Подготовка веб -сайта ASP.NET для тестирования на проникновение
-
29-09-2019 - |
Вопрос
На протяжении многих лет у меня было несколько веб -сайтов, которые я разработал, представлены для тестирования проникновения клиентами. В большинстве случаев проблемы, которые выделяются, когда возвращаются результаты, связаны с поведением по умолчанию ASP .NET, например, как возможные атаки сценариев кросс -сайта и т. Д.
Существуют ли какие -нибудь хорошие статьи, в которых уязвимости существуют по умолчанию в приложении ASP .NET, и во -вторых, есть ли хорошие контрольные списки, которые помогут заранее подготовить сайт?
Решение
Я думаю, что контрольный список изменяется к моменту и его теории с опытом вместе. Я всегда проверяю свои файлы журнала и вижу новые способы, которыми они пытаются проникнуть в мой сайт - например, сканирование в «не существующих» файлах или пытаться запустить случайные запросы.
Хорошая страница, на которой есть много статей о проникновении: http://www.cgisecurity.com/pentest.html
Некоторые из способов, которые пытаются проникнуть на мои сайты.
Наиболее общий
- SQL -инъекции, поэтому я проверяю и блокирую пользователей, которые звонят на мои сайты с помощью команды «SELECT» в строке URL. Я проверяю также на другие команды SQL.
- Забыл javascript filebrowser Я вижу, что в последнее время они ищут ссылки, такие как: wwwmysite.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/tinybrowser.php?type=file&folder=
Чтобы найти их, я следит за событием «страница не найдена». Конечно, если страница найдена, они проникают. Как бы то ни было, это возможно увидеть неудавшиеся попытки и посмотреть, что они ищут.
Оракул атака
В эти дни также я вижу много атак Oracle. Отказ Я нахожу их и блокирую полный IP -адрес злоумышленника, используя этот код: Cryptographicexception: прокладка недействительна и не может быть удалена, а проверка Mac ViewState не удалась
Кража печенья
Я также следую за ответы из этого вопроса: Может ли какой -то хакер украсть файл cookie у пользователя и войти в систему с этим именем на веб -сайте?
Основные моменты: всегда используйте шифрование SSL в файлах cookie для входа в систему (retficeSsl = true), и не размещайте роли на файлы cookie (CacherolesIncookies = false).
Блок в продвинутой
Я также блокирую Black, перечисленные IP, изнутри системы/программы/IIS, но в прошлом я использовал Peerguardian. Также вы можете найти много плохих IP -списков, которые вы можете заблокировать в Advanced. Моя единственная записка об этих плохих IPS - это то, что я не блокирую их навсегда, а только в течение нескольких дней. Блок плохих IPS также помогает мне в сотнях спам -писем.http://phoenixlabs.org/pg2/
Исследовать журнал
Я думаю, что есть много способов, которыми люди могут думать и пытаться проникнуть на ваш сайт. Дело в том, как вы можете предсказать их и записать их до того, как это произойдет, и всегда сделать лучший механизм, чтобы избежать их. Как я говорю, Я контролирую страницу, не найденную, и внутренняя ошибка, которую бросает страницы. Эти 2 метода показывают мне много попыток проникновения.
Загрузка сценариев.
Если у вас есть доступ к загрузке файлов, изображения и другие вещи, убедитесь, что их нельзя запустить в каталоге загрузки. Это может быть сделано в эфире путем двойной проверки расширения файла, а также отключив запуск программ и сценария в этом каталоге с самого сервера, а также путем размещения Web.Config в каталоге загрузки с:
<configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>
Прочитайте один случай:Я был взломан. Злой файл ASPX загружены aspxspy. Они все еще пытаются. Помогите мне поймать их‼
Другие советы
Контрольный список:
Руководство по безопасности веб -приложений/контрольный список
Кроме того, для тестирования безопасности веб -приложений доступно много бесплатных инструментов, вы можете попробовать это:
- Netsparker: Netsparker Community Edition является сканером инъекций SQL.
- Веб -сайт
- Наблюдатель : Watcher-это аддон скрипача, который направлен на оказание помощи тестировщикам проникновения в пассивном поиске уязвимостей веб-применения.
- Wapiti: Сканер уязвимости веб -приложений / аудитор безопасности
- N-Stalker
- Скипфиш : Skipfish - это активный инструмент Reconnaissance Reconnaissance. Он готовит интерактивную карту сайта для целевого участка, выполняя рекурсивные зонды на основе словарных. Полученная карта затем аннотируется с выводом из ряда активных (но, надеюсь, непрерывных) проверки безопасности. Окончательный отчет, созданный инструментом, предназначен для того, чтобы служить основой для профессиональных оценок безопасности веб -приложений.
- Караулр
- x5s: X5S-это аддон скрипач, который направлен на оказание помощи тестировщикам проникновения в поиске уязвимостей сценариев поперечного сайте. Основная цель состоит в том, чтобы помочь вам определить горячие точки, где XSS может возникнуть путем: 1. Обнаружение того, где безопасные кодировки не были применены к излучаемым пользователям. 2. Обнаружение того, где преобразования символов Unicode могут обходить фильтры безопасности. 3. Обнаружение того, где не менее короткие кодировки UTF-8 могут обходить фильтры безопасности.
- Эксплойт-я: Exploit-Me-это набор инструментов для обеспечения безопасности веб-приложений Firefox, предназначенных для легких и простых в использовании.
Не хочу замаскировать хороший ответ Аристоса по ссылке, но Google выпустил CodeLab, чтобы показать возможные веб-приложения: его (новая) называет Google-Gruyere.
Это скорее способ обучения, чтобы понять возможные подвиги, чем контрольный список, но Таблица содержания может помочь вам сделать свой контрольный список.
Вот некоторые категории, которые следует учитывать:
- Сценарии поперечного сайте (xss)
- Загрузка файла xss
- Отраженные XSS
- Хранится XSS
- Сохраненный XSS через HTML -атрибут
- Хранил XSS через AJAX
- Отраженный XSS через AJAX
- Манипуляция с клиентом
- Высота привилегии
- Манипуляция с печеньем
- Подделка по перекрестному запросу (XSRF)
- Включение сценария кросс -сайта (XSSI)
- Путь пересечения
- Раскрытие информации через прохождение пути
- Вмешивание данных через прохождение пути
- Отказ в обслуживании
- DOS - покинуть сервер
- DOS - перегрузка сервера
- Выполнение кода (удаленное)
- Уязвимости конфигурации (раскрытие информации)
- Аякс уязвимости
- Дос через Ajax
- Фишинг через Аякс
- Переполнение буфера и переполнение целого числа
- SQL инъекция