Подготовка веб -сайта ASP.NET для тестирования на проникновение

StackOverflow https://stackoverflow.com/questions/4122486

  •  29-09-2019
  •  | 
  •  

Вопрос

На протяжении многих лет у меня было несколько веб -сайтов, которые я разработал, представлены для тестирования проникновения клиентами. В большинстве случаев проблемы, которые выделяются, когда возвращаются результаты, связаны с поведением по умолчанию ASP .NET, например, как возможные атаки сценариев кросс -сайта и т. Д.

Существуют ли какие -нибудь хорошие статьи, в которых уязвимости существуют по умолчанию в приложении ASP .NET, и во -вторых, есть ли хорошие контрольные списки, которые помогут заранее подготовить сайт?

Это было полезно?

Решение

Я думаю, что контрольный список изменяется к моменту и его теории с опытом вместе. Я всегда проверяю свои файлы журнала и вижу новые способы, которыми они пытаются проникнуть в мой сайт - например, сканирование в «не существующих» файлах или пытаться запустить случайные запросы.

Хорошая страница, на которой есть много статей о проникновении: http://www.cgisecurity.com/pentest.html

Некоторые из способов, которые пытаются проникнуть на мои сайты.

Наиболее общий

  • SQL -инъекции, поэтому я проверяю и блокирую пользователей, которые звонят на мои сайты с помощью команды «SELECT» в строке URL. Я проверяю также на другие команды SQL.
  • Забыл javascript filebrowser Я вижу, что в последнее время они ищут ссылки, такие как: wwwmysite.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/tinybrowser.php?type=file&folder=

Чтобы найти их, я следит за событием «страница не найдена». Конечно, если страница найдена, они проникают. Как бы то ни было, это возможно увидеть неудавшиеся попытки и посмотреть, что они ищут.

Оракул атака

В эти дни также я вижу много атак Oracle. Отказ Я нахожу их и блокирую полный IP -адрес злоумышленника, используя этот код: Cryptographicexception: прокладка недействительна и не может быть удалена, а проверка Mac ViewState не удалась

Кража печенья

Я также следую за ответы из этого вопроса: Может ли какой -то хакер украсть файл cookie у пользователя и войти в систему с этим именем на веб -сайте?
Основные моменты: всегда используйте шифрование SSL в файлах cookie для входа в систему (retficeSsl = true), и не размещайте роли на файлы cookie (CacherolesIncookies = false).

Блок в продвинутой

Я также блокирую Black, перечисленные IP, изнутри системы/программы/IIS, но в прошлом я использовал Peerguardian. Также вы можете найти много плохих IP -списков, которые вы можете заблокировать в Advanced. Моя единственная записка об этих плохих IPS - это то, что я не блокирую их навсегда, а только в течение нескольких дней. Блок плохих IPS также помогает мне в сотнях спам -писем.http://phoenixlabs.org/pg2/

Исследовать журнал

Я думаю, что есть много способов, которыми люди могут думать и пытаться проникнуть на ваш сайт. Дело в том, как вы можете предсказать их и записать их до того, как это произойдет, и всегда сделать лучший механизм, чтобы избежать их. Как я говорю, Я контролирую страницу, не найденную, и внутренняя ошибка, которую бросает страницы. Эти 2 метода показывают мне много попыток проникновения.

Загрузка сценариев.

Если у вас есть доступ к загрузке файлов, изображения и другие вещи, убедитесь, что их нельзя запустить в каталоге загрузки. Это может быть сделано в эфире путем двойной проверки расширения файла, а также отключив запуск программ и сценария в этом каталоге с самого сервера, а также путем размещения Web.Config в каталоге загрузки с:

<configuration>
    <system.web>
      <authorization>
        <deny users="*" />
      </authorization>
    </system.web>
</configuration>

Прочитайте один случай:Я был взломан. Злой файл ASPX загружены aspxspy. Они все еще пытаются. Помогите мне поймать их‼

Другие советы

Контрольный список:

Руководство по безопасности веб -приложений/контрольный список

Кроме того, для тестирования безопасности веб -приложений доступно много бесплатных инструментов, вы можете попробовать это:

  • Netsparker: Netsparker Community Edition является сканером инъекций SQL.
  • Веб -сайт
  • Наблюдатель : Watcher-это аддон скрипача, который направлен на оказание помощи тестировщикам проникновения в пассивном поиске уязвимостей веб-применения.
  • Wapiti: Сканер уязвимости веб -приложений / аудитор безопасности
  • N-Stalker
  • Скипфиш : Skipfish - это активный инструмент Reconnaissance Reconnaissance. Он готовит интерактивную карту сайта для целевого участка, выполняя рекурсивные зонды на основе словарных. Полученная карта затем аннотируется с выводом из ряда активных (но, надеюсь, непрерывных) проверки безопасности. Окончательный отчет, созданный инструментом, предназначен для того, чтобы служить основой для профессиональных оценок безопасности веб -приложений.
  • Караулр
  • x5s: X5S-это аддон скрипач, который направлен на оказание помощи тестировщикам проникновения в поиске уязвимостей сценариев поперечного сайте. Основная цель состоит в том, чтобы помочь вам определить горячие точки, где XSS может возникнуть путем: 1. Обнаружение того, где безопасные кодировки не были применены к излучаемым пользователям. 2. Обнаружение того, где преобразования символов Unicode могут обходить фильтры безопасности. 3. Обнаружение того, где не менее короткие кодировки UTF-8 могут обходить фильтры безопасности.
  • Эксплойт-я: Exploit-Me-это набор инструментов для обеспечения безопасности веб-приложений Firefox, предназначенных для легких и простых в использовании.

БЕСПЛАТНЫЕ ИНСТРУМЕНТЫ ТЕСТРИИ

Не хочу замаскировать хороший ответ Аристоса по ссылке, но Google выпустил CodeLab, чтобы показать возможные веб-приложения: его (новая) называет Google-Gruyere.

Это скорее способ обучения, чтобы понять возможные подвиги, чем контрольный список, но Таблица содержания может помочь вам сделать свой контрольный список.

Вот некоторые категории, которые следует учитывать:

  • Сценарии поперечного сайте (xss)
    • Загрузка файла xss
    • Отраженные XSS
    • Хранится XSS
    • Сохраненный XSS через HTML -атрибут
    • Хранил XSS через AJAX
    • Отраженный XSS через AJAX
  • Манипуляция с клиентом
    • Высота привилегии
    • Манипуляция с печеньем
  • Подделка по перекрестному запросу (XSRF)
  • Включение сценария кросс -сайта (XSSI)
  • Путь пересечения
    • Раскрытие информации через прохождение пути
    • Вмешивание данных через прохождение пути
  • Отказ в обслуживании
    • DOS - покинуть сервер
    • DOS - перегрузка сервера
  • Выполнение кода (удаленное)
  • Уязвимости конфигурации (раскрытие информации)
  • Аякс уязвимости
    • Дос через Ajax
    • Фишинг через Аякс
  • Переполнение буфера и переполнение целого числа
  • SQL инъекция
Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top