24 Лют, 2023

Неправильне налаштування веб-сервера і веб-додатки

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Неправильне налаштування веб-сервера і веб-додатки відноситься до неправильної налаштування або конфігурації веб-серверів або веб-додатків, що може призвести до появи вразливостей в системі безпеки, які можуть бути використані зловмисниками. Неправильні установки можуть містити установки, пов'язані з аутентифікацією користувача, контролем доступу, правами доступу до файлів, шифрування, мережевими портами і багатьом іншим.

Приклад уразливого коду на різних мовах програмування:


В PHP:

				
					$db_host = 'localhost';
$db_user = 'root';
$db_password = 'password';

mysql_connect($db_host, $db_user, $db_password);

				
			


У наведеному вище коді облікові дані бази даних жорстко закодовано і зберігаються у вигляді звичайного тексту, що є поширеною помилкою. Зловмисник може легко отримати реєстраційні дані, якщо отримає доступ до вихідного коду, що може призвести до серйозної витоку даних.

• В Java:

				
					import java.sql.*;

Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "root", "password");

				
			


У цьому фрагменті коду рядок підключення до бази даних містить жорстко задані облікові дані бази даних, що є поганою практикою. Зловмисник отримав доступ до вихідного коду, може легко отримати облікові дані і використовувати їх для отримання несанкціонованого доступу до бази даних.

• в Python:

				
					import requests

response = requests.get('http://example.com', allow_redirects=True)
print(response.text)

				
			


У цьому прикладі allow_redirects параметр має значення True, що може дозволити зловмиснику перенаправляти користувачів на шкідливий веб-сайт. Це може бути використано для крадіжки конфіденційної інформації або проведення фішингових атак.

Приклади неправильної налаштування веб-сервера і веб-додатки

Атака з обходом каталогу:

В цій атаці зловмисник намагається отримати доступ до файлів за межами кореневого каталогу веб-сервера, використовуючи неправильно сконфігурований веб-сервер. Наприклад, якщо сервер неправильно налаштований для обмеження доступу до конфіденційних файлів або каталогів, зловмисник може використовувати спеціально створений URL-адресу для переходу до файлів і їх завантаження.

SQL-ін'єкційна атака:

В цій атаці зловмисник використовує уразливість в веб-додатку, яка дозволяє йому впроваджувати шкідливий код SQL запит бази даних. Це може бути зроблено шляхом використання неправильно настроєний веб-сервер, який не виконує належну очистку користувальницького введення або перевірку інтерфейсу вводу, що може призвести до несанкціонованого доступу до конфіденційних даних або дозволити зловмиснику виконувати довільні команди SQL.

Атака з використанням міжсайтового скриптинга (XSS):

В ході цієї атаки зловмисник впроваджує шкідливий код на веб-сторінку, яка потім виконується в браузері користувача. Це може бути зроблено шляхом використання неправильно настроєний веб-додатки, яке неправильно очищає дані, що вводяться користувачем або перевіряє дані, що вводяться користувачем. Потім зловмисник може вкрасти конфіденційні дані або виконати дії від імені користувача, такі як переказ коштів або відправлення електронних листів.

Атака на неправильну конфігурацію сервера:

В цій атаці зловмисник використовує неправильно сконфігурований веб-сервер, використовуючи відому уразливість або помилку конфігурації. Наприклад, якщо сервер неправильно налаштований для обмеження доступу до конфіденційних файлів або каталогів, зловмисник може використовувати спеціально створений URL-адресу для переходу до файлів і їх завантаження.

Методи підвищення привілеїв для неправильної налаштування веб-сервера і веб-додатки

Використання облікових даних за промовчанням:

Багато веб-сервери або веб-додатки поставляються з іменами користувачів і паролями за замовчуванням, які широко відомі. Якщо ці облікові дані не будуть змінені або видалені, зловмисник може використовувати їх для отримання доступу до системи і підвищення своїх привілеїв.

Використання неправильно налаштованих дозволів для файлів і каталогів:

Якщо веб-сервер або веб-додаток мають неправильно налаштовані права доступу до файлів або каталогів, зловмисник може підвищити свої привілеї, отримавши доступ до файлів або каталогів, до яких у нього не повинно бути доступу. Наприклад, якщо файл налаштований дозвіл на читання і запис для всіх користувачів, зловмисник може мати можливість змінювати файл і виконувати довільний код.

Використання уразливостей у веб-додатку:

Якщо веб-додаток не захищена належним чином, зловмисник може використовувати уразливості в коді для підвищення своїх привілеїв. Наприклад, зловмисник може використовувати методи впровадження SQL для отримання доступу до конфіденційних даних або виконання довільного коду на сервері.

Використання неправильно налаштованих мережевих служб:

Якщо на веб-сервері запущено непотрібні або неправильно налаштовані мережеві служби, зловмисник може використовувати ці служби для підвищення своїх привілеїв. Наприклад, якщо на сервері запущено застаріла версія служби з відомою вразливістю, зловмисник може скористатися цією уразливістю для отримання доступу більш високого рівня.

Загальна методологія та контрольний список для неправильної налаштування веб-сервера і веб-додатки

Методологія:

  1. РекогносцировкаВиконайте розвідку цільового веб-сервера і веб-додатки для збору такої інформації, як тип веб-сервера, операційна система, структура веб-додатки та інша відповідна інформація. Ця інформація може бути зібрана з допомогою різних методів, таких як сканування портів, захоплення банерів і зняття відбитків пальців.

  2. Перерахування: Веб-сервер і веб-додаток для виявлення можливих вразливостей і неправильних налаштувань. Це можна зробити, вивчивши додаток, проаналізувавши відповіді від сервера і перевіривши конфігурації за замовчуванням, слабкі паролі та інші потенційні уразливості.

  3. Оцінка Сканування: Використовуйте інструменти сканування вразливостей для автоматичного виявлення вразливостей і неправильних налаштувань на цільовому веб-сервері і веб-додатку. Це може включати сканування на наявність відомих вразливостей у версіях програмного забезпечення, виявлення відсутніх виправлень безпеки і виявлення стандартних або слабких конфігурацій.

  4. Експлуатація: Спроба використовувати будь-які виявлені вразливості або неправильні налаштування для отримання несанкціонованого доступу до цільового веб-сервера і веб-додатком. Це може включати такі методи, як впровадження SQL, обхід каталогів та інші атаки, які використовують слабкі конфігурації або уразливості.

  5. Звітність: Документуйте всі виявлені вразливості або неправильні налаштування, включаючи вплив уразливості і можливі кроки по виправленню. Ця інформація може бути використана для підвищення безпеки цільового веб-сервера і веб-додатки.

  6. Повторне тестування: Регулярно проводите повторне тестування веб-сервера і веб-додатки для виявлення нових вразливостей або неправильних налаштувань, які могли з'явитися згодом. Це може допомогти гарантувати, що безпека веб-сервера і веб-додатки залишається ефективною з плином часу.

Контрольний список:

  1. Конфігурація сервера:

    • Перевірте, настроєний веб-сервер на запобігання атак з обходом каталогів.

    • Переконайтеся, що веб-сервер налаштований на використання безпечних протоколів (наприклад, SSL / TLS).

    • Перевірте, настроєний веб-сервер на запобігання поширених HTTP-атак (наприклад, XSS, CSRF і т. д.).

    • Перевірте, чи були змінені облікові дані для входу за замовчуванням для веб-сервера або веб-додатки.

  2. Конфігурація веб-додатки:

    • Перевірте, чи веб-додаток безпечного входу (наприклад, політика надійного пароля, блокування облікового запису після певної кількості невдалих спроб входу і т. д.).

    • Перевірте, чи веб-додаток безпечне керування сеансами (наприклад, тайм-аут сеансу, безпечна обробка файлів cookie тощо).

    • Переконайтеся, що веб-додаток не вразливе для атак з використанням SQL-ін'єкцій.

    • Перевірте, чи правильно реалізована перевірка вхідних даних, щоб запобігти шкідливі вхідні дані.

    • Переконайтеся, що веб-додаток налаштоване для запобігання поширених атак веб-додатків (наприклад, XSS, CSRF і т. д.).

    • Переконайтеся, що веб-додаток налаштоване таким чином, щоб обмежити доступ не автентифікованих користувачів до конфіденційних даних.

  3. Зміцнення сервера:

    • Переконайтеся, що непотрібні служби відключені або видалені.

    • Перевірте, чи настроєна операційна система сервера з використанням безпечних параметрів (наприклад, політики паролів, брандмауерів і т. д.).

    • Перевірте, оновлено програмне забезпечення сервера і встановлені останні виправлення безпеки.

    • Переконайтеся, що облікові записи користувачів за умовчанням видалені або відключені.

    • Перевірте, чи правильно реалізовані засоби контролю доступу до сервера для запобігання несанкціонованого доступу.

  4. Резервне копіювання і аварійне відновлення:

    • Переконайтеся, що існує план резервного копіювання і аварійного відновлення.

    • Переконайтеся, що резервне копіювання виконується регулярно перевіряється на цілісність і повноту.

  5. Регулярне тестування:

    • Переконайтеся, що проводяться регулярні оцінки вразливостей і тестування на проникнення для виявлення потенційних вразливостей і неправильних налаштувань.

Набір інструментів для експлуатації Неправильне налаштування веб-сервера і веб-додатки

Автоматизовані інструменти:

  • Nikto – сканер веб-сервер з відкритим вихідним кодом, який може виявляти відомі уразливості, конфігурації за замовчуванням і інші проблеми. Це інструмент командного рядка, який може сканувати понад 6700 потенційно небезпечних файлів або програм.

  • OWASP ZAP – сканер веб-додатків з відкритим вихідним кодом, який може виявляти уразливості, такі як впровадження SQL, міжсайтовий скриптінг (XSS) і обхід каталогів. Його можна використовувати як пасивний, так і активний сканер.

  • Burp Suite – популярний інструмент тестування безпеки веб-додатків, який можна використовувати для виявлення і використання вразливостей, таких як впровадження SQL, міжсайтовий скриптінг (XSS) і обхід каталогів. Це платний інструмент з безкоштовною версією, яка пропонує обмежену функціональність.

  • Metasploit – платформа для розробки, тестування та виконання експлойтів проти уразливих систем. Його можна використовувати для перевірки вразливостей веб-додатків, таких як впровадження SQL, віддалене виконання коду і включення файлів.

  • Acunetix – комерційний сканер веб-вразливостей, який може ідентифікувати широкий спектр вразливостей, включаючи впровадження SQL, міжсайтовий скриптінг (XSS) і включення файлів. Він також включає в себе функцію перевірки на наявність неправильно сконфігурованих веб-серверів.

  • OpenVAS – сканер вразливостей з відкритим вихідним кодом, який може виявляти відомі уразливості в веб-серверах і веб-додатках. Він також може сканувати на наявність стандартних або слабких конфігурацій.

  • Nessus – комерційний сканер вразливостей, який може виявляти широкий спектр вразливостей, в тому числі на веб-серверах і веб-додатках. Він включає в себе понад 130 000 плагінів для виявлення потенційних вразливостей.

  • W3af – платформа для атаки і аудиту веб-додатків з відкритим вихідним кодом, яка може виявляти і використовувати уразливості, такі як впровадження SQL, міжсайтовий скриптінг (XSS) і обхід каталогів. Він включає в себе як активні, так і пасивні можливості сканування.

  • Qualys – хмарний сканер вразливостей, який може виявляти широкий спектр уразливостей у веб-серверах і веб-додатках. Він включає в себе такі функції, як сканування веб-додатків, брандмауер веб-додатків та моніторинг відповідності вимогам.

  • Nexpose – сканер вразливостей, який може виявляти відомі уразливості в веб-серверах і веб-додатках. Він також може виконувати пошук мережі і управління активами.

Ручні Інструменти:

  • SQLMap – популярний інструмент командного рядка для виявлення і використання вразливостей SQL-ін'єкцій у веб-додатках. Його можна використовувати для витягання даних з баз даних, виконання команд командного рядка і отримання контролю над сервером.

  • DirBuster – інструмент, який може переглядати каталоги і файли на веб-серверах, щоб виявити прихований вміст. Його можна використовувати для виявлення неправильно налаштованих серверів або слабких дозволів каталогу.

  • Exploit-DB – база даних експлойтів для відомих вразливостей веб-серверах і веб-додатках. Його можна використовувати для пошуку експлойтів, націлених на конкретні уразливості.

  • BeEF – фреймворк для використання веб-браузерів і їх розширень. Його можна використовувати для тестування безпеки веб-браузерів і виявлення вразливостей, таких як XSS і CSRF.

  • Manual Testing Toolkit (MTT) – набір інструментів і методів для ручного тестування веб-додатків. Він включає в себе такі інструменти, як Burp Suite, OWASP ZAP і SQLMap, а також поради та методи ручного тестування.

  • sqlninja – інструмент, який може автоматизувати атаки SQL-ін'єкцій проти веб-додатків. Його можна використовувати для витягання даних з баз даних, виконання команд командного рядка і отримання контролю над сервером.

  • Netcat – інструмент командного рядка, який можна використовувати для підключення до сервера і виконання команд. Його можна використовувати для ідентифікації відкритих портів і служб на сервері і виконання різних завдань, таких як передача файлів, створення бекдорів і виконання команд командної оболонки.

  • Hydra – інструмент для злому паролів, який можна використовувати для злому паролів для веб-додатків і служб. Його можна використовувати для перевірки безпеки механізмів автентифікації, таких як базова автентифікація HTTP і аутентифікація на основі форм.

  • Skipfish – сканер безпеки веб-додатків, який можна використовувати для виявлення вразливостей, таких як впровадження SQL, XSS і включення файлів. Він спроектований так, щоб бути швидким та ефективним, і може обробляти великомасштабні сканування.

  • Sqlmap Tamper Scripts – набір скриптів несанкціонованого доступу, які можна використовувати з SQLMap обхід брандмауерів веб-додатків і ухилення від виявлення. Вони можуть змінювати корисну навантаження SQL-ін'єкції, щоб уникнути виявлення механізмами безпеки.

Плагіни для браузера:

  • Web Developer – розширення для браузера, яке можна використовувати для перевірки безпеки веб-додатків. Він включає в себе такі функції, як управління файлами cookie, декодування URL-адрес і маніпулювання формами.

  • Hackbar – розширення для браузера, яке можна використовувати для перевірки вразливостей SQL-ін'єкцій. Це дозволяє користувачеві вводити SQL-код безпосередньо в веб-форму і переглядати результати.

  • Cookie Manager+ – розширення для браузера, яке можна використовувати для управління файлами cookie і перевірки безпеки веб-додатків. Це дозволяє користувачеві переглядати, редагувати і видаляти файли cookie для певного веб-сайту.

  • XSS-Me – розширення для браузера, яке можна використовувати для перевірки вразливостей міжсайтового скриптинга (XSS). Він включає в себе набір тестових прикладів, які можуть бути запущені у веб-додатку для виявлення вразливостей XSS.

  • Tamper Data – розширення браузера, яке може використовуватися для перехоплення і зміни HTTP / HTTPS запитів і відповідей. Його можна використовувати для перевірки на наявність вразливостей, таких як впровадження SQL і XSS.

Загальна перерахування слабких місць (CWE)

• CWE-829: Включення функціональності з ненадійною сфери управління – ця вразливість виникає, коли веб-додатки включають функціональність з ненадійного джерела, такого як стороння бібліотека або плагін, що може призвести до вразливостей в системі безпеки.

• CWE-200: Передача конфіденційної інформації неавторизованого суб'єкту – ця вразливість виникає, коли веб-додатки не можуть належним чином захистити конфіденційну інформацію, таку як паролі та особисті дані від несанкціонованого доступу.

• CWE-346: Помилка перевірки джерела – ця вразливість виникає, коли веб-додаткам не вдається належним чином перевірити джерело запиту, що може призвести до атак з підробкою міжсайтових запитів (CSRF).

• CWE-434: Необмежена завантаження файлу з небезпечним типом – ця вразливість виникає, коли веб-додатки дозволяють користувачам завантажувати файли небезпечних типів, такі як виконувані файли або файли сценаріїв, які можуть бути використані для виконання шкідливого коду.

• CWE-522: Недостатньо захищені облікові дані – ця вразливість виникає, коли веб-додатки не можуть належним чином захистити облікові дані користувача, такі як паролі або токени сеансу, які можуть бути викрадені зловмисниками.

• CWE-798: Використання жорстко запрограмованих облікових даних - ця вразливість виникає, коли веб–додатки включають жорстко запрограмовані облікові дані, такі як паролі або ключі API, які можуть бути легко виявлені і використані зловмисниками.

• CWE-807: Залежність від ненадійних вхідних даних при прийнятті рішення про безпеки – ця вразливість виникає, коли веб-додаткам не вдається належним чином перевірити дані, що вводяться користувачем, що може привести до прийняття рішень про безпеку на основі ненадійних даних.

• CWE-434: Необмежена завантаження файлу з небезпечним типом – ця вразливість виникає, коли веб-додатки дозволяють користувачам завантажувати файли небезпечних типів, такі як виконувані файли або файли сценаріїв, які можуть бути використані для виконання шкідливого коду.

• CWE-352: Підробка міжсайтових запитів (CSRF) – Ця вразливість виникає, коли веб-додаткам не вдається належним чином перевірити джерело запиту, що може призвести до несанкціонованих дій, котрі від імені користувача.

• CWE-295: Неправильна перевірка сертифіката – ця вразливість виникає, коли веб-додаткам не вдається належним чином перевірити сертифікати SSL / TLS, що може призвести до атаки "людина посередині" і крадіжки даних.

Топ-10 CVE, пов'язаних з неправильною налаштування веб-сервера і веб-додатки

• CVE-2023-25577 – Werkzeug - це всеосяжна бібліотека веб-додатків WSGI. До версії 2.2.3 аналізатор даних складових форм Werkzeug буде аналізувати необмежену кількість частин, включаючи частини файлів. Частини можуть становити невелику кількість байт, але для аналізу кожної потрібно процесорний час, і в якості даних Python може використовуватися більше пам'яті. Якщо запит може бути відправлений на кінцеву точку, яка звертається до "request.data", "request.form", `request.files` або `request.get_data(parse_form_data=False)`, це може призвести до несподівано високому використання ресурсів. Це дозволяє зловмисникові викликати відмову в обслуговуванні, відправивши оброблені дані складові кінцевої точки, яка їх проаналізує. Необхідну кількість процесорного часу може перешкодити робочим процесам обробляти законні запити. Необхідний обсяг оперативної пам'яті може призвести до зупинки процесу через брак пам'яті. Необмежена кількість частин файлу може використовувати пам'ять і дескриптори файлів. Якщо безперервно відправляється багато одночасних запитів, це може призвести до вичерпання або загибелі всіх доступних працівників. Версія 2.2.3 містить виправлення для цієї проблеми.

• CVE-2023-24021 – Неправильна обробка байтів '\ 0' при завантаженні файлів в ModSecurity до версії 2.9.7 може призвести до обходу брандмауера веб-додатків і переповнення буферу брандмауера веб-додатків при виконанні правил, зчитувальних колекцію FILES_TMP_CONTENT.

• CVE-2023-23934 – Werkzeug - це всеосяжна бібліотека веб-додатків WSGI. Браузери можуть дозволяти "безіменні" файли cookie, які виглядають як `= value` замість `key =value`. Уразливий браузер може дозволити скомпрометированному додатком на сусідньому піддомені використовувати це, щоб встановити файл cookie типу `=__Host-test = bad` для іншого піддомену. Werkzeug до версії 2.2.3 буде аналізувати файл cookie `=__Host-test=bad` як __Host-test=bad`. Якщо додаток Werkzeug запущено поруч з вразливим або шкідливим поддоменом, який встановлює такий файл cookie уразливого браузера, додаток Werkzeug побачить значення невірного файлу cookie, але допустимий ключ файлів cookie. Проблема виправлена в Werkzeug 2.2.3.

• CVE-2023-23856 – В SAP BusinessObjects bi (інтерфейс веб-аналітики) – версія 430, деякі виклики повертають json з неправильним типом вмісту в заголовку відповіді. В результаті користувальницьке додаток, яке безпосередньо викликає jsp DHTML Web Intelligence, може бути вразливою для XSS-атак. При успішній експлуатації зловмисник може мати незначний вплив на цілісність програми.

• CVE-2023-23608 – Spotipy - це полегшена бібліотека Python для веб-API Spotify. У версіях, що передують 2.22.1, якщо шкідливий URI передається бібліотеці, бібліотеку можна обманом змусити виконати операцію на кінцевій точці API, відмінною від передбачуваної. Код, який Spotipy використовує для аналізу URI і URL-адрес, що дозволяє зловмисникові вставляти довільні символи в шлях, який використовується для запитів API. Оскільки можна увімкнути "..", зловмисник може передати, наприклад, пошук треку через spotifyApi.track() на довільну кінцеву точку API, таку як плейлисти, але це можливо і для інших кінцевих точок. Вплив цієї проблеми значною мірою залежить від того, які операції виконує клієнтське застосування при обробці URI від користувача і як воно використовує відповіді, які отримує від API. Ця проблема виправлена у версії 2.22.1.

• CVE-2023-22942 – In Splunk Enterprise versions below 8.1.13, 8.2.10, and 9.0.4, a cross-site request forgery in the Splunk Secure Gateway (SSG) app in the ‘kvstore_client’ REST endpoint lets a potential attacker update SSG [App Key Value Store (KV store)](https://docs.splunk.com/Documentation/Splunk/latest/Admin/AboutKVstore) collections using an HTTP GET request. SSG is a Splunk-built app that comes with Splunk Enterprise. The vulnerability affects instances with SSG and Splunk Web enabled.

• CVE-2023-22939 – In Splunk Enterprise versions below 8.1.13, 8.2.10, and 9.0.4, the ‘map’ search processing language (SPL) command lets a search [bypass SPL safeguards for risky commands](https://docs.splunk.com/Documentation/Splunk/latest/Security/SPLsafeguards). The vulnerability requires a higher privileged user to initiate a request within their browser and only affects instances with Splunk Web enabled.

• CVE-2023-22935 – In Splunk Enterprise versions below 8.1.13, 8.2.10, and 9.0.4, the ‘display.page.search.patterns.sensitivity’ search parameter lets a search bypass [SPL safeguards for risky commands](https://docs.splunk.com/Documentation/Splunk/latest/Security/SPLsafeguards). The vulnerability requires a higher privileged user to initiate a request within their browser and only affects instances with Splunk Web enabled.

• CVE-2023-22934 – In Splunk Enterprise versions below 8.1.13, 8.2.10, and 9.0.4, the ‘pivot’ search processing language (SPL) command lets a search bypass [SPL safeguards for risky commands](https://docs.splunk.com/Documentation/Splunk/latest/Security/SPLsafeguards) using a saved search job. The vulnerability requires an authenticated user to craft the saved job and a higher privileged user to initiate a request within their browser. The vulnerability affects instances with Splunk Web enabled.

• CVE-2023-22933 – У версіях Splunk Enterprise нижче 8.1.13, 8.2.10 і 9.0.4 подання дозволяє створювати межсайтовые сценарії (XSS) на розширюваному мовою розмітки (XML) через атрибут LayoutPanel в тегу 'module'. Уразливість зачіпає екземпляри з включеним Splunk Web.

Неправильне налаштування веб-сервера і веб-додатки подвиги

  • SQL-ін'єкція (SQLi) – Це тип уразливості веб-програми, яка дозволяє зловмисникам виконувати довільний SQL-код у внутрішній базі даних веб-додатки, потенційно надаючи їм доступ до конфіденційних даних або можливість змінювати або видаляти дані.

  • Міжсайтовий скриптінг (XSS) – Це тип вразливості, який дозволяє зловмисникам впроваджувати шкідливий код у веб-додаток, потенційно дозволяючи їм вкрасти конфіденційну інформацію або отримати контроль над додатком.

  • Віддалене виконання коду (RCE) – Це тип вразливості, який дозволяє зловмисникам виконувати довільний код на веб-сервері, потенційно надаючи їм повний контроль над сервером і можливість красти або змінювати дані.

  • Уразливості при включенні файлів – Це тип вразливості, який дозволяє зловмисникам включати файли з віддаленого сервера або файлової системи, потенційно надаючи їм доступ до конфіденційної інформації або можливість виконання довільного коду.

  • Уразливості при обході каталогів – Це тип вразливості, який дозволяє зловмисникам отримати доступ до файлів або каталогів за межами кореневого веб-каталогу, потенційно надаючи їм доступ до конфіденційної інформації або можливість виконання довільного коду.

  • Підробка запитів на стороні сервера (SSRF) – Це тип вразливості, який дозволяє зловмисникам відправляти запити з уразливого веб-додатки в інші системи або сервери, потенційно дозволяючи їм отримати доступ до конфіденційної інформації, або отримати контроль над додатком.

  • Уразливості при впровадженні команд – Це тип вразливості, який дозволяє зловмисникам виконувати довільні команди на веб-сервері, потенційно надаючи їм повний контроль над сервером і можливість красти або змінювати дані.

  • Атаки на зовнішню сутність XML (XXE) – Це тип вразливості, який дозволяє зловмисникам включати зовнішні об'єкти в XML-документи, потенційно надаючи їм доступ до конфіденційної інформації або можливість виконувати довільний код.

  • Небезпечні прямі посилання на об'єкти (IDOR) – Це тип вразливості, який дозволяє зловмисникам отримувати доступ до даних і змінювати їх безпосередньо, маніпулюючи URL-адресами або іншими параметрами, потенційно надаючи їм доступ до конфіденційної інформації або можливість змінювати або видаляти дані.

  • Впровадження шаблонів на стороні сервера (SSTI) – Це тип вразливості, який дозволяє зловмисникам впроваджувати та виконувати шкідливий код в шаблони на стороні сервера, що потенційно дає їм повний контроль над сервером і можливість красти або змінювати дані.

Практикуючись в тестуванні на Неправильне налаштування веб-сервера і веб-додатки

Створення веб-додатки з відомими уразливими місцями наприклад, впровадження SQL-коду, межсайтовые сценарії або уразливості при обході каталогів. Потім спробуйте виявити і використовувати ці уразливості, виконавши різні типи тестів.

Використовуйте існуючі вразливі веб-додатки наприклад, до Біса вразливе веб-додаток (DVWA) або WebGoat. Ці програми розроблені з урахуванням різних типів вразливостей, які ви можете протестувати.

Використовуйте інструменти наприклад, OWASP ZAP, Burp Suite або Nessus для пошуку уразливостей у веб-додатку. Ці інструменти можуть виявляти поширені неправильні налаштування і уразливості, дозволяючи вам зосередити свої зусилля з тестування на найбільш важливих областях.

Практикуйте різні методи ручного тестування наприклад, тестування перевірки правильності вхідних даних, тестування контролю доступу і тестування управління сеансами. Спробуйте виявити уразливості і неправильні налаштування, протестувавши різні поле введення URL-адреси і токени сеансу.

Беріть участь в програмах винагороди за помилки наприклад, HackerOne або Bugcrowd для тестування реальних веб-додатків на наявність вразливостей. Ці програми дозволяють тестувати реальні веб-додатки та отримувати винагороду за виявлення проблем безпеки.

Для вивчення неправильної конфігурації веб-сервера і веб-додатки

OWASP Топ-10: Проект Open Web Application Security Project (OWASP) надає список 10 основних ризиків безпеки веб-додатків. Цей список включає в себе безліч неправильних налаштувань і вразливостей, про які ви повинні знати.

Керівництво хакера веб-додатків: Ця книга Девіда Штуттарда і Маркуса Пінто містить вичерпне керівництво по тестуванню безпеки веб-додатків. Він охоплює безліч неправильних налаштувань і вразливостей, з якими ви, ймовірно, зіткнетеся.

Керівництво по тестуванню OWASP: Керівництво по тестуванню OWASP містить докладне керівництво з тестування веб-додатків на наявність вразливостей в системі безпеки. Він включає розділи, присвячені неправильним налаштувань, а також іншим типам вразливостей.

Розв'язаний Метасплоит: Metasploit - популярний інструмент для тестування і використання вразливостей веб-додатків. Керівництво Metasploit Unleashed містить докладний введення у використання Metasploit для тестування безпеки.

Хактбокс: HackTheBox - це веб-сайт, який надає віртуальні машини для тестування безпеки веб-додатків. Він включає в себе безліч вразливих комп'ютерів, які ви можете протестувати, включаючи машини з неправильними налаштуваннями.

ВулнХаб: VulnHub - це ще один веб-сайт, що надає віртуальні машини для тестування безпеки веб-додатків. Як і HackTheBox, він включає в себе безліч вразливих машин з неправильними налаштуваннями.

YouTube: Існує безліч каналів YouTube, які надають навчальні посібники з тестування безпеки веб-додатків. Деякі популярні канали включають The Cyber Mentor, John Hammond і LiveOverflow.

Книги з оглядом неправильної налаштування веб-сервера і веб-додатки

Керівництво хакера веб-додатків: пошук і використання недоліків безпеки автор: Дэффидд Штуттард і Маркус Пінто – Ця книга вважається біблією безпеки веб-додатків. Він охоплює широке коло питань, включаючи неправильні налаштування, і містить практичні рекомендації по виявленню і використанню недоліків безпеки.

Заплутана мережа: керівництво по забезпеченню безпеки сучасних веб-додатків Михайло Залевський – Ця книга присвячена складнощів сучасних веб-додатків і того, як їх можна використовувати. У ньому розглядаються багато неправильні налаштування і даються практичні поради по забезпеченню безпеки веб-додатків.

Веб-злом 101: Як заробити гроші, зламуючи етично Пітер Яворські – Ця книга призначена для початківців і містить безпека веб-додатків. Він охоплює безліч неправильних налаштувань і включає в себе реальні приклади того, як їх можна використовувати.

Освоєння сучасного веб-тестування на Проникнення автор: Пракхар Прасад – Ця книга являє собою всеосяжне керівництво по тестуванню безпеки веб-додатків. У ньому розповідається про багатьох неправильних конфігураціях і містяться практичні поради про те, як їх виявити і використовувати.

Основи веб-злому: інструменти і методи для атаки в Інтернеті автор: Джош Паулі – Ця книга являє собою введення в тестування безпеки веб-додатків. У ньому розглядаються багато неправильні налаштування і даються практичні поради про те, як їх виявити і використовувати.

Злом відкритих веб-додатків: Секрети і рішення безпеки веб-додатків автор: Джоел Скамбрей, Майк Шема і Калеб Сіма – Ця книга являє собою всеосяжне керівництво по тестуванню безпеки веб-додатків. У ньому розглядаються багато неправильні налаштування і даються практичні поради про те, як їх виявити і використовувати.

Кулінарна книга з тестування веб-безпеки: виявлення вразливостей і підвищення вашого веб-безпеки Пако Хоуп і Бен Вальтер – У цій книзі даються практичні поради про те, як перевірити веб-додатки на наявність вразливостей в системі безпеки. У ньому розглядаються багато неправильні налаштування і даються практичні поради про те, як їх виявити і використовувати.

Керівництво по тестуванню OWASP by The Open Web Application Security Project (OWASP) – Ця книга являє собою повне керівництво по тестування веб-додатків на наявність вразливостей в системі безпеки. Він охоплює безліч неправильних налаштувань, а також інші типи вразливостей.

Metasploit: Керівництво з тестування на проникнення Девід Кеннеді, Джим о'горман, Девон Кернс і Мати Ахароні – Ця книга являє собою повне керівництво по використанню платформи Metasploit для тестування безпеки веб-додатків. У ньому розглядаються багато неправильні налаштування і даються практичні поради про те, як їх виявити і використовувати.

Злом сірої капелюхи: керівництво етичного хакера Даніель Регаладо, Шон Харріс і Аллен Харпер – Ця книга являє собою всеосяжне керівництво по етичним злому, включаючи тестування безпеки веб-додатків. У ньому розглядаються багато неправильні налаштування і даються практичні поради про те, як їх виявити і використовувати.

Список неправильної конфігурації веб-сервера і веб-додатки корисних навантажень

  • Корисні навантаження SQL-ін'єкцій – Ці корисні навантаження використовуються для використання неправильно сконфігурованих баз даних SQL, зазвичай шляхом впровадження шкідливого коду SQL в поле вводу.

  • Корисне навантаження для міжсайтових сценаріїв (XSS) – Ці корисні навантаження використовуються для використання уразливостей у веб-додатках, які дозволяють зловмиснику впроваджувати шкідливий код веб-сторінки, що переглядається іншими користувачами.

  • Корисне навантаження при включенні файлів – Ці корисні навантаження використовуються для використання уразливостей у веб-додатках, які дозволяють зловмиснику включати і запускати довільні файли на сервері.

  • Корисне навантаження при обході каталогів – Ці корисні навантаження використовуються для використання уразливостей у веб-додатках, які дозволяють зловмиснику отримати доступ до файлів і каталогів за межами кореневого веб-каталогу.

  • Корисне навантаження для введення команд – Ці корисні навантаження використовуються для використання уразливостей у веб-додатках, які дозволяють зловмиснику виконувати довільні команди на сервері.

  • Корисне навантаження для підробки запитів на стороні сервера (SSRF) – Ці корисні навантаження використовуються для використання уразливостей у веб-додатках, які дозволяють зловмиснику відправляти довільні запити з сервера в інші внутрішні чи зовнішні системи.

  • Корисні навантаження для впровадження XML – Ці корисні навантаження використовуються для використання уразливостей у веб-додатках, які дозволяють зловмиснику впроваджувати шкідливий код поля введення XML.

  • Корисне навантаження впровадження шаблонів на стороні сервера (SSTI) – Ці корисні навантаження використовуються для використання уразливостей у веб-додатках, які дозволяють зловмиснику впроваджувати шкідливий код в шаблони на стороні сервера.

  • Корисні навантаження, що розділяють HTTP-відповіді – Ці корисні навантаження використовуються для використання уразливостей у веб-додатках, які дозволяють зловмиснику вводити шкідливі HTTP-заголовки у відповідь сервера.

  • Корисне навантаження для впровадження LDAP – Ці корисні навантаження використовуються для використання уразливостей у веб-додатках, які дозволяють зловмиснику впроваджувати шкідливий код в LDAP запити.

Як захиститися від неправильної налаштування веб-сервера і веб-додатки

  1. Регулярно оновлюйте веб-сервери, операційні системи і додатки останніми виправленнями і оновленнями безпеки для усунення відомих вразливостей.

  2. Використовуйте надійні, складні паролі для всіх облікових записів і переконайтеся, що паролі не є загальними для декількох облікових записів. Розгляньте можливість використання менеджера паролів для створення та зберігання складних паролів.

  3. Вимкніть непотрібні служби і порти, щоб зменшити поверхню атаки веб-сервера.

  4. Використовуйте HTTPS для шифрування даних, що передаються між веб-сервером і клієнтами, і забезпечення безпечних підключень шляхом налаштування веб-сервера для перенаправлення HTTP-запитів на HTTPS.

  5. Вбудуйте контроль доступу, щоб гарантувати, що користувачі мають тільки ті дозволи, які необхідні для виконання їх ролей. Розгляньте можливість використання багатофакторної аутентифікації для додаткового захисту конфіденційних облікових записів.

  6. Створюйте резервні копії даних вашого веб-сервера, включаючи код програми, бази даних і файли конфігурації, і зберегти резервні копії в безпечному віддаленому місці.

  7. Регулярно переглядайте журнали веб-сервера, щоб виявляти будь-які підозрілі дії, такі як спроби несанкціонованого доступу або незвичайні схеми трафіку, і реагувати на них.

  8. Вибирайте платформи веб-додатків із вбудованими функціями безпеки, такими як перевірка вхідних даних, кодування вихідних даних, а також елементи управління аутентифікацією і авторизацією.

  9. Регулярно проводите оцінку вразливостей і тестування на проникнення, щоб виявити і усунути потенційні проблеми безпеки, перш ніж вони можуть бути використані зловмисниками.

  10. Навчіть співробітників передовим методам забезпечення безпеки веб-серверів і додатків, таких як відмова від обміну паролями, повідомлення про підозрілих діях і обережність при відкритті електронних листів або переході по посиланнях.

Заходи по пом'якшенню наслідків для Неправильне налаштування веб-сервера і веб-додатки

  1. Вибирайте платформи веб-додатків із вбудованими функціями безпеки, такими як перевірка вхідних даних, кодування вихідних даних, а також елементи управління аутентифікацією і авторизацією.

  2. Використовуйте інструменти управління конфігурацією для автоматизації розгортання і керування веб-серверами і додатками, знижуючи ризик неправильних налаштувань з-за помилок, зроблених вручну.

  3. Налаштуйте веб-сервери і програми з використанням безпечних налаштувань за замовчуванням, таких як відключення непотрібних служб і портів, а також використання надійних протоколів шифрування.

  4. Проводьте регулярні аудити безпеки та оцінки вразливостей для виявлення та виправлення неправильних налаштувань і інших проблем безпеки.

  5. Вбудуйте засоби контролю доступу для обмеження доступу до конфіденційних даних і функцій і використовуйте управління доступом на основі ролей, щоб гарантувати, що користувачі мають тільки дозволи, необхідні для виконання своїх ролей.

  6. Вбудуйте багатофакторну аутентифікацію для додаткового захисту конфіденційних облікових записів.

  7. Регулярно переглядайте журнали веб-сервера, щоб виявляти будь-які підозрілі дії, такі як спроби несанкціонованого доступу або незвичайні схеми трафіку, і реагувати на них.

  8. Створюйте резервні копії даних вашого веб-сервера, включаючи код програми, бази даних і файли конфігурації, і зберегти резервні копії в безпечному віддаленому місці.

  9. Навчіть співробітників передовим методам забезпечення безпеки веб-серверів і додатків, таких як відмова від обміну паролями, повідомлення про підозрілих діях і обережність при відкритті електронних листів або переході по посиланнях.

  10. Будьте в курсі останніх загроз безпеці та вразливостей, а також застосовуйте виправлення й оновлення, як тільки вони стануть доступні, щоб знизити ризик використання.

Висновок

Неправильне налаштування веб-сервера і веб-додатки може представляти серйозну загрозу безпеки веб-сайтів і онлайн-додатків. Неправильні налаштування можуть виникати із-за людської помилки або використання небезпечних значень за замовчуванням і можуть призвести до ряду вразливостей в системі безпеки, які можуть бути використані зловмисниками. Ці уразливості можуть бути використані для крадіжки конфіденційних даних, компрометації облікових записів користувачів або навіть для отримання контролю над вразливою системою.

Щоб знизити ризик неправильної налаштування веб-серверів і веб-додатків, організаціям слід впроваджувати платформи веб-додатків, орієнтовані на безпеку, використовувати інструменти управління конфігурацією для автоматизації розгортання і управління, регулярно проводити аудит безпеки, застосовувати засоби контролю доступу, відстежувати журнали веб-сервера, створювати резервні копії даних, навчати співробітників і отримувати інформацію про останні погрози безпеки і вразливі місця. Роблячи ці кроки, організації можуть знизити ризик вразливостей, пов'язаних з неправильною конфігурацією, і допомогти забезпечити безпеку своїх онлайн-активів.

Інші Послуги

Готові до безпеки?

зв'язатися з нами