує його для уособлення клієнта та виконання несанкціонованих дій від його імені. Наприклад, зловмисник може перехопити мережевий трафік і отримати файл cookie сеансу, який використовується клієнтом, а потім використовувати його для доступу до облікового запису клієнта без його відома.

Впровадження шкідливого коду:

При цьому типі атаки зловмисник впроваджує шкідливий код в систему обміну даними між клієнтом і сервером, який потім може бути виконаний в системі клієнта або на сервері. Наприклад, зловмисник може впровадити скрипт на незахищену веб-сторінку, яка може вкрасти конфіденційні дані або перенаправити користувача на шкідливий веб-сайт.

Відстеження паролів:

При цьому типі атаки зловмисник перехоплює облікові дані клієнта (наприклад, ім'я користувача і пароль) і використовують їх для отримання несанкціонованого доступу до його облікового запису. Наприклад, зловмисник може перехопити запит на вхід, відправлений клієнтом, і отримати реєстраційні дані, прослуховуючи мережевий трафік.

Методи підвищення привілеїв при недостатній захист транспортного рівня

Прослуховування мережевого трафіку:

Як згадувалося раніше, зловмисники можуть використовувати інструменти перехоплення пакетів для перехоплення мережевого трафіку і отримання конфіденційної інформації, такої як облікові дані для входу, ідентифікатори сеансів або інші конфіденційні дані. Володіючи цією інформацією, зловмисники можуть використовувати її для отримання доступу до облікових записів або систем з більш високими привілеями.

Перехоплення файлів cookie:

Більшість веб-додатків використовує файли cookie для підтримки користувальницьких сеансів. Зловмисники можуть перехопити ці файли cookie з допомогою інструментів мережевого прослуховування і використовувати їх для видачі себе за законних користувачів і отримання доступу до облікових записів з більш високими привілеями.

Фіксація сеансу:

Фіксація сеансу - це атака, під час якої зловмисник обманом змушує користувача використати ідентифікатор сеансу або маркер, який відомий зловмисникові. Наприклад, зловмисник може відправити жертві фішінговий електронний лист з посиланням на веб-сайт, що містить ідентифікатор сеансу або токен. Якщо жертва входить на веб-сайт, зловмисник може використовувати той же ідентифікатор сеансу або токен, щоб отримати доступ до облікового запису жертви.

Видалення SSL:

Видалення SSL - це атака, під час якої зловмисник перехоплює HTTPS-запит клієнта і знижує його до незашифрованого HTTP-запиту. Потім зловмисник перехоплює ваші облікові дані для входу, ідентифікатори сеансу або іншу конфіденційну інформацію у вигляді відкритого тексту. Володіючи цією інформацією, зловмисник може використовувати її для одержання більш високих привілеїв в цільовій системі.

Загальна методологія та контрольний список для недостатньою захисту транспортного рівня

Методологія:

  1. Визначте об'єм оцінки: Першим кроком є визначення обсягу оцінки, яка включає в себе визначення активів і додатків, що підлягають тестуванню. Це можна зробити, проаналізувавши архітектуру системи, топологію мережі і бізнес-вимоги.

  2. Визначте використовувані протоколи зв'язку: Наступним кроком є визначення використовуваних протоколів зв'язку, таких як HTTP, HTTPS, SMTP, POP3, IMAP, FTP і SSH. Це можна зробити, проаналізувавши мережевий трафік за допомогою таких інструментів, як Wireshark або tcpdump.

  3. Аналіз протоколів зв'язку: Як тільки протоколи зв'язку визначено, наступним кроком є їх аналіз на наявність вразливостей, таких як слабкі шифри, слабкі алгоритми хешування і неправильні конфігурації SSL / TLS. Це можна зробити за допомогою таких інструментів, як SSL Labs, Qualys SSL Server Test і Nmap.

  4. Виконання активного і пасивного сканування мережі: Виконання активного і пасивного сканування мережі може допомогти виявити вразливі пристрої та служби в мережі. Активне сканування включає відправку пакетів пристроїв і службам для визначення їх стану, в той час як пасивне сканування включає прослуховування мережевого трафіку для ідентифікації пристроїв і служб.

  5. Виконайте тестування веб-додатки: Для веб-додатків важливо протестувати уразливості, такі як впровадження HTTP, фіксація сеансу і видалення SSL. Це можна зробити з допомогою сканерів веб-загроз, таких як OWASP ZAP і Burp Suite.

  6. Тест на уразливості мобільних пристроїв: Мобільні пристрої стають все більш поширеною мішенню для зловмисників. Важливо протестувати мобільні додатки на наявність вразливостей, таких як слабкі шифри, небезпечне зберігання конфіденційних даних і неправильні налаштування SSL / TLS.

  7. Документуйте і повідомляйте про результати: Після завершення тестування результати повинні бути задокументовані і доведені до відома відповідних зацікавлених сторін. Звіт повинен містити короткий виклад виявлених вразливостей, їх наслідків і рекомендацій з усунення.

  8. Повторне тестування і перевірка виправлень: Після усунення вразливостей важливо повторно протестувати і переконатися, що виправлення ефективні і не призвели до появи будь-яких нових вразливостей.

Контрольний список:

  1. Перевірте, чи використовується протокол HTTPS для передачі конфіденційної інформації по мережі. Якщо ні, то це критична уразливість, яку слід усунути.

  2. Перевірте, чи правильно налаштований SSL / TLS і використовує він надійні шифри і протоколи. Уразливі версії SSL / TLS, такі як SSLv3 і TLS 1.0, повинні бути відключені.

  3. Перевірте, чи є сертифікат SSL/ TLS дійсним і виданий він довіреною центром сертифікації. Переконайтеся, що термін дії сертифіката не закінчився і він не використовує слабкі алгоритми, такі як MD5 або SHA-1.

  4. Перевірте наявність вразливостей SSL / TLS, таких як Heartbleed, POODLE, BEAST, CRIME і DROWN. Ці уразливості можна виявити за допомогою таких інструментів, як SSL Labs або Qualys SSL Server Test.

  5. Перевірте наявність вразливостей в управлінні сеансами, таких як фіксація сеансу, перехоплення сеансу і атаки з повторним відтворенням сеансу. Переконайтеся, що ідентифікатори сеансів унікальні, непередбачувані і зашифровані.

  6. Перевірте наявність вразливостей файлів cookie, таких як підробка файлів cookie та атаки з повторним використанням файлів cookie. Переконайтеся, що файли cookie зашифровані, містять безпечний прапор і мають короткий термін дії.

  7. Перевірте наявність вразливостей змішаного контенту, коли HTTP-контент завантажується через HTTPS. Це може призвести до появи попередження SSL / TLS і може бути використане для впровадження шкідливого коду на веб-сторінки.

  8. Перевірте наявність вразливостей мобільних пристроїв, таких як слабкі шифри, ненадійне зберігання конфіденційних даних і неправильні налаштування SSL / TLS.

  9. Перевірте наявність вразливостей мережевого рівня, таких як атаки типу "людина посередині", несанкціоновані точки доступу і слабке бездротове шифрування.

  10. Документуйте результати і повідомляйте про них відповідним зацікавленим сторонам. Звіт повинен містити короткий виклад виявлених вразливостей, їх наслідків і рекомендацій з усунення.

Набір інструментів для експлуатації Недостатній захист транспортного рівня

Автоматизовані інструменти:

  • SSLScan: Засіб командного рядка, яка сканує служби SSL / TLS для виявлення підтримуваних наборів шифрів, версій SSL / TLS та інших вразливостей.

  • Nmap: Популярний інструмент дослідження мережі, який може сканувати вразливості SSL / TLS і виявляти слабкі шифри.

  • OpenSSL: Широко використовуваний набір інструментів SSL/ TLS, який можна використовувати для тестування реалізацій SSL / TLS на наявність вразливостей і неправильних налаштувань.

  • Qualys SSL Server Test: Онлайн-інструмент, який перевіряє веб-сервери SSL / TLS на наявність відомих вразливостей і неправильних налаштувань, включаючи слабкі шифри, проблеми з сертифікатами та інші уразливості.

  • SSLyze: Інструмент Python, який може виконувати аудит конфігурації SSL / TLS, включаючи виявлення підтримуваних наборів шифрів, версій SSL / TLS та інших вразливостей.

  • Burp Suite: Популярний інструмент тестування веб-додатків, який включає в себе модуль для виявлення вразливостей і неправильних налаштувань SSL / TLS, включаючи небезпечну перевірку сертифікатів і слабкі шифри.

  • OWASP ZAP: Інструмент тестування безпеки веб-додатків з відкритим вихідним кодом, який включає модулі для виявлення вразливостей SSL / TLS і неправильних налаштувань.

  • Fiddler: Засіб веб-налагодження, яке можна використовувати для аналізу трафіку HTTPS і виявлення вразливостей і неправильних налаштувань SSL / TLS.

  • sslyze-masscan: Інструмент, який поєднує в собі функціональність SSLyze і Masscan для виконання швидкого сканування вразливостей SSL / TLS на великій кількості хостів.

  • TestSSLServer: Засіб командного рядка, який може сканувати сервери SSL / TLS на наявність відомих вразливостей і неправильних налаштувань, включаючи слабкі шифри, проблеми з сертифікатами та інші уразливості.

Ручні Інструменти:

  • Wireshark: Аналізатор мережевих протоколів, який можна використовувати для збору і аналізу мережевого трафіку, включаючи трафік SSL / TLS.

  • OpenSSL s_client: Інструмент командного рядка, який можна використовувати для тестування конфігурацій серверів, SSL / TLS та виявлення вразливостей і неправильних налаштувань.

  • Curl: Інструмент командного рядка, який можна використовувати для тестування конфігурацій серверів, SSL / TLS та виявлення вразливостей і неправильних налаштувань.

  • GnuTLS: Інструмент командного рядка, який можна використовувати для тестування конфігурацій серверів, SSL / TLS та виявлення вразливостей і неправильних налаштувань.

  • Aircrack-ng: Популярний інструмент для тестування проникнення в бездротові мережі, який можна використовувати для виявлення слабкого бездротового шифрування та інших вразливостей мережевого рівня.

  • Ettercap: Мережевий сніффер і перехоплювач, який може використовуватися для виявлення і використання атак типу "людина посередині", включаючи атаки з видаленням SSL / TLS.

  • BeEF: Платформа використання браузера, яка може використовуватися для використання вразливостей на основі браузера, включаючи уразливості SSL / TLS і неправильні налаштування.

  • SSLDump: Інструмент командного рядка, який можна використовувати для збору трафіку SSL / TLS та аналізу сеансів SSL / TLS на предмет вразливостей і неправильних налаштувань.

  • THC-SSL-DOS: Інструмент, який може використовуватися для виконання атак типу "відмова в обслуговуванні" на серверах SSL / TLS шляхом використання вразливостей в реалізаціях SSL / TLS.

  • SSLstrip: Інструмент, який можна використовувати для виконання атак з видаленням SSL / TLS шляхом перехоплення трафіку HTTPS і зниження його до HTTP.

Середній бал CVSS Недостатній захист стека на транспортному рівні

Загальна система оцінки вразливостей (CVSS) надає спосіб присвоєння вразливостей оцінок серйозності на основі їх впливу та можливості використання. Оцінка CVSS коливається від 0 до 10, причому 10 балів є найсерйознішими.

Уразливості з недостатнім захистом транспортного рівня можуть змінюватись по мірі серйозності залежно від конкретної уразливості і її впливу. Однак, як правило, уразливості з недостатнім захистом транспортного рівня вважаються уразливими високого ступеня серйозності, оскільки вони можуть привести до розкриття конфіденційних даних або компрометації систем.

Оцінка CVSS за недостатню вразливість у захисті транспортного рівня може сильно варіюватися в залежності від конкретної уразливості і її впливу. Однак багатьом вразливостей з недостатнім захистом транспортного рівня присвоюється оцінка CVSS 7,5 або вище, що вважається вразливістю високого ступеня серйозності.

Загальна перерахування слабких місць (CWE)

CWE-295: неправильна перевірка сертифіката: ця слабкість відноситься до нездатності правильно перевіряти сертифікати SSL / TLS, що може призвести до атак типу "людина посередині" і інших типів атак.

CWE-326: Недостатня надійність шифрування: цей недолік відноситься до використання слабких алгоритмів шифрування або недостатньої довжини ключа, що може призвести до компрометації зашифрованих даних.

CWE-310: Криптографічні проблеми: ця слабкість відноситься до широкої категорії проблем, пов'язаних з використанням криптографії, включаючи слабке шифрування, небезпечне керування ключами і інші проблеми.

CWE-311: відсутній шифрування конфіденційних даних: ця слабкість відноситься до нездатності зашифрувати конфіденційні дані, такі як паролі або номери кредитних карт, коли вони передаються з небезпечним каналах.

CWE-319: Передача конфіденційної інформації відкритим текстом: цей недолік відноситься до передачі конфіденційної інформації, такої як паролі або номери кредитних карт, відкритим текстом по небезпечним каналах.

CWE-614: конфіденційний файл cookie сеансу HTTPS без атрибуту "Secure": ця слабкість відноситься до використання файлів cookie без атрибуту "secure" в сеансах HTTPS, що може дозволити зловмиснику перехопити файл cookie.

CWE-752: Залежність від безпеки через скритність: ця слабкість відноситься до використання заходів безпеки, які базуються на секретності або скритності, а не на надійній криптографічного захисту.

CWE-759: використання однобічної хеш-без солі: цей недолік відноситься до використання односторонніх хешей без використання солі, що може призвести до легкого злому паролів.

CWE-918: Підробка запитів на стороні сервера (SSRF): ця слабкість відноситься до здатності зловмисника маніпулювати запитами, що відправляються з сервера, включаючи запити SSL / TLS, для виконання таких атак, як эксфильтрация даних або виконання коду.

CWE-919: Недоліки у використанні функцій, отримання ключів: Цей недолік відноситься до використання слабких функцій, отримання ключів, що може призвести до компрометації зашифрованих даних або крадіжці конфіденційної інформації.

CVE, пов'язані з недостатнім захистом транспортного рівня

CVE-2019-1590 – Уразливість в функціональності перевірки сертифіката безпеки транспортного рівня (TLS) програмного забезпечення комутатора режимів Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) може дозволити віддаленого зловмиснику, який не пройшов перевірку автентичності, виконати небезпечну перевірку автентичності клієнта TLS на вразливому пристрої. Уразливість пов'язана з недостатньою перевіркою клієнтських сертифікатів TLS для сертифікатів, що надійшли між різними компонентами ACI fabric. Зловмисник, що володіє сертифікатом, якій довіряє Виробничий центр сертифікації Cisco, і відповідним закритим ключем, може скористатися цією уразливістю, представивши дійсний сертифікат при спробі підключення до цільового пристрою. Експлойт може дозволити зловмиснику отримати повний контроль над усіма іншими компонентами в структурі ACI уразливого пристрою.

CVE-2018-0231 – Уразливість в бібліотеці безпеки транспортного рівня (TLS) програмного забезпечення Cisco Adaptive Security Appliance (ASA) і програмного забезпечення Cisco Firepower Defense Threat (FTD) може дозволити віддаленого зловмиснику, який не пройшов перевірку автентичності, запустити перезавантаження уразливого пристрої, що призведе до відмови в обслуговуванні (DoS). умова. Уразливість пов'язана з недостатньою перевіркою введених користувачем даних. Зловмисник може скористатися цією уразливістю, відправивши шкідливе повідомлення TLS інтерфейсу, включеному для служб Secure Socket Layer (SSL) на вразливому пристрої. Повідомлення, що використовують SSL, версії 3 (SSLv3) або SSL, версії 2 (SSLv2), не можуть бути використані для використання цієї уразливості. Експлойт може дозволити зловмиснику викликати переповнення буфера, що призведе до збою на вразливому пристрої. Ця уразливість зачіпає програмне забезпечення Cisco ASA і програмне забезпечення Cisco FTD, яке працює на наступних продуктах Cisco: Adaptive Security Virtual Appliance (ASAv), Firepower Defense Threat Virtual (FTDv), Firepower Security Appliance серії 2100. Ідентифікатори помилок Cisco: CSCve18902, CSCve34335, CSCve38446.

CVE-2009-3555 – Протокол TLS і SSL 3.0 і, можливо, більш ранні версії, використовувані в Microsoft Internet Information Services (IIS) 7.0, mod_ssl на HTTP-сервері Apache 2.2.14 і більш ранніх версіях, OpenSSL до версії 0.9.8 l, GnuTLS 2.8.5 і більш ранніх версій, Mozilla Network Security Services (NSS) 3.12.4 і більш ранніх версій, декілька продуктів Cisco, і інші продукти, неправильно пов'язує рукостискання при повторному узгодженні з існуючим з'єднанням, що дозволяє зловмисникам "посередника" вставляти дані в сеанси HTTPS і, можливо, в інші типи сеансів, захищених TLS або SSL, шляхом відправлення не пройшла перевірку справжності запиту, який обробляється сервером заднім числом в контексті після перегляду умов, пов'язаного з атакою "впровадження відкритого тексту", відомої як проблема "Project Mogul".

Недостатній захист транспортного рівня подвиги

  • Heartbleed: Це добре відомий експлойт, який впливає на OpenSSL, який використовується для реалізації шифрування SSL / TLS на багатьох веб-сайтах. Експлойт дозволяє зловмисникові отримувати конфіденційну інформацію з пам'яті уразливого сервера, включаючи закриті ключі, паролі та інші дані.

  • POODLE: Це експлойт, який націлений на протокол SSL 3.0 і дозволяє зловмисникові перехоплювати і розшифровувати дані, що передаються по з'єднань SSL 3.0. Це може призвести до розкриття конфіденційних даних, таких як облікові дані для входу в систему та інша конфіденційна інформація.

  • DROWN: Цей експлойт використовує сервери, які підтримують як SSLv2, так і сучасні протоколи шифрування, дозволяючи зловмиснику використовувати SSLv2 для розшифровки трафіку SSLv3 / TLS.

  • FREAK: Цей експлойт націлений на сервери, що підтримують експортне шифрування, яке коли-то потрібно американськими правилами. Експлойт дозволяє зловмисникові примусово знизити рівень шифрування з'єднання, роблячи його вразливим для перехоплення і дешифрування.

  • Logjam: Цей експлойт націлений на обмін ключами Діффі-Хеллмана, який використовується для встановлення безпечних з'єднань в багатьох протоколах, включаючи SSL / TLS. Експлойт дозволяє зловмисникові знизити рейтинг обміну ключами, що робить його уразливим для атак.

  • BREACH: Цей експлойт націлений на стиск, що використовується в з'єднаннях SSL / TLS, дозволяючи зловмиснику використовувати атаку по побічних каналах для отримання конфіденційної інформації.

  • CRIME: Цей експлойт націлений на стиск, що використовується в з'єднаннях SSL / TLS, і дозволяє зловмисникові використовувати атаку по побічних каналах для отримання конфіденційної інформації, включаючи маркери аутентифікації і файли cookie.

  • BEAST: Цей експлойт націлений на уразливість в протоколах SSL 3.0 і TLS 1.0, що дозволяє зловмисникові перехоплювати і розшифровувати дані, що передаються по вразливим протоколами.

  • Lucky 13: Цей експлойт націлений на реалізацію протоколу TLS і дозволяє зловмисникові використовувати тимчасову атаку для отримання конфіденційної інформації.

  • Пудова кровЦе комбінація експлойтів Heartbleed і POODLE, яка дозволяє зловмисникові отримувати конфіденційну інформацію з пам'яті сервера, а також перехоплювати і розшифровувати трафіку SSL / TLS.

Практика в тестуванні на недостатню захист транспортного рівня

Визначте мету: Визначте, яке веб-додаток або мережу ви хочете протестувати на предмет недостатньою захисту транспортного рівня.

Визначте область застосування: Визначте область застосування тесту, в тому числі, які області веб-додатки або мережі будуть тестуватися.

Провести рекогносцировку: Використовуйте такі інструменти, як Nmap Whois, для збору інформації про цілі, такий як топологія мережі, IP-адреси і відкриті порти.

Провести сканування вразливостей: Використовуйте такі інструменти, як Nessus або OpenVAS, для пошуку вразливостей, пов'язаних з недостатнім захистом транспортного рівня.

Проведення ручного тестування: Використовуйте такі інструменти, як Burp Suite або ZAP, для проведення ручного тестування цільового об'єкта в пошуках вразливостей, таких як слабкі набори шифрів або неправильно налаштовані сертифікати SSL / TLS.

Використовувати уразливості: Використовуйте такі інструменти, як Metasploit або CANVAS, для використання вразливостей, пов'язаних з недостатнім захистом транспортного рівня.

Перевірка результатів: Перевірте результати тесту, щоб переконатися, що виявлені вразливості реальні і їх можна використовувати.

Результати документування: Документуйте результати тесту, включаючи виявлені вразливості, область застосування тесту та використовувані інструменти.

Надайте рекомендації: Надайте рекомендації щодо усунення виявлених вразливостей, включаючи впровадження належного шифрування, використання надійних наборів шифрів і правильну настройку сертифікатів SSL / TLS.

Повторне тестування: Повторно протестуйте мета, щоб переконатися, що уразливості були належним чином усунуто.

Для дослідження Недостатній захист транспортного рівня

Вивчіть основи: Ознайомтеся з концепціями шифрування SSL / TLS і з тим, як вони працюють.

Вивчіть вразливі місця: Дізнайтеся про поширених вразливості, пов'язаних з недостатнім захистом транспортного рівня, включаючи слабкі набори шифрів, неправильно налаштовані сертифікати SSL / TLS та вразливості у самих протоколах SSL / TLS.

Вивчіть подвиги: Вивчіть експлойти, які були розроблені для використання цих вразливостей, включаючи Heartbleed, POODLE і DROWN.

Вивчіть методології тестування: Вивчіть методології тестування на недостатню захист транспортного рівня, включаючи сканування вразливостей, ручне тестування та експлуатацію.

Практика на тестових системах: Використовуйте тестові системи, щоб попрактикуватися у виявленні вразливостей, пов'язаних з недостатнім захистом транспортного рівня, їх тестуванні та усуненні.

Будьте в курсі останніх подій: Будьте в курсі останніх вразливостей, експлойтів і методологій тестування, пов'язаних з недостатнім захистом транспортного рівня, з допомогою галузевих публікацій, онлайн-форумів і навчальних курсів.

Приєднуйтесь до спільноти: Приєднуйтесь до онлайн-спільнот або форумах, пов'язаних з кібербезпеки і, зокрема, недостатнім захистом транспортного рівня, щоб вчитися у інших фахівців і бути в курсі останніх подій у цій галузі.

Сертифікати: Подумайте про отримання сертифікатів, пов'язаних з кібербезпеки і мережевою безпекою, таких як сертифікат CompTIA Security + або сертифікат Certified Ethical Hacker (CEH), щоб продемонструвати свої знання та навички потенційним роботодавцям.

Книги з оглядом недостатньою захисту транспортного рівня

"SSL і TLS: теорія і практика" автор: Рольф Опплигер – У цій книзі представлений вичерпний огляд протоколів SSL/ TLS, їх конструкції і функцій безпеки, а також способів їх безпечного розгортання на практиці.

"Викритий злом 7: секрети і вирішення мережевої безпеки" автор: Стюарт Макклюр, Джоел Скамбрей і Джордж Куртц – У цій книзі розглядаються різні теми, пов'язані з мережевою безпекою, включаючи уразливості з недостатнім захистом транспортного рівня, а також способи їх використання і захисту від них.

"Куленепробивний SSL і TLS: розуміння і розгортання SSL / TLS і PKI для захисту серверів і веб-додатків" автор: Іван Рістіч – У цій книзі представлено практичне керівництво з безпечного розгортання SSL / TLS і PKI для захисту серверів і веб-додатків від вразливостей недостатнього рівня захисту транспортного рівня.

"Впровадження SSL / TLS з використанням криптографії і PKI" автор: Джошуа Девіс – Ця книга містить докладний введення в протоколи SSL / TLS, криптографію і PKI, а також те, як їх безпечно реалізувати на практиці.

"Основи SSL і TLS: захист Інтернету" Стівен А. Томас і Ерік Лоуренс – Ця книга являє собою практичне керівництво з безпечного розгортання SSL / TLS для захисту веб-додатків від вразливостей недостатньою захисту транспортного рівня.

"Основи мережевої безпеки: програми та стандарти" Вільям Столлингс – Ця книга являє собою всеосяжне введення в мережеву безпеку, включаючи протоколи SSL / TLS, вразливості та засоби захисту від атак з недостатнім захистом транспортного рівня.

"Black Hat Python: програмування на Python для хакерів і пентестеров" автор: Джастін Зейтц – У цій книзі розглядаються різні теми, пов'язані з кібербезпеки, у тому числі способи використання вразливостей недостатньою захисту транспортного рівня з допомогою Python.

"Професійне тестування на проникнення: створення і функціонування офіційної хакерської лабораторії" автор: Томас Вільгельм – У цій книзі представлено практичне керівництво по проведенню тестування на проникнення, включаючи тестування на наявність вразливостей недостатньою захисту транспортного рівня, а також способи їх використання і захисту від них.

"Заплутана мережа: керівництво по забезпеченню безпеки сучасних веб-додатків" Михайло Залевський – У цій книзі міститься докладний посібник щодо забезпечення безпеки сучасних веб-додатків, включаючи уразливості з недостатнім захистом транспортного рівня, а також способи їх запобігання та усунення.

"Практична криптографія для розробників: прикордонний контроль і за його межами" Андрій та Іван Біленко Рістіч – Ця книга являє собою практичне керівництво з безпечного впровадження криптографії на практиці, включаючи протоколи SSL / TLS та запобігання вразливостей недостатньою захисту транспортного рівня.

Список корисних навантажень Недостатній захист транспортного рівня

  1. Корисні навантаження SQL-ін'єкцій: може використовуватися для використання уразливостей у веб-додатках, що використовують SSL / TLS шифрування. Приклади корисних навантажень включають:

    'АБО 1 = 1 — (для перевірки вразливостей SQL-ін'єкцій)

    ОБ'ЄДНАТИ ВСІ ВИБЕРІТЬ column_name З information_schema.columns (для вилучення інформації з бази даних)

  2. Корисне навантаження міжсайтових сценаріїв (XSS): може використовуватися для впровадження шкідливих скриптів на веб-додаток, що використовує шифрування SSL / TLS. Приклади корисних навантажень включають:

    <script>alert(‘XSS’)</script> (to test for XSS vulnerabilities)

    <img src="”javascript:alert(‘XSS’)”"> (to execute a JavaScript alert)

  3. Корисне навантаження шкідливого ПЗ: може використовуватися для перевірки вразливостей в реалізаціях SSL / TLS, які можуть дозволити зловмисникам перехоплювати і змінювати зашифрований трафік. Приклади корисних навантажень включають:

    Metasploit Framework (інструмент для тестування мережевої безпеки)

    Корисне навантаження бекдор (корисне навантаження, яка створює бекдор для віддаленого доступу)

  4. Корисне навантаження мережевого сканування: може використовуватися для перевірки вразливостей в реалізаціях SSL / TLS, які можуть дозволити зловмисникам перехоплювати і змінювати зашифрований трафік. Приклади корисних навантажень включають:

Nmap (інструмент для дослідження мережі та аудиту безпеки)

Nessus (інструмент для сканування вразливостей)

Як бути захищеним від недостатнього захисту транспортного рівня

  1. Використовуйте шифрування SSL / TLS для захисту каналів зв'язку між клієнтами і серверами і переконайтеся, що конфігурація SSL / TLS є надійною і актуальною. Це може допомогти запобігти перехоплення і зміна конфіденційних даних зловмисниками.

  2. Використовуйте останню версію SSL / TLS, щоб переконатися, що використовувані протоколи та алгоритми шифрування є надійними і сучасними. Більш старі версії SSL / TLS можуть мати відомі уразливості, які можуть бути використані зловмисниками.

  3. Вбудуйте перевірку сертифіката, щоб переконатися, що сертифікат SSL / TLS, представлений сервером, є дійсним і виданий довіреною центром. Це може допомогти запобігти видачу себе сервер зловмисниками і перехоплення конфіденційних даних.

  4. Вимкніть слабкі набори шифрів, щоб забезпечити максимально надійне шифрування SSL/ TLS. Слабкі набори шифрів можуть використовувати алгоритми шифрування, які вразливі для атак і можуть бути легко скомпрометовані зловмисниками.

  5. Використовуйте HSTS, щоб гарантувати, що вся зв'язок між клієнтом і сервером зашифрована з використанням SSL / TLS. HSTS може допомогти запобігти зниження рівня шифрування, що використовується зловмисниками при обміні даними.

  6. Підтримуйте все програмне забезпечення в актуальному стані, включаючи бібліотеки SSL / TLS і платформи веб-додатків, щоб переконатися, що відомі уразливості виправлені і що програмне забезпечення використовує новітні протоколи та алгоритми шифрування.

  7. Виконуйте регулярні оцінки вразливостей для виявлення та усунення будь-яких недоліків SSL/ TLS в веб-додатках або мережевої інфраструктури.

  8. Використовуйте надійні паролі і двофакторну аутентифікацію для запобігання несанкціонованого доступу до серверів і веб-додатків, що використовують шифрування SSL/TLS. Слабкі паролі можуть бути легко вгадано або зламані зловмисниками, що полегшує їм загрозу безпеки для шифрування SSL / TLS.

  9. Навчіть користувачів того, як виявляти та уникати фішингових атак і інших тактик соціальної інженерії, які можуть бути використані зловмисниками для компрометації шифрування SSL / TLS. Це може допомогти запобігти ненавмисному розкриття користувачами конфіденційних даних зловмисникам.

Заходи по пом'якшенню наслідків недостатнього захисту транспортного рівня

  1. Використовуйте безпечні протоколи та алгоритми шифрування для захисту від атак на зв'язок по протоколу SSL/ TLS. Конфігурація SSL / TLS має бути переглянута і посилена для видалення слабких наборів шифрів і протоколів.

  2. Вбудуйте перевірку сертифіката для перевірки автентичності сервера і запобігання атаки "людина посередині". Це включає в себе перевірку того, що термін дії сертифіката SSL / TLS сервера не закінчився, він підписано довіреною центром і відповідає доменному імені сервера.

  3. HSTS - це конфігурація веб-сервера, яка наказує браузерам використовувати HTTPS для всіх підключень до сервера, запобігаючи атаки з пониженням рейтингу, які можуть змусити клієнта використовувати небезпечне HTTP-з'єднання.

  4. Використовуйте захищені файли cookie, позначені прапором "secure" і прапором "HttpOnly". Це запобігає відправку файлів cookie небезпечним з'єднанню або доступ до них за допомогою клієнтських скриптів, відповідно.

  5. CSP - це функція безпеки, яка дозволяє веб-серверів вказувати, яким доменам дозволено виконувати сценарії, завантажувати ресурси або використовувати інші функції на веб-сторінці. Це допомагає запобігти атаки з використанням міжсайтового скриптинга (XSS) та інші типи атак з впровадженням коду.

  6. Використовуйте сегментацію мережі, щоб запобігти доступу зловмисників до конфіденційних даних і систем, ізолювати їх від решти мережі.

  7. Системи виявлення та запобігання вторгнень можуть відслідковувати мережевий трафік і виявляти атаки на зв'язок по протоколу SSL / TLS, попереджаючи системних адміністраторів про потенційні порушення безпеки.

  8. Регулярно оновлюйте і виправляйте програмне забезпечення, включаючи бібліотеки SSL / TLS і платформи веб-додатків, щоб переконатися, що відомі уразливості виправлені і що програмне забезпечення використовує новітні протоколи та алгоритми шифрування.

  9. Навчіть співробітників навичкам безпеки, щоб запобігти фішингові і соціально-інженерні атаки, які можуть поставити під загрозу зв'язок по протоколу SSL / TLS. Це включає в себе навчання співробітників того, як виявляти та уникати підозрілих електронних листів, веб-сайтів і вкладень.

Висновок

Недостатній захист транспортного рівня це серйозна уразливість в системі безпеки, яка впливає на конфіденційність, цілісність і доступність конфіденційних даних. Зловмисники можуть використовувати цю уразливість для перехоплення і зміни переданих даних, обходу механізмів аутентифікації і контролю доступу, а також для запуску різних типів атак, таких як атаки типу "людина посередині", перехоплення сеансу і впровадження контенту.

Щоб зменшити цю уразливість, організації повинні впровадити безпечні протоколи та алгоритми шифрування, запровадити перевірку сертифікатів, використовувати HTTP Strict Transport Security (HSTS), використовувати захищені файли cookie, використовувати політику безпеки контенту (CSP), використовувати сегментацію мережі, впроваджувати системи виявлення та запобігання вторгнень, регулярно оновлювати і виправляти програмне забезпечення, а також навчати співробітників обізнаність про безпеку.

Інші Послуги

Готові до безпеки?

зв'язатися з нами