मैं पिछले कुछ वर्षों के लिए अपने कंप्यूटर सुरक्षा अनुसंधान से आंकड़े एकत्र किया गया है । मैंने उन्हें थोड़ा साझा करने का फैसला किया। यहां आप एक नमूना प्रवेश परीक्षण रिपोर्ट – रिपोर्टपा सकते हैं। प्रवेश परीक्षकों के साथ साक्षात्कार की एक बड़ी संख्या में, मैं सवाल सुन-"वेब अनुप्रयोगों की सुरक्षा वर्षों में सुधार हुआ है?" मेरी राय में-हां, लेकिन केवल जहां यह कुछ हद तक नीचे विनियमन से मजबूर है । क्या प्रवेश परीक्षण सुरक्षा में सुधार करने में मदद करते हैं? – निश्चित रूप से हाँ!
हम किस डेटा के बारे में बात कर रहे हैं?
पिछले 2 वर्षों में, मैं 100 से अधिक प्रवेश परीक्षण, सुरक्षा ऑडिट, विश्लेषण और पुनर्परीक्षण करने में कामयाब रहा हूं। ये अलग-अलग ग्राहकों के लिए अलग-अलग एप्लिकेशन थे। विशाल बहुमत वेब अनुप्रयोगों थे। जब पहली बार किसी आवेदन का परीक्षण किया गया था, तो लगभग हमेशा एक त्रुटि मिली जो खतरे को महत्वपूर्ण या उच्च के रूप में वर्गीकृत कर रही थी। अदीक्षित के लिए, इस प्रकार की भेद्यता के उपयोग से आवेदन (अक्सर सर्वर भी) का पूर्ण नियंत्रण होता है या संवेदनशील डेटा तक पहुंच की अनुमति देता है।
संवेदनशीलता वर्गीकरण द्वारा आंकड़े इस तरह दिखते हैं:
आवेदनों में इतनी सारी सुरक्षा त्रुटियों का पता लगाना है कि वर्षों से चल रहा है, मेरी राय में, इंगित करता है कि बहुत कम सुरक्षा समय सॉफ्टवेयर विकास के प्रारंभिक दौर में खर्च किया गया है । मैं प्रोग्रामर को शिक्षित करने के बारे में सोच रहा हूं, सॉफ्टवेयर आर्किटेक्चर और जोखिम मॉडलिंग के निर्माण में सुरक्षा को देख रहा हूं। इसके बिना, कमजोरियों को अभी भी सॉफ्टवेयर विकास के अंतिम चरण में पकड़ा जाएगा (इस प्रकार मरम्मत की लागत बड़ी है) या बदतर है, केवल इन कम नैतिक हैकर्स द्वारा उत्पादन वातावरण पर ;)।
सबसे अधिक पाया कमजोरियों के प्रकार के कारण
आइए अधिक आंकड़ों पर नजर डालते हैं। इस बार, सबसे अधिक पाया भेद्यता के प्रकार ।
विभिन्न रंगों के साथ, मैंने किसी दिए गए भेद्यता के विशिष्ट जोखिम वर्गीकरण को चिह्नित करने की कोशिश की (निश्चित रूप से, इसे सीधे शब्दों में कहें, व्यवहार में यह कई कारकों पर निर्भर करता है)। बदले में, यह इस तरह दिखता है: बरगंडी – महत्वपूर्ण, लाल – उच्च, नारंगी – मध्यम, हरे- कम।
सबसे पहले, यहां देखा जा सकता है कि XSSy सबसे अधिक आलोचना करने वालों की भेद्यता का सबसे अधिक पाया जाता है। यह मेरे लिए आश्चर्य की बात है कि यह लगभग 30 साल के लिए जाना जाता है । इसके अलावा, यह शायद सुरक्षा त्रुटियों का सबसे पहचानने योग्य वर्ग है । इस प्रकार, इसकी घटना पहले से ही दुर्लभ होनी चाहिए।
बदले में, प्राधिकरण से जुड़ी कमजोरियां हैं, जो यह सत्यापित करने के लिए एक वैध प्रक्रिया है कि उपयोगकर्ता को एक विशेष ऑपरेशन करने का अधिकार है। समस्या अमीर एपीआई के साथ अनुप्रयोगों में विशेष रूप से ध्यान देने योग्य है।
यदि आप सबसे आम त्रुटियों के लिए आंकड़ों को देखो-पहली जगह के लिए जानकारी है कि सार्वजनिक नहीं किया जाना चाहिए खुलासा है । कृपया ध्यान दें कि आवेदन हैकिंग के पहले चरण टोह है। कोई भी निरर्थक जानकारी जो तुच्छ प्रतीत होती है, अंततः एक प्रभावी हमले के लिए महत्वपूर्ण साबित हो सकती है ।
फिर, गैर-सामान्य त्रुटि संदेश सूचीबद्ध हैं। पहले की तरह, वे अक्सर बहुत अधिक संवेदनशील डेटा प्रकट करते हैं, उदाहरण के लिए उपयोग की जाने वाली प्रौद्योगिकियों के बारे में।
तीसरे स्थान पर समस्या है, जो मुझे लगता है कि आंकड़ों में आने वाले वर्षों में पहली स्थिति के लिए अग्रिम होगा । यह एक तकनीकी ऋण और ज्ञात कमजोरियों के साथ घटकों का संबद्ध उपयोग है। मेरे दृष्टिकोण से, आज के अनुप्रयोग कई छोटे ब्लॉकों और निर्भरता श्रृंखलाओं से बना हैं। इसका कारण यह लगभग हर दिन बाहर बारी है कि एक छोटा सा घटक पहले से ही तारीख से बाहर है । इसके संस्करण को जीतने में अक्सर आवेदन के हिस्से का पुनर्निर्माण शामिल होता है (कम से कम मुझे डेवलपर्स 😉 से ऐसी जानकारी मिलती है), और यह प्रक्रिया दुर्भाग्य से बहुत सारे संसाधनों का उपभोग करती है।
OWASP शीर्ष 10 बनाम शीर्ष 12 पेनेस्टर
OWASP शीर्ष 10 सूची के साथ सबसे अधिक बार पता चला कमजोरियों की सूची इस प्रकार है:
OWASPa की सूची में मेरे "ढूंढता है" 1 से 1 नक्शा करना मुश्किल है। हमें "ब्रोकन ऑथेंटिकेशन" के लिए यहां एक प्रतिबिंब नहीं मिलेगा। यह सिर्फ इसलिए है क्योंकि खाता ब्रूटफोर्सिंग ज्यादातर मेरी परीक्षण सीमा के बाहर है (और इस बिंदु के भीतर अन्य त्रुटियां मेरी शीर्ष सूची में नहीं हैं)। व्यर्थ में भी XXE के लिए एक लिंक के लिए देखो । मेरी टिप्पणियों से, इस वर्ग की त्रुटियां कम और कम बार होती हैं। मुझे लगता है कि यह इस तथ्य से संबंधित है कि डिफ़ॉल्ट रूप से XMLy प्रसंस्करण के लिए जिम्मेदार ढांचे अब बाहरी संस्थाओं के उपयोग की अनुमति नहीं देते हैं। फिर भी, उपरोक्त सारांश से पता चलता है कि जितना संभव हो ओवास्पी टॉप 10 सूची सिर्फ एक शुष्क सिद्धांत नहीं है और व्यवहार में परिलक्षित होता है। इस प्रकार, यह इसका उपयोग करने लायक है, साथ ही ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट द्वारा प्रदान किए गए सभी ज्ञान भी।
