EITC/IS/WAPT Web Applications Penetration Testing estas la eŭropa IT Certification-programo pri teoriaj kaj praktikaj aspektoj de ret-aplikaĵo-penetrotestado (blanka hakado), inkluzive de diversaj teknikoj por retejoj araneado, skanado kaj atakteknikoj, inkluzive de specialecaj penetrotestiloj kaj serioj. .
La instruplano de la EITC/IS/WAPT Web Applications Penetration Testing kovras enkondukon al Burp Suite, TTT-spridering kaj DVWA, krudforta testado kun Burp Suite, TTT-aplikfajrmuro (WAF) detektado kun WAFW00F, cela amplekso kaj spidering, malkovrado de kaŝitaj dosieroj kun ZAP, WordPress-vunerebleco-skanado kaj uzantnomo-nombro, skanado de ekvilibro de ŝarĝo, trans-eja skripto, XSS - reflektita, stokita kaj DOM, prokuraj atakoj, agordo de la prokurilo en ZAP, dosieroj kaj dosierujoj, malkovro de dosieroj kaj dosierujoj kun DirBuster, praktikado pri retatakoj. , OWASP Juice Shop, CSRF - Cross Site Request Forgery, kuketo-kolekto kaj inversa inĝenierado, HTTP-Atributoj - ŝtelado de kuketoj, SQL-injekto, DotDotPwn - dosierujo-traversa fuzzing, iframe-injekto kaj HTML-injekto, Heartbleed-ekspluato - malkovro kaj ekspluato, PHP-koda injekto, bWAPP - HTML-injekto, reflektita POST, OS komanda injekto kun Commix, servil-flanko inkluzivas SSI-injekton, pentestadon en Docker, OverTheWire Natas, LFI kaj komanda injekto, Google-hakado por pentestado, Google Dorks Por penetrotestado, Apache2 ModSecurity, same kiel Nginx ModSecurity, ene de la sekva strukturo, ampleksanta ampleksan videodidaktikan enhavon kiel referenco por ĉi tiu EITC-Atestilo.
Reta aplikaĵa sekureco (ofte referita kiel Web AppSec) estas la koncepto de dizajnado de retejoj por funkcii normale eĉ kiam ili estas atakitaj. La nocio estas integri aron da sekurecaj mezuroj en TTT-aplikaĵon por protekti ĝiajn aktivaĵojn kontraŭ malamikaj agentoj. Retaj aplikaĵoj, kiel ĉiuj programoj, estas inklinaj al misfunkciadoj. Iuj el ĉi tiuj difektoj estas realaj vundeblecoj, kiuj povas esti ekspluatitaj, prezentante riskon por entreprenoj. Tiaj difektoj estas garditaj per sekureco de retejo-apliko. Ĝi implicas utiligi sekurajn disvolvajn alirojn kaj starigi sekureckontrolojn dum la programaro-disvolva vivociklo (SDLC), certigante ke dezajnodifektoj kaj efektivigproblemoj estas traktitaj. Interreta penetrotestado, kiu estas farita de spertuloj, kiuj celas malkovri kaj ekspluati vundeblecojn de TTT-aplikaĵoj uzante tiel nomatan blankan hakan aliron, estas esenca praktiko por ebligi taŭgan defendon.
Testo pri interreto-penetro, ankaŭ konata kiel interreta pentesto, simulas ciber-atakon kontraŭ retejo-aplikaĵo por trovi ekspluateblajn difektojn. Penetra testado estas ofte uzata por kompletigi retaplikaĵan fajroŝirmilon en la kunteksto de retaplikaĵsekureco (WAF). Plumtestado, ĝenerale, implicas provi penetri ajnan nombron da aplikaĵsistemoj (ekz. APIoj, fasado/backend-serviloj) por trovi vundeblecojn, kiel ekzemple nepurigitaj enigaĵoj kiuj estas vundeblaj al kodaj injektaj atakoj.
La trovoj de la interreta penetra testo povas esti uzataj por agordi sekurecpolitikojn de WAF kaj trakti malkovritajn vundeblecojn.
Penetra testado havas kvin paŝojn.
La pentestprocedo estas dividita en kvin paŝojn.
- Planado kaj skoltado
Difini la amplekson kaj celojn de testo, inkluzive de la sistemoj por esti traktitaj kaj la testaj metodaroj por esti utiligitaj, estas la unua etapo.
Por akiri pli bonan komprenon pri kiel celo funkcias kaj ĝiaj eblaj malfortoj, kolektu inteligentecon (ekz. ret- kaj domajnaj nomoj, poŝtservilo). - Scanning
La sekva etapo estas eltrovi kiel la cela aplikaĵo reagos al malsamaj specoj de entrudiĝaj provoj. Ĉi tio estas kutime plenumita uzante la sekvajn metodojn:
Senmova analizo - Ekzamenante la kodon de aplikaĵo por antaŭdiri kiel ĝi kondutos kiam ĝi estos rulita. En ununura paŝo, ĉi tiuj iloj povas skani la tutan kodon.
Dinamika analizo estas la procezo de inspektado de la kodo de aplikaĵo dum ĝi funkcias. Ĉi tiu metodo de skanado estas pli praktika ĉar ĝi disponigas realtempan vidon de la efikeco de aplikaĵo. - Akiro de aliro
Por trovi la malfortojn de celo, ĉi tiu paŝo uzas atakojn pri interreta aplikaĵo kiel trans-eja skribo, SQL-injekto kaj malantaŭaj pordoj. Por kompreni la damaĝon, kiun ĉi tiuj vundeblecoj povus kaŭzi, testantoj provas ekspluati ilin per eskalado de privilegioj, ŝtelado de datumoj, kaptado de trafiko ktp. - Tenante aliron
La celo de ĉi tiu etapo estas taksi ĉu la vundebleco povas esti ekspluatata por establi longdaŭran ĉeeston en la kompromitita sistemo, permesante al malbona aktoro akiri profundan aliron. La celo estas imiti progresintajn persistajn minacojn, kiuj povas resti en sistemo dum monatoj por ŝteli la plej sentemajn informojn de firmao. - analizo
La penetrotestrezultoj tiam estas enmetitaj en raporton kiu inkluzivas informojn kiel ekzemple:
Vundeblecoj kiuj estis ekspluatitaj detale
Datenoj kiuj estis akiritaj kiuj estis sentemaj
La kvanto da tempo la plumotestilo povis resti nerimarkita en la sistemo.
Fakuloj pri sekureco uzas ĉi tiujn datumojn por helpi agordi la WAF-agordojn de entrepreno kaj aliajn aplikaĵajn sekurecajn solvojn por fliki vundeblecojn kaj malhelpi pliajn atakojn.
Metodoj de penetrotestado
- Ekstera penetrotestado temigas la aktivaĵojn de firmao kiuj estas videblaj en la interreto, kiel ekzemple la retejo-aplikaĵo mem, la firmaoretejo, same kiel retpoŝto kaj domajnaj nomserviloj (DNS). La celo estas akiri aliron al kaj eltiri utilajn informojn.
- Interna testado implicas testilon havantan aliron al aplikaĵo malantaŭ la fajroŝirmilo de firmao simulanta malamikan internan atakon. Ĉi tio ne estas necesa simulado de fripona dungito. Dungito kies akreditaĵoj estis akiritaj kiel rezulto de phishing provo estas ofta deirpunkto.
- Blinda testado estas kiam testilo estas simple provizita la nomo de la firmao kiu estas testata. Ĉi tio permesas al spertuloj pri sekureco vidi kiel reala aplika atako povus okazi en reala tempo.
- Duobla blinda testado: En duobleblinda testo, sekurecprofesiuloj antaŭe ne konscias pri la ŝajniga atako. Ili ne havos tempon por plifortigi siajn fortikaĵojn antaŭ provo de rompo, same kiel en la reala mondo.
- Celita testado - en ĉi tiu scenaro, la elprovilo kaj sekureca personaro kunlaboras kaj konservas trakon de la movoj de unu la alian. Ĉi tio estas bonega trejna ekzerco, kiu donas realtempan retrosciigon al sekureca teamo el la perspektivo de retpirato.
Retaj aplikaĵaj fajroŝirmiloj kaj penetrotestado
Penetra testado kaj WAFoj estas du apartaj sed komplementaj sekurecteknikoj. La testilo verŝajne utiligos WAF-datumojn, kiel ekzemple protokolojn, por trovi kaj ekspluati la malfortajn areojn de aplikaĵo en multaj specoj de plumtestado (kun la escepto de blindaj kaj duoble blindaj testoj).
Siavice, pentestaj datumoj povas helpi WAF-administrantojn. Post la kompletiĝo de testo, WAF-agordoj povas esti modifitaj por protekti kontraŭ la difektoj detektitaj dum la testo.
Finfine, pentestado kontentigas iujn el la sekurecaj reviziaj metodoj-konformecaj postuloj, kiel ekzemple PCI DSS kaj SOC 2. Iuj postuloj, kiel ekzemple PCI-DSS 6.6, povas esti plenumitaj nur se atestita WAF estas uzata. Tamen, pro la menciitaj avantaĝoj kaj ebleco modifi WAF-agordojn, ĉi tio ne malpli utilas plumtestadon.
Kio estas la signifo de interreta sekureca testado?
La celo de interreta sekurectestado estas identigi sekurecajn difektojn en TTT-aplikoj kaj ilia aranĝo. La aplikaĵa tavolo estas la ĉefa celo (t.e., kio funkcias per la HTTP-protokolo). Sendi malsamajn formojn de enigo al Reta aplikaĵo por provoki problemojn kaj igi la sistemon respondi en neatenditaj manieroj estas ofta aliro por testi ĝian sekurecon. Ĉi tiuj "negativaj testoj" serĉas vidi ĉu la sistemo faras ion, kion ĝi ne intencis plenumi.
Ankaŭ estas esenca konstati, ke Reta sekureca testado implicas pli ol nur kontroli la sekurecajn funkciojn de la aplikaĵo (kiel aŭtentikigo kaj rajtigo). Ankaŭ estas grave certigi ke aliaj funkcioj estas deplojitaj sekure (ekz., komerca logiko kaj la uzo de taŭga eniga validumado kaj eligokodado). La celo estas certigi, ke la funkcioj de la Reta aplikaĵo estas sekuraj.
Kio estas la multaj specoj de sekurecaj taksoj?
- Testo por Dinamika Aplika Sekureco (DAST). Ĉi tiu aŭtomatigita aplikaĵa sekurectesto plej taŭgas por malaltriskaj, internaj alfrontaj programoj, kiuj devas plenumi reguligajn sekurecajn postulojn. Kombini DAST kun iuj manaj interretaj sekurectestoj por oftaj vundeblecoj estas la plej bona strategio por mez-riskaj programoj kaj decidaj aplikoj spertantaj etajn ŝanĝojn.
- Sekureca Kontrolo por Statikaj Aplikoj (SAST). Ĉi tiu aplikaĵa sekureca strategio inkluzivas ambaŭ aŭtomatigitajn kaj manajn testajn metodojn. Ĝi estas ideala por detekti cimojn sen devi ruli programojn en viva medio. Ĝi ankaŭ permesas al inĝenieroj skani fontkodon por detekti kaj ripari programarajn sekurecajn difektojn en sistema maniero.
- Penetra Ekzameno. Ĉi tiu manlibro-sekureca testo estas ideala por esencaj aplikoj, precipe tiuj, kiuj suferas gravajn ŝanĝojn. Por trovi altnivelajn atakscenarojn, la taksado uzas komercan logikon kaj kontraŭul-bazitan testadon.
- Apliko Mem-Protekto en la Runtime (RASP). Ĉi tiu kreskanta aplikaĵa sekurecmetodo inkluzivas diversajn teknologiajn teknikojn por ekipi aplikaĵon, por ke minacoj estu rigardataj kaj, espereble, malhelpitaj en reala tempo kiam ili okazas.
Kian rolon ludas aplikaĵsekurectestado por malpliigi la riskon de kompanio?
La vasta plimulto de atakoj kontraŭ TTT-aplikoj inkluzivas:
- SQL injekto
- XSS (Transeja Skripto)
- Remota Komando-Ekzekuto
- Voja Traversa Atako
- Restriktita enhava aliro
- Kompromisitaj uzantkontoj
- Malica koda instalado
- Perdita venda enspezo
- La konfido de klientoj erozii
- Marka reputacio damaĝas
- Kaj multaj aliaj atakoj
En la hodiaŭa interreta medio, Reta aplikaĵo povus esti damaĝita de diversaj defioj. La supra grafikaĵo prezentas kelkajn el la plej oftaj atakoj faritaj de atakantoj, ĉiu el kiuj povas kaŭzi gravan damaĝon al individua aplikaĵo aŭ tuta komerco. Koni la multajn atakojn, kiuj igas aplikaĵon vundebla, same kiel la eblajn rezultojn de atako, permesas al kompanio solvi vundeblecojn anticipe kaj efike testi pri ili.
Mildigaj kontroloj povas esti establitaj dum la fruaj fazoj de la SDLC por malhelpi ajnajn problemojn identigante la radikan kaŭzon de la vundebleco. Dum Reta aplikaĵa sekurectesto, scio pri kiel tiuj minacoj funkcias ankaŭ povas esti uzata por celi konatajn intereslokojn.
Rekoni la efikon de atako ankaŭ estas grava por administri la riskon de firmao, ĉar la efikoj de sukcesa atako povas esti uzataj por determini la severecon de la vundebleco entute. Se vundeblecoj estas malkovritaj dum sekureca testo, determini ilian severecon permesas al firmao prioritatigi solvajn klopodojn pli efike. Por redukti riskon al kompanio, komencu kun kritikaj severecaj aferoj kaj laboru malsupren por malaltigi efikojn.
Antaŭ identigi problemon, taksi la eblan efikon de ĉiu programo en la aplikaĵbiblioteko de la kompanio helpos vin prioritatigi aplikaĵsekurectestadon. Wenb-sekureca testado povas esti planita por celi la kritikajn aplikojn de firmao unue, kun pli celitaj testadoj por malpliigi la riskon kontraŭ la komerco. Kun establita listo de altprofilaj aplikoj, wenb-sekureca testado povas esti planita por celi la kritikajn aplikojn de firmao unue, kun pli celitaj testadoj por malpliigi la riskon kontraŭ la komerco.
Dum sekureca provo de TTT-apliko, kiaj funkcioj estu ekzamenitaj?
Dum sekureca testado pri Reta aplikaĵo, konsideru la sekvan ne ĝisfundan liston de funkcioj. Neefika efektivigo de ĉiu povus rezultigi malfortojn, metante kompanion en danĝeron.
- Agordo de la aplikaĵo kaj servilo. Ĉifrado/kriptografaj agordoj, TTTservilaj agordoj, ktp estas ĉiuj ekzemploj de eblaj difektoj.
- Valumado de enigo kaj erartraktado Malbona enigo kaj produktaĵpretigo kondukas al SQL-injekto, trans-eja skriptado (XSS), kaj aliaj tipaj injektaj problemoj.
- Aŭtentikigo kaj prizorgado de sesioj. Vundeblecoj kiuj povus konduki al uzanta personigo. Kredenta forto kaj protekto devus esti konsiderataj ankaŭ.
- Rajtigo. La kapablo de la aplikaĵo protekti kontraŭ vertikalaj kaj horizontalaj privilegiaj eskaladoj estas testata.
- Logiko en komerco. Plej multaj programoj, kiuj provizas komercajn funkciojn, dependas de ĉi tiuj.
- Logiko ĉe la fino de la kliento. Ĉi tiu speco de trajto iĝas pli ofta ĉe modernaj, JavaScript-pezaj retpaĝoj, same kiel retpaĝoj uzantaj aliajn specojn de klientflankaj teknologioj (ekz. Silverlight, Flash, Java-apletoj).
Por konatigi vin detale kun la atesta instruplano, vi povas pligrandigi kaj analizi la suban tabelon.
La EITC/IS/WAPT Web Applications Penetration Testing Certification Curriculum referenceas alireblajn didaktikajn materialojn en videoformo. Lernadprocezo estas dividita en paŝon post paŝo strukturo (programoj -> lecionoj -> temoj) kovrante koncernajn instruplanajn partojn. Senlima konsultado kun domajnaj fakuloj ankaŭ estas provizita.
Por detaloj pri la Atestprocedo kontrolu Kiel ĝi funkcias.
Elŝutu la kompletajn eksterretajn memlernajn preparajn materialojn por la programo EITC/IS/WAPT Reta Aplikaĵo Penetra Testado en PDF-dosiero
EITC/IS/WAPT preparaj materialoj - norma versio
EITC/IS/WAPT-preparaj materialoj - plilongigita versio kun reviziaj demandoj