EITC/IS/WAPT вэб програмын нэвтрэлтийн тест нь вэб програмын нэвтрэлтийн туршилтын (цагаан хакерын) онолын болон практик талуудын тухай Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хөтөлбөр бөгөөд вэб сайтыг аалзлах, сканнердах, халдлага хийх арга техник, үүнд нэвтрэлтийг шалгах тусгай хэрэгсэл, иж бүрдэл зэрэг багтана. .
EITC/IS/WAPT вэб програмын нэвтрэлтийн шалгалтын сургалтын хөтөлбөрт Burp Suite-ийн танилцуулга, вэб spridering болон DVWA, Burp Suite-тай харгис хүчээр тест хийх, WAFW00F-ээр вэб програмын галт хана (WAF) илрүүлэх, зорилтот хамрах хүрээ болон аалз, далд файлуудыг илрүүлэх зэрэг багтана. ZAP, WordPress-ийн эмзэг байдлын сканнердах болон хэрэглэгчийн нэр тоолох, ачааллыг тэнцвэржүүлэгчийн сканнердах, сайт хоорондын скрипт хийх, XSS – тусгасан, хадгалсан болон DOM, прокси халдлага, ZAP дахь проксиг тохируулах, файл, лавлах халдлага, DirBuster ашиглан файл болон лавлах илрүүлэх, вэб халдлагын дадлага , OWASP Juice Shop, CSRF – Cross Site Request Хуурамчлах, күүки цуглуулах, урвуу инженерчлэл, HTTP шинж чанарууд – күүки хулгайлах, SQL injection, DotDotPwn – лавлах дамжлага, iframe injection болон HTML injection, Heartbleed exploit – илрүүлэх ба ашиглах, PH код bWAPP – HTML тарилга, тусгагдсан POST, Commix-тэй үйлдлийн системийн командын тарилга, сервер талд SSI injection, Docker-д pentesting, OverTheWire орно. Natas, LFI болон командын инъекц, Google-ийн хакердах нь пентест, Google Dorks For penetration testing, Apache2 ModSecurity, түүнчлэн Nginx ModSecurity зэрэг нь дараах бүтэцтэй бөгөөд энэхүү EITC гэрчилгээний лавлагаа болгон иж бүрэн видео дидактик контентыг багтаасан болно.
Вэб програмын аюулгүй байдал (ихэвчлэн Web AppSec гэж нэрлэдэг) нь вэбсайтыг халдлагад өртсөн ч хэвийн ажиллахаар төлөвлөх тухай ойлголт юм. Энэхүү ойлголт нь өөрийн хөрөнгийг дайсагнагч агентуудаас хамгаалахын тулд вэб програмд хамгаалалтын багц арга хэмжээг нэгтгэх явдал юм. Бүх програм хангамжийн нэгэн адил вэб програмууд алдаа дутагдалтай байдаг. Эдгээр дутагдлуудын зарим нь бизнест эрсдэл учруулдаг бодит сул талууд бөгөөд ашиглаж болно. Ийм согогийг вэб програмын аюулгүй байдлын тусламжтайгаар хамгаалдаг. Энэ нь програм хангамжийн хөгжүүлэлтийн амьдралын мөчлөгийн (SDLC) туршид аюулгүй хөгжүүлэлтийн арга барилыг ашиглах, аюулгүй байдлын хяналтыг бий болгох, дизайны алдаа, хэрэгжилтийн асуудлуудыг шийдвэрлэхийг шаарддаг. Цагаан хакердах аргыг ашиглан вэб програмын эмзэг байдлыг илрүүлэх, ашиглах зорилготой мэргэжилтнүүдийн хийдэг онлайн нэвтрэлтийн тест нь зохих хамгаалалтыг идэвхжүүлэхэд зайлшгүй шаардлагатай практик юм.
Вэб үзэгний тест гэгддэг вэб нэвтрэлтийн тест нь ашиглаж болохуйц согогийг илрүүлэхийн тулд вэб программ дээр кибер халдлагыг дуурайдаг. Нэвтрэх тестийг вэб програмын аюулгүй байдлын (WAF) хүрээнд вэб програмын галт ханыг нөхөхөд ихэвчлэн ашигладаг. Үзэгний тест нь ерөнхийдөө код оруулах халдлагад өртөмтгий ариутгагдаагүй оролт зэрэг эмзэг байдлыг илрүүлэхийн тулд хэдэн ч програмын системд (жишээлбэл, API, урд/арын сервер) нэвтрэн орохыг оролддог.
Онлайн нэвтрэлтийн тестийн үр дүнг WAF аюулгүй байдлын бодлогыг тохируулах, илрүүлсэн сул талуудыг арилгахад ашиглаж болно.
Нэвтрэх туршилт нь таван үе шаттай.
Үзэгний туршилтыг таван үе шатанд хуваадаг.
- Төлөвлөлт ба скаут
Туршилтын хамрах хүрээ, зорилго, үүнд шийдвэрлэх систем, ашиглах туршилтын арга зүйг тодорхойлох нь эхний шат юм.
Зорилтот зорилт хэрхэн ажилладаг, түүний боломжит сул талуудын талаар илүү сайн ойлголттой болохын тулд тагнуулын мэдээлэл цуглуул (жишээ нь, сүлжээ болон домэйн нэр, шуудангийн сервер). - Скан хийх
Дараагийн шат бол зорилтот хэрэглүүр өөр өөр төрлийн халдлагад хэрхэн хариу үйлдэл үзүүлэхийг тодорхойлох явдал юм. Үүнийг ихэвчлэн дараах аргуудыг ашиглан хийдэг.
Статик шинжилгээ – Аппликешныг ажиллуулах үед хэрхэн ажиллахыг урьдчилан таамаглахын тулд програмын кодыг шалгах. Нэг дамжуулалтаар эдгээр хэрэгслүүд кодыг бүхэлд нь сканнердах боломжтой.
Динамик шинжилгээ гэдэг нь програм ажиллаж байх үед түүний кодыг шалгах үйл явц юм. Сканнердах энэ арга нь програмын гүйцэтгэлийг бодит цаг хугацаанд нь харах боломжийг олгодог тул илүү практик юм. - Хандалтыг олж авах
Зорилтот объектын сул талыг олохын тулд энэ алхам нь сайт хоорондын скрипт, SQL тарилга, арын хаалга зэрэг вэб програмын халдлагуудыг ашигладаг. Эдгээр эмзэг байдлын учирч болох хохирлыг ойлгохын тулд тестерүүд давуу эрхээ нэмэгдүүлэх, өгөгдөл хулгайлах, замын хөдөлгөөнд саад учруулах гэх мэтээр ашиглахыг оролддог. - Хандалтыг хадгалж байна
Энэ үе шатны зорилго нь эвдэрсэн системд удаан хугацааны турш оршин тогтнохын тулд эмзэг байдлыг ашиглаж, муу жүжигчинд гүнзгий нэвтрэх боломжийг олгох боломжтой эсэхийг үнэлэх явдал юм. Зорилго нь компанийн хамгийн нууц мэдээллийг хулгайлахын тулд хэдэн сарын турш системд үлдэж болох дэвшилтэт байнгын аюул заналыг дуурайх явдал юм. - дүн шинжилгээ
Дараа нь нэвтрэлтийн туршилтын үр дүнг дараахь мэдээллийг агуулсан тайланд оруулна.
Нарийвчилсан байдлаар ашигласан эмзэг байдал
Авсан мэдээлэл нь эмзэг байсан
Үзэг шалгагч системд анзаарагдахгүй байх хугацаа.
Аюулгүй байдлын мэргэжилтнүүд эмзэг байдлыг нөхөж, цаашдын халдлагаас урьдчилан сэргийлэхийн тулд аж ахуйн нэгжийн WAF тохиргоо болон бусад програмын аюулгүй байдлын шийдлүүдийг тохируулахад туслах зорилгоор энэхүү өгөгдлийг ашигладаг.
Нэвтрэх туршилтын аргууд
- Гадны нэвтрэлтийн тест нь вэб програм өөрөө, компанийн вэбсайт, түүнчлэн имэйл болон домэйн нэрийн сервер (DNS) гэх мэт интернетэд харагдах пүүсийн хөрөнгөд төвлөрдөг. Зорилго нь хэрэгцээтэй мэдээллийг олж авах, олж авах явдал юм.
- Дотоод тест нь дайсагнасан дотоод халдлагыг дуурайлган компанийн галт хананы ард байгаа програмд нэвтрэх эрхтэй шалгагчийг шаарддаг. Энэ нь хуурамч ажилтны симуляци хийх шаардлагагүй. Фишинг хийх оролдлогын үр дүнд итгэмжлэлээ авсан ажилтан нь нийтлэг эхлэлийн цэг юм.
- Сохор тест гэдэг нь шалгагчийг шалгаж байгаа компанийн нэрийг зүгээр л зааж өгөх явдал юм. Энэ нь аюулгүй байдлын мэргэжилтнүүдэд хэрэглүүрийн бодит халдлага бодит цаг хугацаанд хэрхэн гарч болохыг харах боломжийг олгодог.
- Давхар сохор туршилт: Давхар сохор тестийн хувьд аюулгүй байдлын мэргэжилтнүүд дууриамал халдлагыг урьдчилан мэддэггүй. Бодит амьдрал дээрх шиг эвдэх оролдлого хийхээс өмнө бэхлэлтээ бэхжүүлэх цаг тэдэнд байхгүй болно.
- Зорилтот туршилт – энэ хувилбарт шалгагч болон хамгаалалтын ажилтнууд хамтран ажиллаж, бие биенийхээ хөдөлгөөнийг хянаж байдаг. Энэ бол хакерын өнцгөөс аюулгүй байдлын багт бодит цагийн санал хүсэлтийг өгдөг маш сайн сургалтын дасгал юм.
Вэб програмын галт хана болон нэвтрэлтийн тест
Нэвтрэх туршилт ба WAF нь тусдаа боловч нэмэлт хамгаалалтын арга юм. Тестер нь олон төрлийн үзэгний сорилтод (сохор болон давхар сохор тестийг эс тооцвол) програмын сул талыг олж, ашиглахын тулд лог гэх мэт WAF өгөгдлийг ашиглах магадлалтай.
Хариуд нь үзэгний туршилтын өгөгдөл нь WAF администраторуудад тусалж чадна. Туршилт дууссаны дараа WAF тохиргоог туршилтын явцад илрүүлсэн согогоос хамгаалахын тулд өөрчилж болно.
Эцэст нь үзэгний тест нь PCI DSS болон SOC 2 зэрэг аюулгүй байдлын аудитын аргуудын нийцлийн тодорхой шаардлагыг хангадаг. PCI-DSS 6.6 гэх мэт зарим шаардлагыг зөвхөн баталгаажсан WAF ашигласан тохиолдолд л хангана. Гэсэн хэдий ч дээр дурьдсан ашиг тус, WAF тохиргоог өөрчлөх боломжтой учраас энэ нь үзэгний туршилтыг бага ашиг тустай болгодоггүй.
Вэбийн аюулгүй байдлын тестийн ач холбогдол юу вэ?
Вэбийн аюулгүй байдлын тестийн зорилго нь вэб програмууд болон тэдгээрийн тохиргооны аюулгүй байдлын алдааг илрүүлэх явдал юм. Хэрэглээний давхарга нь үндсэн зорилтот (өөрөөр хэлбэл HTTP протокол дээр ажиллаж байгаа зүйл) юм. Асуудал үүсгэж, системийг гэнэтийн байдлаар хариу үйлдэл үзүүлэхийн тулд вэб програм руу оролтын янз бүрийн хэлбэрийг илгээх нь түүний аюулгүй байдлыг шалгах нийтлэг арга юм. Эдгээр "сөрөг туршилтууд" нь систем нь хийхээр төлөвлөөгүй зүйлийг хийж байгаа эсэхийг хардаг.
Вэбийн аюулгүй байдлын тест нь зөвхөн програмын аюулгүй байдлын шинж чанаруудыг (гэрчлэлт, зөвшөөрөл гэх мэт) шалгахаас илүү чухал гэдгийг ойлгох нь чухал юм. Бусад функцуудыг (жишээ нь бизнесийн логик, зөв оролт баталгаажуулалт, гаралтын кодчилолыг ашиглах) аюулгүйгээр байршуулах нь чухал юм. Зорилго нь вэб програмын функцууд аюулгүй эсэхийг шалгах явдал юм.
Аюулгүй байдлын үнэлгээний олон төрлүүд юу вэ?
- Динамик хэрэглээний аюулгүй байдлын тест (DAST). Энэхүү автоматжуулсан програмын аюулгүй байдлын тест нь зохицуулалтын аюулгүй байдлын шаардлагыг хангасан эрсдэл багатай, дотоод асуудалтай апп-уудад хамгийн тохиромжтой. DAST-ийг нийтлэг эмзэг байдлын талаархи гарын авлагын онлайн аюулгүй байдлын тесттэй хослуулах нь дунд эрсдэлтэй програмууд болон бага зэргийн өөрчлөлтөд орсон чухал програмуудад зориулсан хамгийн сайн стратеги юм.
- Статик програмуудын аюулгүй байдлын шалгалт (SAST). Энэхүү програмын аюулгүй байдлын стратеги нь автомат болон гарын авлагын туршилтын аргуудыг агуулдаг. Энэ нь шууд орчинд програм ажиллуулах шаардлагагүйгээр алдааг илрүүлэхэд тохиромжтой. Энэ нь инженерүүдэд програм хангамжийн аюулгүй байдлын алдааг системтэйгээр илрүүлэх, засахын тулд эх кодыг сканнердах боломжийг олгодог.
- Нэвтрэх шалгалт. Энэхүү гарын авлагын програмын аюулгүй байдлын тест нь чухал ач холбогдолтой програмууд, ялангуяа томоохон өөрчлөлтүүд хийгдэж байгаа програмуудад тохиромжтой. Дэвшилтэт халдлагын хувилбаруудыг олохын тулд үнэлгээ нь бизнесийн логик болон өрсөлдөгчид суурилсан тестийг ашигладаг.
- Ажиллах үед програмын өөрийгөө хамгаалах (RASP). Энэхүү өсөн нэмэгдэж буй хэрэглүүрийн аюулгүй байдлын арга нь аюул заналхийллийг бодит цаг хугацаанд нь харж, урьдчилан сэргийлэхийн тулд программыг хэмжих олон төрлийн технологийн арга техникийг багтаасан болно.
Хэрэглээний аюулгүй байдлын тест нь компанийн эрсдэлийг бууруулахад ямар үүрэг гүйцэтгэдэг вэ?
Вэб аппликейшнд халдсан дийлэнх нь:
- SQL тарилга
- XSS (Сайт хоорондын скрипт)
- Алсын тушаалын гүйцэтгэл
- Зам хөндлөн гарах довтолгоо
- Хязгаарлагдмал контентын хандалт
- Эвдэрсэн хэрэглэгчийн бүртгэл
- Хортой код суулгах
- Борлуулалтын орлого алдагдсан
- Үйлчлүүлэгчдийн итгэл алдагдаж байна
- Брэндийн нэр хүндэд хохирол учруулах
- Мөн бусад олон халдлага
Өнөөгийн интернетийн орчинд вэб програм нь янз бүрийн сорилтод өртөж болзошгүй. Дээрх график нь халдагчдын үйлддэг хамгийн нийтлэг халдлагуудын цөөн хэдэн бөгөөд тус бүр нь хувийн програм эсвэл бүхэл бүтэн бизнест ихээхэн хохирол учруулж болзошгүй юм. Аппликейшнийг эмзэг болгодог олон халдлагууд болон халдлагын үр дүнг мэдэх нь компанид эмзэг байдлыг урьдчилан шийдэж, тэдгээрийг үр дүнтэй турших боломжийг олгодог.
Эмзэг байдлын үндсэн шалтгааныг олж тогтоох замаар аливаа асуудлаас урьдчилан сэргийлэхийн тулд SDLC-ийн эхний үе шатанд бууруулах хяналтыг бий болгож болно. Вэб програмын аюулгүй байдлын шалгалтын үеэр эдгээр аюул занал хэрхэн ажилладаг талаарх мэдлэгийг сонирхолтой газруудад чиглүүлэхэд ашиглаж болно.
Амжилттай довтолсны үр нөлөөг ерөнхийд нь эмзэг байдлын ноцтой байдлыг тодорхойлоход ашиглаж болох тул халдлагын үр нөлөөг таних нь компанийн эрсдэлийг удирдахад чухал ач холбогдолтой. Аюулгүй байдлын туршилтын явцад сул талууд илэрсэн бол тэдгээрийн ноцтой байдлыг тодорхойлох нь компанид засах хүчин чармайлтыг илүү үр дүнтэйгээр эрэмбэлэх боломжийг олгодог. Компанид учирч болох эрсдлийг бууруулахын тулд ноцтой асуудлаас эхэлж, нөлөөллийг бууруулахын тулд бага зэрэг ажилла.
Асуудлыг тодорхойлохын өмнө компанийн хэрэглээний номын санд байгаа програм бүрийн үзүүлж болзошгүй нөлөөллийг үнэлэх нь програмын аюулгүй байдлын тестийг эрэмбэлэхэд тусална. Wenb-ийн аюулгүй байдлын туршилтыг эхлээд пүүсийн чухал хэрэглээнд чиглүүлэхээр төлөвлөж, бизнесийн эсрэг эрсдэлийг бууруулах зорилгоор илүү зорилтот туршилт хийж болно. Өндөр зэрэглэлийн программуудын тогтсон жагсаалтын дагуу wenb аюулгүй байдлын тестийг эхлээд пүүсийн чухал хэрэглээнд чиглүүлэхээр төлөвлөж, бизнесийн эсрэг эрсдэлийг бууруулах зорилгоор илүү зорилтот туршилт хийж болно.
Вэб програмын аюулгүй байдлын шалгалтын үеэр ямар онцлогуудыг шалгах ёстой вэ?
Вэб програмын аюулгүй байдлын туршилтын явцад дараах функцүүдийн бүрэн бус жагсаалтыг анхаарч үзээрэй. Тус бүрийг үр дүнгүй хэрэгжүүлэх нь сул талыг бий болгож, компанийг аюулд оруулж болзошгүй.
- Програм болон серверийн тохиргоо. Шифрлэлт/криптографийн тохиргоо, вэб серверийн тохиргоо гэх мэт нь боломжит дутагдлын жишээ юм.
- Оролтын болон алдааны зохицуулалтын баталгаажуулалт Оролт, гаралтын боловсруулалт муу байгаа нь SQL инъекция, сайт хоорондын скрипт (XSS) болон бусад ердийн тарилгын асуудалд хүргэдэг.
- Сеансуудыг баталгаажуулах, засвар үйлчилгээ хийх. Хэрэглэгчийн дүрд хувирахад хүргэж болзошгүй эмзэг байдал. Итгэмжлэлийн бат бөх байдал, хамгаалалтыг мөн анхаарч үзэх хэрэгтэй.
- Зөвшөөрөл. Босоо болон хэвтээ давуу эрх нэмэгдүүлэхээс хамгаалах програмын чадавхийг туршиж байна.
- Бизнес дэх логик. Бизнесийн үйл ажиллагааг хангадаг ихэнх програмууд эдгээр дээр тулгуурладаг.
- Үйлчлүүлэгчийн төгсгөлд логик. Энэ төрлийн функц нь орчин үеийн, JavaScript-н ачаалал ихтэй вэб хуудсууд болон бусад төрлийн үйлчлүүлэгчийн технологи (жишээ нь, Silverlight, Flash, Java апплет) ашигладаг вэб хуудсуудад илүү түгээмэл болж байна.
Баталгаажуулалтын сургалтын хөтөлбөртэй дэлгэрэнгүй танилцахын тулд та доорх хүснэгтийг өргөжүүлж, дүн шинжилгээ хийж болно.
EITC/IS/WAPT вэб програмын нэвтрэлтийн шалгалтын гэрчилгээ олгох сургалтын хөтөлбөр нь видео хэлбэрээр нээлттэй хандалтын дидактик материалыг иш татдаг. Сургалтын үйл явц нь сургалтын хөтөлбөрийн холбогдох хэсгүүдийг хамарсан алхам алхмаар бүтцэд (хөтөлбөр -> хичээл -> сэдэв) хуваагдана. Домэйн мэргэжилтнүүдтэй хязгааргүй зөвлөгөө өгдөг.
Баталгаажуулалтын журмын талаарх дэлгэрэнгүй мэдээллийг шалгана уу Хэрхэн ажилладаг.
EITC/IS/WAPT вэб програмын нэвтрэлтийн тестийн офлайн бие даан суралцах бэлтгэл материалыг бүрэн PDF файлаар татаж авна уу.
EITC/IS/WAPT бэлтгэх материал – стандарт хувилбар
EITC/IS/WAPT бэлтгэл материалууд – тойм асуулт бүхий өргөтгөсөн хувилбар