إعداد موقع ASP.NET لاختبار الاختراق

StackOverflow https://stackoverflow.com/questions/4122486

  •  29-09-2019
  •  | 
  •  

سؤال

على مر السنين ، كان لدي عدد قليل من مواقع الويب التي طورتها لاختبار الاختراق من قبل العملاء. في معظم الوقت ، تتعلق المشكلات التي يتم تسليط الضوء عليها عند عودة النتائج بالسلوك الافتراضي لـ ASP .NET مثل هجمات البرمجة النصية المتقاطعة المحتملة وما إلى ذلك.

هل هناك أي مقالات جيدة توجد فيها نقاط الضعف افتراضيًا في تطبيق ASP .NET وثانيًا هل هناك قوائم فحص جيدة لمتابعة والتي ستساعد في إعداد موقع مسبقًا؟

هل كانت مفيدة؟

المحلول

أعتقد أن قائمة الشيكات تتغير بحلول الوقت ونظريتها مع الخبرة معًا. أتحقق دائمًا من ملفات السجل الخاصة بي وأرى طرقًا جديدة يحاولون اختراق موقعي - مثل عمليات المسح على الملفات "غير الموجودة" ، أو محاولة تشغيل استعلامات عشوائية.

صفحة جيدة لها العديد من المقالات حول الاختراق: http://www.cgisecurity.com/pentest.html

بعض الطرق التي تحاول اختراق مواقعي.

الاكثر انتشارا

  • حقن SQL, ، لذلك أتحقق من المستخدمين وحظرهم الذين يتصلون بمواقعي باستخدام الأمر "SELECT" على خط عنوان URL. أتحقق أيضًا من أوامر SQL الأخرى.
  • نسيت JavaScript FileBrowser أرى أنهم يبحثون مؤخرًا عن روابط مثل: wwwmysite.com/plugins/editors/tinymce/jscripts

للعثور عليهم ، أراقب حدث "الصفحة غير موجودة". بالطبع إذا وجدت الصفحة ثم تخترق. كيف يمكن رؤية محاولات فاشلة أكثر من أي وقت مضى ومعرفة ما يبحثون عنه.

هجوم أوراكل

في هذه الأيام أرى أيضًا الكثير من هجمات أوراكل. أجدهم وحظر عنوان IP الكامل للمهاجم باستخدام هذا الرمز: التشفير: الحشو غير صالح ولا يمكن إزالته والتحقق من صحة Mac ViewState

سرقة ملفات تعريف الارتباط

أتابع أيضًا الإجابات من هذا السؤال: هل يمكن لبعض المتسللين سرقة ملف تعريف الارتباط من مستخدم وتسجيل الدخول بهذا الاسم على موقع ويب؟
النقاط الرئيسية: استخدم دائمًا تشفير SSL على ملفات تعريف الارتباط لتسجيل الدخول (المطلوبة = صواب) ، وليس وضع أدوار على ملفات تعريف الارتباط (cacherolesincookies = false).

كتلة في المتقدمة

أقوم أيضًا بحظر IPS المدرجة السوداء من داخل النظام/البرنامج/IIS ، لكن في الماضي استخدمت Peerguardian. كما يمكنك العثور على الكثير من قوائم IP السيئة التي يمكنك حظرها في Advanced. ملاحظتي الوحيدة حول هذه العنوانات الفكرية السيئة هي أنني لا أمنعها إلى الأبد ، ولكن فقط لعدة أيام. يساعدني كتلة IPS السيئة أيضًا مع مائة من رسائل البريد الإلكتروني البريد العشوائي.http://phoenixlabs.org/pg2/

التحقيق في السجل

أعتقد أن هناك العديد من الطرق التي يمكن أن يفكر بها الناس ومحاولة اختراق موقعك. النقطة المهمة هي كيف يمكنك التنبؤ بها وتسجيلها قبل حدوث ذلك وجعل دائمًا آلية أفضل لتجنبها. كما أقول، أراقب الصفحة غير موجودة ، والخطأ الداخلي الذي يرميه الصفحات. تُظهر لي هذه الأساليب الكثير من محاولات الاختراق.

تحميل البرامج النصية.

إذا كان لديك إمكانية الوصول إلى تحميل الملفات والصور والأشياء الأخرى ، فتأكد من عدم تشغيلها على دليل التحميل. يمكن القيام بذلك عن طريق التحقق المزدوج لتمديد الملف وأيضًا من خلال تعطيل تشغيل البرامج والبرنامج النصي على هذا الدليل ، من الخادم نفسه ، ولكن أيضًا عن طريق وضع web.config على دليل التحميل مع:

<configuration>
    <system.web>
      <authorization>
        <deny users="*" />
      </authorization>
    </system.web>
</configuration>

اقرأ حالة واحدة:لقد تم اختراقها. تم تحميل ملف ASPX الشر المسمى ASPXSpy. ما زالوا يحاولون. ساعدني في فخهم‼

نصائح أخرى

قائمة تدقيق:

دليل أمان تطبيق الويب/قائمة المراجعة

أيضًا ، تتوفر العديد من الأدوات المجانية لاختبار أمان تطبيق الويب ، يمكنك تجربة هذه:

  • Netsparker: Netsparker Community Edition هو ماسح ضوئي لحقن SQL.
  • WebSecurify
  • مراقب : Watcher هو ملحق Fiddler يهدف إلى مساعدة مختبري الاختراق في العثور على نقاط الضعف في تطبيق الويب بشكل سلبي.
  • وابيتي: ماسح ضوئية قابلية تطبيق تطبيقات الويب / مدقق الأمان
  • n-stalker
  • Skipfish : Skipfish هي أداة استطلاعية لأمان تطبيق تطبيق الويب. إنه يعد خريطة سيتيموس تفاعلية للموقع المستهدف من خلال إجراء عمليات زحف متكررة والتحقيقات القائمة على القاموس. ثم يتم شرح الخريطة الناتجة مع الإخراج من عدد من الفحوصات الأمنية النشطة (ولكن نأمل غير متقطع). يهدف التقرير النهائي الذي تم إنشاؤه بواسطة الأداة إلى العمل كأساس لتقييمات أمان تطبيقات الويب المهنية.
  • Scrawlr
  • X5S: X5S هو ملحق Fiddler يهدف إلى مساعدة مختبري الاختراق في العثور على نقاط الضعف في المواقع عبر المواقع. الهدف الرئيسي هو مساعدتك في تحديد النقاط الساخنة حيث قد تحدث XSS عن طريق: 1. اكتشاف أين لم يتم تطبيق الترميزات الآمنة على مدخلات المستخدم المنبعثة. 2. اكتشاف المكان الذي قد تتجاوز فيه تحولات حرف Unicode مرشحات الأمان. 3. اكتشاف مكان ترميزات UTF-8 غير الصوتية
  • استغلال: Exploit-Me عبارة عن مجموعة من أدوات اختبار أمان تطبيق Firefox على الويب المصممة لتكون خفيفة الوزن وسهلة الاستخدام.

أدوات اختبار أمان تطبيق الويب المجانية

لا ترغب في إخفاء الإجابة الجيدة عن Aristos مع رابط ، لكن Google أصدرت codelab لإظهار مآثر تطبيقات الويب الممكنة: Google-Gruyere.

إنها طريقة تعليمية أكثر لفهم المآثر الممكنة من قائمة المراجعة ولكن قائمة المحتويات يمكن أن تساعدك على القيام بقائمة المراجعة الخاصة بك.

فيما يلي بعض الفئات التي يجب مراعاتها:

  • البرمجة النصية عبر الموقع (XSS)
    • ملف تحميل XSS
    • عكس XSS
    • XSS المخزنة
    • XSS المخزنة عبر سمة HTML
    • XSS المخزنة عبر Ajax
    • تعكس XSS عبر Ajax
  • التلاعب بالدولة العميل
    • ارتفاع الامتياز
    • التلاعب ملفات تعريف الارتباط
  • طلب التواصل عبر الموقع (XSRF)
  • إدراج البرنامج النصي عبر الموقع (XSSI)
  • اجتياز المسار
    • الكشف عن المعلومات عبر اجتياز المسار
    • العبث بالبيانات عبر اجتياز المسار
  • الحرمان من الخدمة
    • DOS - ترك الخادم
    • DOS - الزائد في الخادم
  • تنفيذ الرمز (عن بعد)
  • ثغرات التكوين (الكشف عن المعلومات)
  • AJAX نقاط الضعف
    • DOS عبر AJAX
    • التصيد عبر أياكس
  • فائض المخزن المؤقت والتفوق على الفائض
  • حقن SQL
مرخصة بموجب: CC-BY-SA مع الإسناد
لا تنتمي إلى StackOverflow
scroll top