पेनटेस्टर के काम 2018-2020 से कुछ आंकड़े

मैं पिछले कुछ वर्षों के लिए अपने कंप्यूटर सुरक्षा अनुसंधान से आंकड़े एकत्र किया गया है । मैंने उन्हें थोड़ा साझा करने का फैसला किया। यहां आप एक नमूना प्रवेश परीक्षण रिपोर्ट – रिपोर्टपा सकते हैं। प्रवेश परीक्षकों के साथ साक्षात्कार की एक बड़ी संख्या में, मैं सवाल सुन-"वेब अनुप्रयोगों की सुरक्षा वर्षों में सुधार हुआ है?" मेरी राय में-हां, लेकिन केवल जहां यह कुछ हद तक नीचे विनियमन से मजबूर है । क्या प्रवेश परीक्षण सुरक्षा में सुधार करने में मदद करते हैं? – निश्चित रूप से हाँ!

हम किस डेटा के बारे में बात कर रहे हैं?

पिछले 2 वर्षों में, मैं 100 से अधिक प्रवेश परीक्षण, सुरक्षा ऑडिट, विश्लेषण और पुनर्परीक्षण करने में कामयाब रहा हूं। ये अलग-अलग ग्राहकों के लिए अलग-अलग एप्लिकेशन थे। विशाल बहुमत वेब अनुप्रयोगों थे। जब पहली बार किसी आवेदन का परीक्षण किया गया था, तो लगभग हमेशा एक त्रुटि मिली जो खतरे को महत्वपूर्ण या उच्च के रूप में वर्गीकृत कर रही थी। अदीक्षित के लिए, इस प्रकार की भेद्यता के उपयोग से आवेदन (अक्सर सर्वर भी) का पूर्ण नियंत्रण होता है या संवेदनशील डेटा तक पहुंच की अनुमति देता है।

संवेदनशीलता वर्गीकरण द्वारा आंकड़े इस तरह दिखते हैं:

प्रवेश परीक्षण के आंकड़े
* अनुप्रयोगों के लिए दी गई संवेदनशीलता के उदाहरण, आवेदन में एक विशिष्ट भेद्यता के उदाहरणों की संख्या नहीं (उदाहरण के लिए। एक आवेदन में 7 अलग-अलग XSSes को 1 महत्वपूर्ण त्रुटि प्रकार के रूप में गिना जाता है)
एक प्रतिशत के रूप में प्रवेश परीक्षण के आंकड़े

आवेदनों में इतनी सारी सुरक्षा त्रुटियों का पता लगाना है कि वर्षों से चल रहा है, मेरी राय में, इंगित करता है कि बहुत कम सुरक्षा समय सॉफ्टवेयर विकास के प्रारंभिक दौर में खर्च किया गया है । मैं प्रोग्रामर को शिक्षित करने के बारे में सोच रहा हूं, सॉफ्टवेयर आर्किटेक्चर और जोखिम मॉडलिंग के निर्माण में सुरक्षा को देख रहा हूं। इसके बिना, कमजोरियों को अभी भी सॉफ्टवेयर विकास के अंतिम चरण में पकड़ा जाएगा (इस प्रकार मरम्मत की लागत बड़ी है) या बदतर है, केवल इन कम नैतिक हैकर्स द्वारा उत्पादन वातावरण पर ;)।

सबसे अधिक पाया कमजोरियों के प्रकार के कारण

आइए अधिक आंकड़ों पर नजर डालते हैं। इस बार, सबसे अधिक पाया भेद्यता के प्रकार ।

टॉप 12 पेनेस्टर
* अनुप्रयोगों के लिए दी गई संवेदनशीलता के उदाहरण, आवेदन में एक विशिष्ट भेद्यता के उदाहरणों की संख्या नहीं (उदाहरण के लिए। एक आवेदन में 7 अलग-अलग XSSes को 1 महत्वपूर्ण त्रुटि प्रकार के रूप में गिना जाता है)
टॉप 12 पेनेस्टर

विभिन्न रंगों के साथ, मैंने किसी दिए गए भेद्यता के विशिष्ट जोखिम वर्गीकरण को चिह्नित करने की कोशिश की (निश्चित रूप से, इसे सीधे शब्दों में कहें, व्यवहार में यह कई कारकों पर निर्भर करता है)। बदले में, यह इस तरह दिखता है: बरगंडी – महत्वपूर्ण, लाल – उच्च, नारंगी – मध्यम, हरे- कम।

सबसे पहले, यहां देखा जा सकता है कि XSSy सबसे अधिक आलोचना करने वालों की भेद्यता का सबसे अधिक पाया जाता है। यह मेरे लिए आश्चर्य की बात है कि यह लगभग 30 साल के लिए जाना जाता है । इसके अलावा, यह शायद सुरक्षा त्रुटियों का सबसे पहचानने योग्य वर्ग है । इस प्रकार, इसकी घटना पहले से ही दुर्लभ होनी चाहिए।

बदले में, प्राधिकरण से जुड़ी कमजोरियां हैं, जो यह सत्यापित करने के लिए एक वैध प्रक्रिया है कि उपयोगकर्ता को एक विशेष ऑपरेशन करने का अधिकार है। समस्या अमीर एपीआई के साथ अनुप्रयोगों में विशेष रूप से ध्यान देने योग्य है।

यदि आप सबसे आम त्रुटियों के लिए आंकड़ों को देखो-पहली जगह के लिए जानकारी है कि सार्वजनिक नहीं किया जाना चाहिए खुलासा है । कृपया ध्यान दें कि आवेदन हैकिंग के पहले चरण टोह है। कोई भी निरर्थक जानकारी जो तुच्छ प्रतीत होती है, अंततः एक प्रभावी हमले के लिए महत्वपूर्ण साबित हो सकती है ।

फिर, गैर-सामान्य त्रुटि संदेश सूचीबद्ध हैं। पहले की तरह, वे अक्सर बहुत अधिक संवेदनशील डेटा प्रकट करते हैं, उदाहरण के लिए उपयोग की जाने वाली प्रौद्योगिकियों के बारे में।

तीसरे स्थान पर समस्या है, जो मुझे लगता है कि आंकड़ों में आने वाले वर्षों में पहली स्थिति के लिए अग्रिम होगा । यह एक तकनीकी ऋण और ज्ञात कमजोरियों के साथ घटकों का संबद्ध उपयोग है। मेरे दृष्टिकोण से, आज के अनुप्रयोग कई छोटे ब्लॉकों और निर्भरता श्रृंखलाओं से बना हैं। इसका कारण यह लगभग हर दिन बाहर बारी है कि एक छोटा सा घटक पहले से ही तारीख से बाहर है । इसके संस्करण को जीतने में अक्सर आवेदन के हिस्से का पुनर्निर्माण शामिल होता है (कम से कम मुझे डेवलपर्स 😉 से ऐसी जानकारी मिलती है), और यह प्रक्रिया दुर्भाग्य से बहुत सारे संसाधनों का उपभोग करती है।

OWASP शीर्ष 10 बनाम शीर्ष 12 पेनेस्टर

OWASP शीर्ष 10 सूची के साथ सबसे अधिक बार पता चला कमजोरियों की सूची इस प्रकार है:

OWASP शीर्ष 10 बनाम शीर्ष 12 पेनेस्टर

OWASPa की सूची में मेरे "ढूंढता है" 1 से 1 नक्शा करना मुश्किल है। हमें "ब्रोकन ऑथेंटिकेशन" के लिए यहां एक प्रतिबिंब नहीं मिलेगा। यह सिर्फ इसलिए है क्योंकि खाता ब्रूटफोर्सिंग ज्यादातर मेरी परीक्षण सीमा के बाहर है (और इस बिंदु के भीतर अन्य त्रुटियां मेरी शीर्ष सूची में नहीं हैं)। व्यर्थ में भी XXE के लिए एक लिंक के लिए देखो । मेरी टिप्पणियों से, इस वर्ग की त्रुटियां कम और कम बार होती हैं। मुझे लगता है कि यह इस तथ्य से संबंधित है कि डिफ़ॉल्ट रूप से XMLy प्रसंस्करण के लिए जिम्मेदार ढांचे अब बाहरी संस्थाओं के उपयोग की अनुमति नहीं देते हैं। फिर भी, उपरोक्त सारांश से पता चलता है कि जितना संभव हो ओवास्पी टॉप 10 सूची सिर्फ एक शुष्क सिद्धांत नहीं है और व्यवहार में परिलक्षित होता है। इस प्रकार, यह इसका उपयोग करने लायक है, साथ ही ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट द्वारा प्रदान किए गए सभी ज्ञान भी।

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

Podziel się swoją opinią na temat artykułu