👩🏿‍⚕️ 🕺🏼 💅🏻 हेजहोग के साथ सांप को पार करें। सभी को 0-दिन खोजें। ब्रह्मांड पर कब्जा! 11 👨🏻‍🌾 🌮 👨🏽‍🏭

सारांश

DAST / SAST की असंगति।
IAST: बज़वर्ड और रियलिटी।
तीसरा तरीका।

जैसा कि हमने पहले उल्लेख किया , SAST और DAST भेद्यता खोज प्रणालियों के फायदे और नुकसान दोनों हैं, इसलिए, एप्लिकेशन सुरक्षा विश्लेषण को स्वचालित करने के लिए सबसे अच्छा तरीका खोजने की समस्या इसकी प्रासंगिकता नहीं खोती है। पिछले कुछ वर्षों में, इस समस्या को हल करने के लिए कम से कम तीन दृष्टिकोण विकसित किए गए हैं।

विधि # 1

सतह का पहला तरीका डीएएसटी और एसएएसटी के परिणामों को सहसंबंधित और साझा करना है। सिद्धांत रूप में, यह दृष्टिकोण स्थिर विश्लेषण के परिणामों के कारण गतिशील विश्लेषण की कवरेज का विस्तार करना और झूठी सकारात्मक की संख्या को कम करना संभव बनाता है। यही रास्ता आईबीएम ने लिया था।

इस तरह विधि किसी तरह काम करती है

हालांकि, यह जल्द ही स्पष्ट हो गया कि इस दृष्टिकोण की खूबियां अतिरंजित थीं। संदर्भ (या अतिरिक्त शर्तों, अगर हम हमारी शब्दावली का पालन करते हैं) को समझने के बिना SAST से DAST तक अतिरिक्त प्रवेश बिंदुओं का हस्तांतरण अक्सर केवल काम की अवधि में वृद्धि की ओर जाता है। कल्पना करें कि SAST ने DAST को URL और पैरामीटर के 10000 संयोजनों का पता लगाया और पारित किया, लेकिन उनमें से 9990 को प्राधिकरण की आवश्यकता है। यदि SAST "व्याख्या" नहीं करता है कि DAST को प्राधिकरण की आवश्यकता है और इस प्राधिकरण के माध्यम से कैसे प्राप्त किया जाए, तो स्कैनर इन यूआरएल पर बेवकूफी से दस्तक देगा और इसके संचालन का समय 1000 गुना बढ़ जाएगा। परिणाम में ज्यादा बदलाव के बिना।

लेकिन यह सबसे महत्वपूर्ण बात नहीं है। मुख्य समस्या I / O के लिए DAST और SAST की असंगति है। दरअसल, ज्यादातर मामलों में, स्थैतिक विश्लेषक के आउटपुट पर आपको यह जानकारी मिलती है: लाइन 36 पर अपर्याप्त इनपुट फ़िल्टरिंग है, जिसका अर्थ है कि XSS कार्यान्वयन भी संभव है। DAST के लिए, HTTP एक la / path / api का अनुरोध करता है? पैरामीटर = [XSS] और विषय = भेद्यता के प्रकार के साथ महत्वपूर्ण देशी होगा, और यह वांछनीय है कि फ़्यूज़र के लिए कई मान हैं, जो फ़िल्टरिंग फ़ंक्शन को ध्यान में रखते हैं।

कहीं XSS ... हमें इसे DAST पर स्थानांतरित करना होगा! लेकिन कैसे?

महत्वपूर्ण विषय = महत्वपूर्ण पैरामीटर पर भी ध्यान दें। यह बस वह शर्त है जो फजीर के लिए वांछित, कमजोर एपीआई में प्राप्त करने के लिए पूरी होनी चाहिए। यह एक तथ्य नहीं है कि पथ / पथ / एपीआई तक पहुँचने के दौरान पैरामीटर में भेद्यता भी मौजूद है? पैरामीटर = [XSS] & विषय = अन्य। स्थैतिक विश्लेषक को यह जानकारी कहां से मिलती है? यह स्पष्ट नहीं है ...

जटिलताएं विभिन्न मॉड्यूल द्वारा एक ला mod_rewrite , साथ ही चौखटे, वेब सर्वर सेटिंग्स और अन्य भ्रामक तत्वों द्वारा जोड़ी जाती हैं।

विधि # 2

दूसरा दृष्टिकोण एक घटना की दुनिया में उपस्थिति के साथ जुड़ा हुआ था जैसे कि IAST (इंटरएक्टिव या यहां तक कि आंतरिक अनुप्रयोग सुरक्षा परीक्षण)। संक्षेप में, यह डायनेमिक विश्लेषण का एक विस्तार है, जिसमें एप्लिकेशन के सर्वर भाग के निष्पादन (डीएएसटी का उपयोग करने के लिए फ़ज़िंग के दौरान) को शामिल करना शामिल है। ऐसा करने के लिए, या तो वेब सर्वर इंस्ट्रूमेंटेशन, एक फ्रेमवर्क या निष्पादन योग्य कोड का उपयोग किया जाता है, या अंतर्निहित ट्रेस तंत्र।

संग्रहीत XSS और इसके SpyFilter ट्रेस

तो, SQL इंजेक्शन की खोज करने के लिए SQL Server Profiler या इसी तरह की उपयोगिताओं के परिणामों का उपयोग करना बहुत सुविधाजनक है, जहां आप पहली बार देख सकते हैं कि फ़िल्टरिंग फ़ंक्शन के माध्यम से सर्वर के लिए वास्तव में "उड़ान" क्या है।

लगता है मैंने फिर से थोड़ा IAST किया ...

~~डायनेमिक टेंट एनालिसिस~~ IAST के बाद एक बार फिर से AppSec उद्योग में प्रवेश किया, उनके पास कई अनुयायी थे जिन्होंने विधि के गुणों को बाहर निकाल दिया। फायदों में विभिन्न एप्लिकेशन स्तरों के माध्यम से फ़ज़र अनुरोधों के वितरण को ट्रैक करके गतिशील विश्लेषण की प्रभावशीलता को बढ़ाने की क्षमता शामिल है, जो झूठी सकारात्मक और कैच की संख्या को कम करता है, उदाहरण के लिए, डबल ब्लाइंड SQL इंजेक्शन। इसके अलावा, एप्लिकेशन के विभिन्न स्तरों पर इंस्ट्रूमेंटेशन से स्थगित हमलों का पता लगाना संभव हो जाता है, जैसे कि स्टोरेड एक्सएसएस या दूसरा ऑर्डर एसक्यूएल इंजेक्शन, जिसके पहले SAST और DAST दोनों पारंपरिक रूप से गुजरते हैं।

यह महत्वपूर्ण है कि विधि हमें आवेदन के प्रवेश बिंदुओं और स्रोत कोड (URL-to-source मैपिंग) के समय के बीच पत्राचार की समस्या को हल करने की अनुमति देती है। यह सब आसान नहीं है: यह तीन चरणों में किया जाता है, और सर्वर को इंस्ट्रूमेंट किया जाना चाहिए - लेकिन किसी तरह लागू किया गया।

हाइब्रिड विश्लेषण एचपी लुक (RAST = IAST)

हालांकि, IAST के नुकसान भी हैं। सबसे पहले, एक वेब सर्वर (DBMS, चौखटे) के गतिशील इंस्ट्रूमेंटेशन के लिए एक एजेंट के कोड इंस्ट्रूमेंटेशन और (या) की आवश्यकता है। जाहिर है, यह स्थिति औद्योगिक प्रणालियों के लिए अवांछनीय है, और संगतता और प्रदर्शन की बात आने पर सवाल उठ सकते हैं।

इसके अलावा, इसकी वर्तमान स्थिति में IAST, DAST का विस्तार है (जो संयोगवश, स्पष्ट रूप से गार्टनर द्वारा इंगित किया गया है) और न केवल सकारात्मक, बल्कि इस पद्धति के नकारात्मक पक्ष भी इनहेरिट करता है। बेशक, शुद्ध IAST के बारे में अफवाहें हैं, लेकिन यह घुसपैठ का पता लगाने वाले सिस्टम और फायरवॉल की अधिक संभावना है, जो परिस्थितियों के एक सफल सेट के तहत कमजोरियों की पहचान भी कर सकता है (जो हम भी जल्द ही बात करेंगे)।

हम नोट के विषय पर लौटते हैं। IAST का उपयोग मध्यस्थ के रूप में आंशिक रूप से SAST और DAST के बीच संगतता समस्या हल करता है - लेकिन केवल आंशिक रूप से। हालांकि कुछ मामलों में (विशेष रूप से उपयुक्त एसएएसटी के साथ), सब कुछ काफी अच्छी तरह से बदल सकता है।

आवरण + NTOSpider - एक साथ बेहतर!

हाइब्रिड विश्लेषण की एक आलोचना क्रिस एंग ( हाइब्रिड विश्लेषण पर वास्तविकता की एक खुराक, क्रिस इंजी) की एक रिपोर्ट में प्रस्तुत की गई है। ध्यान दें कि SAST और DAST परिणामों के सरल सहसंबंध के लिए, और IAST का उपयोग करते हुए हाइब्रिड विश्लेषण के लिए उनकी अधिकांश रिपोर्ट प्रासंगिक है।

विधि # 3

दृष्टिकोण की स्पष्ट बोझिलता को बेहतर समाधान की आवश्यकता है। और इस तरह के निर्णय की उपस्थिति आ रही है, हालांकि यह अभी भी स्पष्ट नहीं है कि कहां है। उसके लिए, संबंधित शब्द का अभी तक आविष्कार नहीं किया गया है, लेकिन वैज्ञानिक प्रकाशनों में इसके पहलू अधिक से अधिक बार पाए जाते हैं। इसका सार एक मध्यवर्ती लिंक की आवश्यकता के बिना स्थिर और गतिशील विश्लेषण के संयोजन में निहित है। यही है, आधार एक ही रहता है, लेकिन एक ही समय में, संभावित रूप से अधिक पूर्ण के रूप में स्थैतिक विश्लेषण का उपयोग मुख्य के रूप में किया जाता है। इस समस्या को हल करने के लिए, एसएएसटी को सत्यापन के लिए डेटा तैयार करने में सक्षम होना चाहिए जो डीएएसटी के लिए समझ में आता है। उदाहरण के लिए, HTTP अनुरोध के प्रारूप में फ़ज़िंग के लिए आवश्यक अतिरिक्त शर्तों और पैरामीटर मानों का एक सेट इंगित करता है। आप यह कर सकते हैं:

शोषण, पिछले दरवाजे और ~~दो चड्डी~~ एक अतिरिक्त शर्त है

या तो:

यहाँ डबल ब्लाइंड एसक्यूएल इंजेक्शन है, आपको टाइम-बेस्ड ...

इसे कैसे प्राप्त किया जाए यह एक अलग नोट का विषय है, लेकिन यहां कुछ भी असंभव नहीं है। वैसे, यह दृष्टिकोण आपको एक और कार्य को लागू करने की अनुमति देता है - वेब एप्लिकेशन फ़ायरवॉल के साथ एसएटीटी का एकीकरण, जो बहुत जल्दी से पता चला कमजोरियों को बंद करने के लिए बहुत उपयोगी है।

PS गलत धारणा न रखने के लिए, यह ध्यान दिया जाना चाहिए कि हम IAST के खिलाफ नहीं हैं, बल्कि इसके लिए भी। कुछ तीक्ष्णता जैसे बयानों की प्रतिक्रिया है: "I> S + D!" इस तकनीक में एक स्पष्ट स्थान है। इसके अलावा, विधि आपको निरंतर निगरानी की अवधारणा को लागू करने की अनुमति देती है, जो फैशनेबल नहीं है। लेकिन IAST के समान परिणाम प्राप्त करने के लिए, पूरे एप्लिकेशन को फ़ज़ी करना आवश्यक नहीं है, और कभी-कभी इसे शब्द के शाब्दिक अर्थ में निष्पादित करने की आवश्यकता नहीं है। लेकिन इस बारे में, जैसा कि पहले ही उल्लेख किया गया है, - बाद में।

सकारात्मक प्रौद्योगिकी अनुप्रयोग इंस्पेक्टर टीम

हेजहोग के साथ सांप को पार करें। सभी को 0-दिन खोजें। ब्रह्मांड पर कब्जा! 11

सारांश

विधि # 1

विधि # 2

विधि # 3

More articles: