侵入テストのためのASP.NET Webサイトの準備
-
29-09-2019 - |
質問
長年にわたり、私が開発したウェブサイトのいくつかを持っていました。クライアントが侵入テストのために提出しました。ほとんどの場合、結果が戻ってきたときに強調された問題は、クロスサイトスクリプティング攻撃などの可能性のあるASP .NETのデフォルトの動作に関連しています。
ASP .NETアプリケーションにデフォルトで脆弱性が存在する良い記事はありますか?次に、事前にサイトを準備するのに役立つ適切なチェックリストはありますか?
解決
チェックリストは、時間とその理論が一緒に経験して変化すると思います。私は常にログファイルをチェックし、サイトに侵入しようとする新しい方法を確認します - 「既存の」ファイルのスキャンやランダムクエリを実行しようとします。
持っている良いページ 浸透に関する多くの記事: http://www.cgisecurity.com/pentest.html
私のサイトに侵入しようとする方法のいくつか。
ごくありふれた
- SQL注入, 、そのため、URL行の「選択」コマンドでサイトを呼び出すユーザーをチェックしてブロックします。他のSQLコマンドもチェックします。
- 忘れたjavascript filebrowser 最近、wwwmysite.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/tinybrowser.php?type=file&folder=
それらを見つけるために、「Page Not Found」イベントを監視します。もちろん、ページが見つかった場合、それらは浸透します。失敗した試みを見ることができ、彼らが探しているものを見ることができます。
オラクル攻撃
最近もわかります 多くのオラクル攻撃. 。私はそれらを見つけて、このコードを使用して攻撃者の完全なIPをブロックします: Cryptographicexception:パディングは無効で、削除できず、ViewState Macの検証が失敗しました
クッキーを盗む
また、この質問からの回答にも従います。 一部のハッカーは、ユーザーからクッキーを盗み、その名前でWebサイトでログインできますか?
メインポイント:ログインCookieでSSL暗号化を常に使用し(requiressl = true)、Cookie(cacherolosincookies = false)に役割を配置しません。
Advancedのブロック
また、システム/プログラム/IISの内部から黒いリストIPをブロックしていますが、過去にはPeerguardianを使用しました。また、高度でブロックできる悪いIPリストをたくさん見つけることができます。これらの悪いIPSに関する私の唯一のメモは、私はそれらを永遠にブロックするのではなく、数日間だけブロックしているということです。悪いIPSのブロックは、100のスパムメールでも役立ちます。http://phoenixlabs.org/pg2/
ログを調査します
人々があなたのサイトに浸透しようとすることができる多くの方法があると思います。ポイントは、それが起こる前にそれらを予測してログに記録し、それらを避けるために常により良いメカニズムにする方法です。私が言うように、 見つかっていないページと、ページがスローする内部エラーを監視します。 これらの2つの方法は、多くの浸透の試みを示しています。
スクリプトのアップロード。
ファイルのアップロードにアクセスできる場合は、画像やその他のものをアップロードディレクトリで実行できないことを確認してください。これは、ファイルの拡張機能をダブルチェックすること、またそのディレクトリでのプログラムとスクリプトの実行をサーバー自体から無効にするだけでなく、次のようなアップロードディレクトリにWeb.Configを配置することによって実行できます。
<configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>
1つのケースを読む:私はハッキングされました。 ASPXSPYと呼ばれる邪悪なASPXファイルがアップロードされました。彼らはまだやっています。私がそれらをトラップするのを手伝ってください!
他のヒント
チェックリスト:
また、多くの無料ツールがWebアプリケーションのセキュリティをテストするために利用できます。これらを試すことができます。
- netsparker: :Netsparker Community EditionはSQLインジェクションスキャナーです。
- WebSecurify
- ウォッチャー :WatcherはFiddler Addonです。これは、侵入テスターが受動的にWebアプリケーションの脆弱性を見つけるのを支援することを目的としています。
- wapiti: :Webアプリケーションの脆弱性スキャナー /セキュリティ監査人
- nストーカー
- スキップフィッシュ :Skipfishは、アクティブなWebアプリケーションセキュリティ偵察ツールです。再帰的なクロールと辞書ベースのプローブを実行することにより、ターゲットサイトのインタラクティブなサイトマップを準備します。結果のマップには、多くのアクティブな(しかしできれば破壊的でない)セキュリティチェックからの出力が注釈されます。このツールによって生成された最終レポートは、プロのWebアプリケーションセキュリティ評価の基盤として機能することを目的としています。
- scrawlr
- x5s: :X5Sは、クロスサイトスクリプトの脆弱性を見つけるのを支援することを目的とするフィドラーアドオンです。主な目標は、XSSが発生する可能性のあるホットスポットを特定することです。 2.ユニコード文字変換がセキュリティフィルターをバイパスする場所を検出します。 3.非短いUTF-8エンコーディングがセキュリティフィルターをバイパスする場所を検出する
- Exploit-Me: :Exploit-Meは、軽量で使いやすいように設計されたFirefox Webアプリケーションセキュリティテストツールのスイートです。
リンクでアリストスの良い答えをマスクしたくないが、Googleはcodelabをリリースして、可能なWebアプリケーションエクスプロイトを示す:its(new)called Google-Gruyere.
チェックリストよりも、可能なエクスプロイトを理解するための学習方法ですが コンテンツの表 チェックリストを作成するのに役立ちます。
考慮すべきいくつかのカテゴリを次に示します。
- クロスサイトスクリプト(XSS)
- ファイルxssをアップロードします
- 反射XSS
- 保存されたXSS
- HTML属性を介してXSSを保存しました
- Ajaxを介してXSSを保存しました
- Ajaxを介してXSSを反映しました
- クライアント状態の操作
- 特権の昇格
- クッキー操作
- クロスサイトリクエスト偽造(XSRF)
- クロスサイトスクリプトインクルージョン(XSSI)
- パストラバーサル
- パストラバーサルによる情報開示
- パストラバーサルを介したデータの改ざん
- サービス拒否
- DOS-サーバーを終了します
- DOS-サーバーのオーバーロード
- コード実行(リモート)
- 構成の脆弱性(情報開示)
- ajaxの脆弱性
- Ajax経由のDOS
- Ajaxによるフィッシング
- バッファオーバーフローと整数オーバーフロー
- SQLインジェクション