Domanda

Secondo la vostra esperienza, che cosa hai trovato, lavorato, o incontrato in termini di vulnerabilità del sito? E quali azioni ha fatto prendere per mitigare questi problemi?

Questo può includere XSS (Cross Site Scripting), attacchi di SQL injection, vecchi DDOS pianura o tentativi di phishing sui clienti del tuo sito. Solo ieri mi sono imbattuto in un'intera sezione di strumenti di Firefox per i siti di revisione e il loro potenziale per varie vulnerabilità.

che desiderano ampliare le mie conoscenze in questo settore per un ruolo, quindi più informazioni per leggere o imparare è sempre buona - collegamenti solidi apprezzato troppo! E storie di guerra della peggior avete trovato o foro più spaventosa che hai visto -! Apprendere dall'esperienza è il modo migliore a volte

È stato utile?

Soluzione

Ho fatto revisione di sicurezza, white-box e black-box, per decine (centinaia?) Di applicazioni e siti.

  1. XSS e SQL Injection ottenere un sacco di stampa, ma so quello che trovo la falla di sicurezza più comune di essere? Lasciando il debug e la funzionalità di test nel codice di produzione. Sia da manomissioni con parametri POST (isDebug = true) o tramite spidering un sito e trovare le pagine rimanenti, questi sono i peggiori errori che vedo in materia di sicurezza. Se stai incluso il codice di test / debug, metterlo in un ramo di codice separato, o almeno preparare una lista di controllo per la rimozione prima del lancio.

  2. Il prossimo vulnerabilità più comune che ho visto è semplicemente la possibilità di bypassare i meccanismi di sicurezza afferrando un URL dalla sorgente della pagina. Il nome tecnico è 'Forceful navigazione' o 'Navigazione forzata' Questo è qualcosa che chiunque può leggere che HTML può fare, ma io sono sorpreso dalla varietà di applicazioni vulnerabili. Rivedere un sito di ticket-acquisti di ieri, sono stato in grado di acquistare i biglietti per gli spettacoli sold-out utilizzando questo metodo. Sui siti precedenti, sono stato in grado di saltare il pagamento del tutto (molti, molti siti di Paypal passare il "acquisto completa" URL a PayPal tramite parametri POST - Yoink!). Avete bisogno di un qualche tipo di statefulness back-end o controllare per assicurare il completamento, il pagamento, la disponibilità, precisione, ecc.

  3. Per essere franco, io di solito lascio strumenti come AppScan, delega BURP, WebScarab, Fortify, FindBugs o YASCA (a seconda del budget e il codice sorgente di accessibilità) trovare XSS e SQL attacchi di iniezione per me. Cercherò la roba semplice per conto mio, cerco buchi evidenti, ma ci sono troppe combinazioni noti provare voi stessi. Continuo a una piccola collezione di script e casi di test per i difetti più avanzate o recentemente scoperti.

Ho intenzione di fermarsi a 3, perché ho davvero potuto andare avanti tutto il giorno, sto perdendo il focus dalla tua domanda, e nessuno vuole leggere un muro di testo.

Alcune risorse per nuovi e stagionati guru della sicurezza web: (ARGH. Non posso ufficialmente postare link ancora. Copia / incolla. Sorry)

Il Progetto Application Security Open Web (OWASP)

http://www.owasp.org/

Web Security Testing Cookbook

Questo libro è scritto per i sindaci, tester e meno per gli sviluppatori. Il che è abbastanza inusuale per un libro di O'Reilly.

websecuritytesting.com

vulnerabilità Classificazione per Fortify

www.fortify.com/vulncat /

Debolezza Enumeration Comune (attenzione: vasta)

nvd.nist.gov/cwe.cfm

Attacco comune pattern Enumeration e classificazione (attenzione: ancora più ampia)

capec.mitre.org /

di Google Web Security Tutorial

(piuttosto debole)

code.google.com/edu/security/index.html

Altri suggerimenti

ho aderito a un progetto web app che comprendeva una libreria di documenti. Il modo in cui è fatto riferimento i documenti era qualcosa come http://example.com/getdocument?file=somefile. pdf . Naturalmente ho dovuto cercare file = / etc / passwd, e, naturalmente, ha funzionato.

Soluzione: Eseguire sanificazione input dell'utente e / o utilizzare un certo livello di astrazione tra risorse richieste nella URL e le risorse effettive filesystem

.

Questo è il cugino di attacchi SQL injection. Esamina le domande permesso che guarda con sospetto come esso dà al cliente troppo controllo.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top