loader
Foto

Az OWASP módszertan alapjai

Egy informatikai rendszer különböző módszertanok, ajánlások alapján vizsgálhatók. Fontos az, hogy ezeket a módszertanokat a különböző szakmai közösségek elfogadják. A webes alkalmazások sérülékenységvizsgálata általában az OWASP módszertan alapján történik, amely a most induló sorozatunk alapját képezi.

A WebElektronika célja ezzel a most induló sorozattal az, hogy az Olvasó az IT biztonság szemléletét, tudatosságát bővítse, illetve a webfejlesztéssel foglalkozók magyar nyelven is kapjanak olyan információkat, amelyeket a mindennapi munkájuk során is alkalmazni tudnak. Például a fejlesztők ne elégedjenek meg a beviteli adatok kliensoldali validálásával, mert proxy segítségével a validálás után egész más adatok továbbíthatók a webes alkalmazás kiszolgálója (szerver) felé. Például óvakodjunk az egyszerű jelszavak alkalmazásától, mert ezek megtalálhatók a különböző szótár file-okban, adatbázisokban.
Határozottan elzárkózunk attól, hogy bárkinek segítséget nyújtsunk bármilyen bűncselekmény elkövetésében!

A világban lévő webes alkalmazások számát szinte még megbecsülni sem lehet. A különböző webszolgáltatások nem csak a cégek elengedhetetlen megjelenési felülete, hanem szerepet kapnak ezek akár az IoT eszközöknél, illetve a különböző routereknél is, hiszen a webes alkalmazás segítségével állíthatjuk be a különböző tulajdonságait az IT eszközöknek.
Ezért ezeknek a webes alkalmazásoknak a sérülékenységvizsgálata elengedhetetlen. Különböző eljárások, módszertanok léteznek, a most induló sorozatunkban az OWASP  (Open Web Application Security Project) alapjai kerülnek bemutatásra. Áttekintünk a sorozatunkban majd néhány sérülékenységet, illetve azoknak a felderítését is. 

A webes alkalmazások sérülékenységeinek keresésénél nagyon fontos az adott módszertan mély ismerete, amelynek az alkalmazásával egy webes alkalmazás esetleges sérülékenysége felderíthető. Ahhoz, hogy egy webes alkalmazásnak minden sérülékenysége, hibája megtalálható legyen, kénytelenek vagyunk megismerni ennek az alkalmazásnak a különböző tulajdonságait is. Ilyen lehet például a megvalósítás nyelve (és verziószáma), a kiszolgáló ismerete, a tárhelyen futó operációs rendszer, de szintén sokat elárulhatnak egy alkalmazásról az ott felejtett fejlesztői file-ok is. Látható tehát az, hogy ezek a feladatok eléggé szerteágazóak, ezért is kell valamilyen segítség, egy módszertan, amelynek az előírásait követve egy adott weblap szinte összes tulajdonsága megismerhetővé váik.
A legelterjedtebb módszertan a webes alkalmazások vizsgálatára az OWASP, amely eléggé szerteágazó. Az OWASP egy olyan nonprofit szervezet, amely a (webes) szoftverek biztonságán dolgozik. Egy adott webes alkalmazás vizsgálata nagyon bonyolult lehet, ezért egy egységes vizsgálati módszertan elengedhetlen. 

A vizsgálat során különböző feladatokat, vizsgálatokat kell elvégezni, amelyeket a módszertan készítői csoportosítottak. Ezek a csoportok a következők:

  • Information Gathering (OTG-INFO-XXX)
  • Configuration and Deploy Management Testing (OTG-CONFIG-XXX)
  • Identity Management Testing (OTG-IDENT-XXX)
  • Authentication Testing (OTG-AUTHN-XXX)
  • Authorization Testing (OTG-AUTHZ-XXX)
  • Session Management Testing (OTG-SESS-XXX)
  • Data Validation Testing (OTG-INPVAL-XXX)
  • Error Handling (OTG-ERR-XXX)
  • Cryptography (OTG-CRYPST-XXX)
  • Business Logic Testing (OTG-BUSLOGIC-XXX)
  • Client Side Testing (OTG-CLIENT-XXX)

 

A sérülékenységnek sok fajtája létezik, nehéz csoportosítani őket. Megadhatjuk például a csoportosítást úgy, hogy a támadó vagy a webes alkalmazás kiszolgálóját, azaz a szervert (pl.: Sql Injection) támadja, vagy pedig a kliens oldalt (XSS), a böngészőt.

Az OWASP oldalán megtaláljuk a legelterjedtebb 10 támadási módszert is, amelyek ellen védekeznie kell minden webes alkalmazás tervezőjének, üzemeltetőjének. Néhány példa a TOP 10-ből:

  • Cross-Site Scripting (XSS)
  • Injection ("beszúrásos" támadás, pl.: Sql)
  • Cross-Site Request Forgery (CSRF)
  • Hibás hitelesítés és állapotkezelés
  • Rossz biztonsági beállítások

A következő néhány cikkben áttekintjük a brute force-ot, az XSS-t, illetve az Sql Injection-t is, de megismerkedünk a file feltöltés problémájával is.

Nyomatékosan hívjuk fel újra a figyelmét minden Olvasónak arra, hogy ennek a sorozatnak a célja az, hogy mindenkiben kialakuljon az IT biztonságtudatosság. Az újságnak soha nem volt célja (és nem is lesz) az, hogy bárkinek segítséget nyújtson bűncselekmények elkövetésében.

 



Egyéb cikkek

További cikkeink ebben a témakörben

Régebbi cikkeink

Elkezdünk egy sorozatot, amelyhez a Kali Linux használata elengedhetetlen lesz, de természetesen folytatjuk a C# nyelv aszinkron használatának a bemutatását is. Az IT biztonság (amely elég széles területet foglal magába) egyik elengedhetetlen eszköze. . . .

Az nmap (grafikus megjelenítésnél a ZenMap) használata az IT biztonság, illetve az üzemeltetés területén dolgozó szakembereknél szinte elkerülhetetlen. Az ingyenes szoftver segítségével tesztelhetők a számítógépeink, a számítógéphálózatunk, vizsgálha. . . .

A saját informatikai rendszerünk tesztelésénél előfordulhat, hogy meg kell változtatni a MAC címünket. Hogyan tehetjük ezt meg a Kali Linux segítségével? Megnézzük most ezt ebben a cikkben.. . . .