Chinaunix首页 | 论坛 | 博客
  • 博客访问: 959187
  • 博文数量: 245
  • 博客积分: 11429
  • 博客等级: 上将
  • 技术积分: 2662
  • 用 户 组: 普通用户
  • 注册时间: 2009-08-15 00:16
文章存档

2011年(56)

2010年(174)

2009年(15)

分类: LINUX

2011-06-28 09:42:33

说明:一个是OWASP十大,以帮助发现和补救十大每个每个工具

简介

如果你已经花了随时捍卫安全分析师web应用程序,或者为寻求​​坚持SDLC实践开发人员,您有可能使用或引用的OWASP前10名。拟首先作为一种意识机制,涵盖了十大通过共识最关键网络应用的安全由一个应用程序的安全专家组成的全球联盟达成的缺陷。在OWASP十大促进管理通过应用风险管理计划的风险,除了意识的培养,应用测试和修复。然而,作为一个管理应用程序的安全从业者或开发等风险,适当的工具包是必要的。

由于安全性是一个重要的WhiteHat贡献前10,我很舒服援引来自11几个关键要素的版

第一,“信息泄露”超过了一成零点几的跨站点脚本。该报告定义为信息泄漏“一个包罗万象的术语,描述了一个漏洞,其中一个网站发现敏感数据,如Web应用程序,环境或用户特定数据的技术细节,”你将看到如何为服务信息泄漏荟萃漏洞,当考虑到前10名的整体。

其次,在报告所提供的WhiteHat的教训是值得重复,因为它们是完全适用于我们的讨论。

第1课:

软件总是有漏洞和扩展,安全漏洞。因此,对于一个安全的软件开发生命周期(SDLC)实际的目标应该是减少,不一定消除,引进和这些漏洞仍然存在严重的数量。

第2课:

只是一个网站利用漏洞就足以大大扰乱在线商务,导致数据丢失,动摇客户的信心,等等。因此,早期发现漏洞并进行修复的速度越快,他们越短的恶意攻击者利用这些机会之窗。

因此,简单的结论是:减少和Web应用程序的安全漏洞修复会收缩的攻击向量的数量和提高安全性的姿态。破土,对不对?不,这是旧闻,“安全状态”是一个破旧嗡嗡声语,如果大家对上述提到的减少和整治勤奋,我们就可能并不需要一个前10名列表或12 网站安全统计报告(数上一个)。但是,嘿,那我们就必须找到不同的工作,对不对?

吉福德平肖曾说过:“从来没有在一场比赛赌注,除非你在它运行的。”

由于投诉的解决方案总是比更好,让我们讨论如何与一些工具选项在比赛中,我们探索前10只,但首先简要概述。

,如2010年名单,分别是:

  • A1:
    • 如SQL注入漏洞,操作系统和LDAP注射,发生在不可信的数据发送作为命令或查询部分翻译。攻击者的恶意数据可以欺骗意想不到的命令或执行未经授权的访问数据的解释。
  • A2:
    • XSS漏洞出现时不受信任的应用程序需要的数据和发送不正确的验证和逃避到Web浏览器。XSS允许攻击者执行在受害者的浏览器,可以劫持用户会话,污损网站脚本,或将用户重定向到恶意网站。
  • A3:
    • 相关的认证和会话管理的应用功能往往得不到正确实施,允许攻击者在破坏密码,密钥,会话令牌,或利用其他执行缺陷承担其他用户的身份。
  • A4:
    • 一个直接对象引用发生在一个开发商公开引用内部实施对象,如文件,目录或数据库的关键。如果没有一个访问控制检查或其他保护,攻击者可以操纵这些引用访问未经授权的数据。
  • A5:更新4 / 21:新的深入文章
    • 一个CSRF攻击强制受害者的浏览器上记录到发送一个伪造的HTTP请求,包括受害者的会话cookie和其它任何自动包含认证信息,在脆弱的Web应用程序。这允许攻击者强制受害者的浏览器来生成应用程序请求的弱势认为是从受害人的合法要求。
  • A6:
    • 良好的安全性要求有一个安全的配置和应用程序定义,框架,应用服务器,Web服务器,数据库服务器和平台部署。所有这些设置应该定义,实现和保持尽可能多的不符合安全的默认值出货。这包括要遵守所有的软件更新,包括所有应用程序使用的代码库。
  • A7:不安全的加密存储
    • 许多Web应用程序不妥善保护,如信用卡,社会安全号码和身份验证凭据的敏感数据,适当的加密或散列。攻击者可以窃取或修改这些弱保护的数据进行身份窃取,信用卡欺诈或其他犯罪行为。
  • A8:
    • 许多Web应用程序前检查渲染保护的URL链接和按钮的访问权限。然而,应用程序需要执行类似的访问控制检查每个被访问这些网页时,或攻击者就可以伪造的URL来访问这些隐藏的页面反正。
  • A9:
    • 应用程序经常无法验证,加密和保护机密和敏感的网络通信的完整性。当他们这样做,他们有时会支持弱算法,使用过期或无效证书,或不正确地使用它们。
  • A10:
    • Web应用程序经常重定向和转发用户到其他网页和网站,并使用不受信任的数据,以确定目标页面。如果没有适当的验证,攻击者可以重定向受害者钓鱼或恶意网站,或者使用未经授权的访问转发页面。

对于在OWASP十大Web应用安全风险nine我会建议一种工具来帮助你识别和减轻组织内的Web应用程序和服务这些风险。我将进一步努力,以提供每一个风险,从而避免冗余的同时提供了多种选择你独特的工具。

以下是一个风险和工具矩阵。
风险 工具
A1:注塑
A2:跨站脚本(XSS)
A3:破碎的认证和会话管理
A4:不安全的直接对象引用
A5:跨站请求伪造(CSRF)
A6:安全配置错误
A7:不安全的加密存储 N / A
A8:不限制URL访问
A9:没有足够的传输层保护
A10:未经验证的重定向和转发
有许多工具可用来进行这项工作过多,这是一个简单的人我有不同的约定,研究,工作职责和日常使用的清单。我保证,如果你选择了你可以定义完全不同的工具,来评估这些漏洞集。我点你几个非常有用的和相关的资源。(WTF)是一个很好的基于Linux的LiveCD发行由凯文约翰逊的安全观念和Justin的InGuardians塞尔创建包括了他们认为是最好的开源,而有关测试和攻击网站上的工具,作为其工作职责的一部分使用的免费工具,选择的重点。作为武士集体部分也有武士WTF Firefox的附加 ​​组件的集合,其中包括Web应用程序渗透测试和Firefox浏览器的安全性分析的附加 ​​元件。

我最喜欢的平台针对的测试工具和方法是OWASP的,是“故意不安全的J2EE Web应用程序设计教网络应用安全的经验教训。”我建议为最终的学习/教学,因为它更多的实验室为中心的工具WebGoat 5.3 RC1标准发布。请参阅下载网站包括有关解决WebGoat实验室的指导。

最后,FoxyProxy,上面提到的集合的一部分是那些“不能没有”我的工具,因为我经常反弹之间的代理之一。

大多数人都熟悉的SQL注入流行,因为它是既严重影响和。Firefox的附加​​SQL ,对SamuraiWTF部分附加征收,是非常有用的测试应用程序在浏览,你可以测试所有或选定的参数形式与所有可用的攻击或工具的预定排名前九位的测试。当从工具选择,则SQL注入我,此工具将运行,如图1所示一个侧栏,包括通过添加或删除选项攻击的字符串。

图1 - SQL注入我>

结果将报告给一个独立的Firefox标签当测试运行完成。

捷思锐代理的攻击(ZAP),也是一个OWASP项目,是“一个易于使用的Web应用程序中寻找漏洞的综合渗透测试工具,”这也是帕罗代理项目(不再支持)代码叉。ZAP有持续的支持和对未来版本的路线图;预期持续增强功能。版本1.2.0包括拦截代理,自动,被动,蛮力和端口扫描,以及抓取能力。虽然ZAP是一个Web应用安全检查的各种能力,我们将在这里使用它来测试跨站点脚本(XSS)。

一定要定义ZAP起来作为您的代理人之一,FoxyProxy,火后的安装,设置Firefox贯穿它的流量通过FoxyProxy,并着手对一些测试。

我指着我的实验室安装的版本为3.5 ZAP 在3.5.1修复后的协调,信息披露与该供应商。

在查看一个应用程序,用户界面的ZAP将填充访问过的网页。我右键点击newscoop,然后选择了蜘蛛。这将抓取所有网页根据您当前的权限访问。我通常会调整我的扫描
策略通过分析,以避免不必要的检查,然后选择扫描评估选定的应用程序。图2展示了披露Newscoop XSS漏洞的发现。

图2 - ZAP>

我很欣赏ZAP尽可能多的为它的抓取能力,因为我做它的扫描功能,并认为这是我的第二,仅次于打嗝最喜欢的代理。

一个通病,导致通过接触失效的验证和会话管理会话ID是弱保护。他们要么经常接触但不SSL / TLS,储存不当(不加密),或发现通过URL重写。其实我已经看到应用程序在会话ID是一个由用户建立的密码MD5或SHA1哈希。如果攻击者扮演中间人或能够获得会议通过XSS ID,假设它不受重播而不被扭转,人们可以使用Firefox附加HackBar。一旦安装,打F9显示HackBar,然后选择加密,其次菜单MD5或SHA1,然后发送到,这将拉动的结果,如果有的话。

图3 - HackBar>

除了XSS和SQLI检查,HackBar是非常适合的编码和解码的Base64,URL和HEX有用。

我认为,路径或目录遍历是最糟糕的不安全的直接对象引用时,任其发展作为一个攻击者可以获取的喜欢/ etc / passwd中

虽然我用我的主要网络应用的安全漏洞分析工具打嗝,特别是商业版本,你也可以使用免费版(减去扫描功能)来发现路径或目录遍历。

打嗝也跑作为代理;再配置FoxyProxy相应。火起来打嗝(你需要Java),然后指向目标网站浏览器。通过WebGoat,这是访问控制的缺陷-绕过基于路径的访问控制计划的教训。右击在打嗝的左窗格中填充的目标URL(),并选择发送到中继器导航到中继器选项卡,并修改Backdoors.html条目,提交文件的参数,以BackDoors.html .. \ .. \ .. \ .. \ .. \ .. \ .. \ .. \。 \ .. \ WINDOWS \ WIN.INI 然后按一下

图4清楚地表明,我们已经获得的直接访问主机系统的win.ini文件。

图4 - 打嗝>

攻击者显然会使用一种更有害的字符串(觉得SAM)如果你的攻击基于Windows的Web服务器。

有一个工具,我测试的跨站点请求伪造(CSRF)比任何其他缺陷:篡改数据。另外的SamuraiWTF附加收集,篡改数据之一使得与网络互动形式非常简单。

针对任意更名申请(GalleryApp),我用篡改数据,以确定GalleryApp是容易通过向所有参数CSRF攻击admin.php脚本。这种CSRF漏洞允许能够创建或删除引诱访问一个恶意网站管理用户帐户。

随着篡改数据运行(在Firefox:工具然后篡改数据),我参观了我GalleryApp测试实例。为了验证CSRF漏洞,我第一次创造了第二个用户,选择开始篡改的篡改数据,然后选择单击删除分析POST提交到完成动作的参数。

随着应用的通用逻辑使得使用它分配的第二个用户ID为2。这样的逻辑允许的可预测性,攻击者可以快速使用,如图5所示。再次,注意令牌/ formkey任何情况下,这往往是一个关键指标,存在。

图5 - 篡改数据>

我的概念攻击证明了一个HTML页面,其中包括一个名为(deleteID)和操作参数的形式,以及POST方法和隐藏的投入形式。要轮出的努力,该页面包含的脚本进行快速时序延迟和document.deleteID.submit();在完成预定的任务。正如在图5可见,完成与通过篡改数据看到我的价值验证,隐藏的输入包括:

通过我的POST形式传递了我让我选择的价值创造特权用户,在经过身份验证的用户的上下文中发出指令在我的招投标。

使安全专业人员进行高效,半自动化的Web应用安全审计,是为发现,除了为XSS和SQLI喜欢其他审计职能的某些错误配置的好工具。

我用我的实验室对一台服务器是为方便有意脆弱,仅供内部使用它。由于这将是安全配置错误教科书的定义是它暴露到互联网上,我指着一个Watobo“审计”在这

Watobo运行作为代理,并且是Ruby相关的所以你需要一个系统上的Ruby解释器。FoxyProxy配置,推动了默认端口8081流量Watobo。你需要定义一个项目,然后一个会议,然后浏览到你的目标网站通过您选择的浏览器。选择目标,那么大的绿色箭头(就是这么简单)。你需要定义的范围,我选择了Apache,杂项和文件共享。

图6莫能目录清单发现,常见的安全错误配置。

图6 - Watobo>

这是一件事情,以确保您的应用程序前检查渲染保护网址链接和按钮的访问权限,但如果应用程序不执行类似的访问控制检查每一个访问这些网页时攻击者将能够获得这些隐藏的页面,尤其应用程序的层次结构是众所周知的(认为WordPress的),通过这样的工具(Nikto类似Windows的图形用户界面)。

Nikto,从cirt.net(其口号是; 怀疑品种的信心),是一个“Web服务器扫描器进行全面的测试对Web服务器的多个项目,其中超过6400潜在的危险文件/ CGI的,对超过1000台服务器过时的版本检查和版本的具体问题270多个服务器上。“

Nikto需要一个Perl解释器。Linux系统上运行它很简单,只要。/ nikto.pl - H

图7显示了对同一台服务器中提到的运行结果A6

图7 - Nikto>

你一定有一些与Nikto误报,但你也从该泛一些黄金。

请注意图7底部其中它建议限制出入。

描述传输层保护不足,是很容易做到。你没有使用SSL。看到这是多么容易?Web应用程序安全测试工具很多让你知道当你的应用程序无法使用SSL /这里推荐(认为行政或登录功能)或使用较小的版本(SSL v1或2)TLS。另一个有趣的Firefox插件,这个不是在SamuraiWTF收集提供有关证书的状态极好的反馈。作为一个例子,甘汞附加很快便注意到,我自己的自签名证书是对holisticinfosec.org总废话(这对我来说,不适合你),如图8所示。

图8 - 甘汞>

甘汞会验证安全的SSL连接和工具栏按钮会改变颜色取决于从红色(弱)对加密强度为绿色(强)级。所有的细节都提供证书状态下窗口以及在下降。

守望者是克里斯韦伯的提琴手附加(仅IE)和行之有效的分析仪作为一种被动难以置信。也用于察觉上述问题进行了有益的传输层,看守也NABS开放重定向和转发你应该运行看守提琴手当你浏览。一旦安装使用提琴手一起看守就像确保IE流量通过提琴手和看守代理在提琴手启用容易。然后浏览器中的目标网站和互动;看守将监测和预警被动,如图9所示。

图9 - 守望者

打开重定向问题,因为他们更容易使钓鱼者利用他们的受害者鉴于网址似乎来自已知的良好场所。如果你曾经无聊,想看看广泛使用的开放重定向,试试这个Googledork:inurl这样:“redirect.asp URL =?”

荣誉奖:W3AF,skipfish&Websecurify

我用所有这些工具三个非常喜欢他们,我很简单没有找到一个现场挤本文他们在。我已经介绍了在我之前在每月列skipfish

如这些工具在他们的支票,并提供全面尽管有不同的方法和接口类似的功能和特性。

Web应用程序攻击和审计框架或W3AF还预装SamuraiWTF,另一个很好的理由是LiveCD的ISO抢。

冷却器的是,W3AF甚至包括OWASP_TOP10配置文件允许你运行一个针对所有关注十大应用预定义的审计。



原文地址:

阅读(8236) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~