Щоквартальна перевірка безпеки сайту



Сучасний веб-ресурс представляє з себе постійно розвивається механізм з безліччю апдейтів і удосконалень. Вони націлені на покращення продуктивності, підвищення конверсії, оптимізації роботи і зручності використання. Але при цьому з тих чи інших причин можуть бути допущені помилки, які можуть призвести до компрометації веб-ресурсу. Це можуть бути «забуті» службові скрипти, недостатній контроль за даними, відсутність перевірок доступу, виведення різних помилок і багато іншого. Для вашої CMS в публічному доступі можуть з'явитися експлоїти, що дозволяють отримати доступ до того чи іншого функціоналу веб-додатки, за допомогою яких зловмисник може завдати шкоди або спробувати отримати критичні дані.

Easy hack
Більшість сучасних атак на веб-сайти відбувається з використанням автоматизованих засобів: різного роду веб-сканерів, фреймворків і утиліт. Тобто поріг входження в веб-пентестинг досить низький і компрометація сайту (при наявності поверхневих дефектів) всього лише питання часу.

Скрипт кідді (англ. Script kiddie) — у хакерської культури принизливий термін, використовуваний для опису тих, хто користується скриптами або програмами, розробленими іншими, для атаки комп'ютерних систем і мереж, не розуміючи механізму їх дії.

Script kiddie — шукачі легкої здобичі. Вони не намагаються отримати доступ до певної інформації або здійснити атаку на конкретну компанію. Їх мета полягає в тому, щоб отримати права root найпростішим з можливих способів. Вони досягають цього, вибираючи невелике число вразливостей і скануючи потім Internet в їх пошуках. Рано чи пізно вони знаходять вразливу систему.
Згідно зі статистикою нашої системи автоматичного сканування до 30% сайтів, надісланих для перевірки містили критичні уразливості, sql injection, небезпечні прямі посилання на об'єкти, незахищеність критичних даних — все це робить атаки на сайти легкодоступними і продуктивними.

Основні вектора атак
Для того щоб бути впевненими в тому, що веб-додаток не вдасться зламати «сходу» ми розробили кілька сценаріїв перевірки типових векторів атаки на веб-додаток.

Збір інформації: збирається доступна інформація, така як — заголовки веб-сервера, визначення типу платформи, CMS, фреймворків. Перевіряється наявність phpinfo файлів і службових скриптів, які дозволяють отримати чутливу інформацію про атакується веб-ресурсі, проводиться сканування директорій сайту на наявність файлів резервного копіювання критичних даних (репозиторіїв, документів та іншого).

Аналіз: складається карта веб-додатки з усіма доступними посиланнями, отриманими з сайту для подальших спроб експлуатації. Виявлені email адреси додаються в список передбачуваних логінов до bruteforce модулю.

Перевірка: сайт перевіряється на найбільш поширені помилки та уразливості, такі як:

  • sql injections — різного роду sql ін'єкції;
  • cross site scripting — xss, міжсайтовий скриптінг;
  • cross site requets forgery — csrf, межсайтовая підробка запитів;
  • local file inclusion — локальний инклуд;
  • remote file inclusion — віддалений инклуд;
  • open redirects — редиректи;
  • code executions — виконання коду;
  • http response splitting — розщеплення http запитів;
  • xpath injections — xpath ін'єкції;
  • buffer overflows — різного роду переповнення буфера;
  • known vulnerabilities — пошук відомих експлойтів.
Додатково: форми введення піддаються атаки по словнику (bruteforce) зі списком часто зустрічаються логінов (admin user, test, web і т. д.) по спеціалізованої захищений базі.

Підсумок
Всім виявлених вразливостей присвоюється певний ранк: від незначної до критичної. Кожна виявлена уразливість з розряду критичних перевіряється вручну для мінімізації false-спрацьовувань. У звіті міститься список уразливих URL, параметрів, тип і опис уразливості, а також ймовірні наслідки експлуатації уразливості зловмисником.

Частота перевірки (раз на квартал або частіше, за бажанням) дозволять власнику сайту мати актуальну картину безпеки. Такого роду перевірки дадуть змогу в найкоротший термін виявити більшість поверхневих вразливостей, застарілі версії ПЗ і компонентів CMS і дозволять оперативно захистити веб-додаток.

Приклад звіту про виконане автоматичному скануванні.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.