Существуют различные методологии / подходы, которые мы можем использовать в качестве эталона для выполнения атаки.
Веб-приложение — методологии PenTesting
При разработке модели атаки можно учитывать следующие стандарты.
Среди следующего списка OWASP является наиболее активным, и есть ряд участников. Мы сосредоточимся на методах OWASP, которые каждая команда разработчиков учитывает перед разработкой веб-приложения.
-
OSSTMM — Руководство по методологии тестирования безопасности с открытым исходным кодом
-
Методы тестирования OWASP — открытый протокол безопасности веб-приложений
PTES — стандарт выполнения испытаний на проникновение
OSSTMM — Руководство по методологии тестирования безопасности с открытым исходным кодом
Методы тестирования OWASP — открытый протокол безопасности веб-приложений
OWASP Top 10
Команда Open Web Application Security Protocol выпустила 10 самых уязвимых мест, которые в последние годы были более распространены в сети. Ниже приведен список недостатков безопасности, которые более распространены в веб-приложениях.
Приложение — Руки На
Чтобы понять каждый из методов, давайте поработаем с примером приложения. Мы проведем атаку на «WebGoat», J2EE-приложение, которое разработано явно с недостатками безопасности для целей обучения.
Полная информация о проекте webgoat может быть найдена по адресу https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project . Чтобы загрузить приложение WebGoat, перейдите по адресу https://github.com/WebGoat/WebGoat/wiki/Installation-(WebGoat-6.0) и перейдите в раздел загрузок.
Чтобы установить загруженное приложение, сначала убедитесь, что у вас нет приложения, работающего на порту 8080. Его можно установить с помощью одной команды — java -jar WebGoat-6.0.1-war-exec.jar. Для более подробной информации, посетите WebGoat Installation
После установки мы должны иметь доступ к приложению, перейдя по адресу http: // localhost: 8080 / WebGoat / attack, и страница отобразится, как показано ниже.
Мы можем использовать учетные данные гостя или администратора, как показано на странице входа.
Веб прокси
Чтобы перехватить трафик между клиентом (браузером) и сервером (система, в которой в нашем случае размещено приложение Webgoat), нам нужно использовать веб-прокси. Мы будем использовать Burp Proxy, который можно загрузить с https://portswigger.net/burp/download.html.
Достаточно скачать бесплатную версию пакета burp, как показано ниже.
Настройка Burp Suite
Burp Suite — это веб-прокси, который может перехватывать каждый пакет информации, отправляемой и получаемой браузером и веб-сервером. Это помогает нам изменять содержимое до того, как клиент отправит информацию на веб-сервер.
Шаг 1 — Приложение установлено на порт 8080, а Burp установлен на порт 8181, как показано ниже. Запустите пакет Burp и выполните следующие настройки, чтобы подключить его к порту 8181, как показано ниже.
Шаг 2 — Мы должны убедиться, что Burp прослушивает порт # 8080, на котором установлено приложение, чтобы пакет Burp мог перехватывать трафик. Эти настройки должны быть выполнены на вкладке области действия Burp Suite, как показано ниже.
Шаг 3 — Затем настройте параметры прокси браузера, чтобы прослушивать порт 8181 (порт Burp Suite). Таким образом, мы настроили веб-прокси для перехвата трафика между клиентом (браузером) и сервером (веб-сервером), как показано ниже —
Шаг 4 — Снимок конфигурации показан ниже с помощью простой диаграммы рабочего процесса, как показано ниже