Geekly Articles each Day

Webアプリケーションのセキュリティ監査方法



今日は、Webアプリケーション侵入テストの方法論についてお話します。 Webサイト監査の方法の1つは、BlackBox侵入テスト(BlackBox-「ブラックボックス」)です。このテストでは、専門家は調査の目的に関する公開情報のみを入手できます。

この方法は、商業的な利益のために、またはフーリガンの動機からウェブサイトをハッキングするように動機付けられた外部攻撃者のモデルを使用します。 通常、調査中のシステムについては、会社名とウェブサイトのアドレス以外は何もわかりません。 この記事の文脈では、攻撃者と五behavior星の両方の振る舞いを検討し、その正当性は監査クライアントによって確認されます。 監査の確認はさまざまな方法で行うことができます-監査の対象(および例外)を示す情報レターと、攻撃されたサイト上の直接の特別なマーカーの助けの両方。

サイトへの攻撃とIT / IS部門の従業員の行動の全体像を把握するには、後者を通知しないことを強くお勧めします。 これにより、顧客は従業員が情報セキュリティインシデントに対応する準備ができているかどうかを確認できます。

侵入テストの主な目的:

攻撃者の主な目的:

目標の相違にもかかわらず、攻撃者とペンテスターの方法のほとんどは同じです。 攻撃するとき、攻撃者は通常、道徳的および倫理的な基準を特に重要視せず、そのような攻撃は不可逆的な破壊的な結果につながる可能性があります。 監査中、正当なペンテスターはバックアップの可用性に同意し、破壊的な結果のリスクを最小限に抑えます(特に、顧客がテストベンチを展開する機会がある場合)。

攻撃者は通常、単純なものから複雑なものへと進みます。一般的なユーティリティやスキャナーを使用して明らかな脆弱性を特定し、特定された脆弱性を悪用しようとします。 並行して、悪意のあるファイルやリンクを配布してフィッシング攻撃を行うことができます。 主な目標は、最小限の労力で必要なデータを取得することです。

ペンテスターは、悪意のある添付ファイルを使用せずに、すべての可能な脆弱性と攻撃方法を処理します。 さらに、ビジネスプロセスおよびアプリケーションのビジネスロジックの操作を調査できます。

主な監査方法は、攻撃者のアクションに似ており、次のものが含まれます。

これらの方法には、次の手順が含まれます。

たとえば、アクセスログを分析し、脆弱性や攻撃を迅速に排除する対策を実装することにより、顧客の担当者による異常なアクティビティを検出する瞬間は除外されないため、取得したベクトルは分析およびチェックされ、検出時間は固定されます。 見つかった承認フォームまたはサービスは、いわゆる ブルートフォース攻撃(パスワード推測)。

ペンテスターの場合、受信した情報の分析と最適化のために、データがDradisタイプのシステムに集約されます。 受信したデータに基づいて、脆弱性の詳細な説明、複数のベクトルで構成される攻撃シナリオ、リスク評価、およびそれらを排除するための推奨事項とともに、脆弱なサービスに分散したレポートが生成されます。

完全かつ責任ある監査によってのみ、顧客は自分のウェブサイトの情報セキュリティシステムの成熟度の最も現実的な状況を把握できます。

Source: https://habr.com/ru/post/J259309/

More articles:


All Articles