Webtoepassings is programme waarmee gebruikers met webbedieners kan kommunikeer. Dit word in webblaaiers gebruik met behulp van skrifte aan die kliënt en op die bediener.
Die webtoepassingsargitektuur bestaan uit:
Die kliënt / aanbiedingslaag bestaan uit toestelle waarop die toepassing loop. Sulke toestelle sluit skootrekenaars, tablette, slimfone, ens. In.
Die bedryfslogika-laag het twee lae:
Web-bediener logika laag wat bestaan uit komponente wat versoeke en antwoorde hanteer, en die kodering wat data lees en terugstuur na die blaaier
Bedryfslogika-laag wat die toepassingsdata bevat
Die databasislaag bestaan uit 'n B2B-laag en 'n databasisbediener waarin die organisasie se data gestoor word.
OWASP is 'n oop gemeenskap wat daarop gemik is om organisasies in staat te stel om toepassings te bedink, te ontwikkel, te bekom, te bedryf en te onderhou wat vertrou kan word.
OWASP Top 10-projek lewer 'n dokument wat die top 10-beveiligingsbedreigings vir toepassings beskryf.
Die nuutste dokument bevat die volgende top 10 veiligheidsbedreigings:
Spuitaanval is 'n aanval waarin die aanvaller kwaadwillige data in opdragte en navrae inspuit wat dan in die toepassing uitgevoer word.
Hierdie aanval is gerig op invoervelde of toegangspunte van die toepassing en laat aanvallers sensitiewe inligting toe.
Die mees gebruikte inspuitingsaanvalle is:
Stukkende verifikasie verwys na bedreigings en kwesbaarhede in verifikasie en sessiebestuur.
Aanvallers benut hierdie kwesbaarhede om hul teikens na te boots.
Sommige van die bestaande kwesbaarhede sluit in:
Sensitiewe blootstelling aan gegewens vir data kom voor in toepassings wat swak koderingskode gebruik vir datakodering en -berging.
Hierdie kwesbaarheid stel aanvallers in staat om die enkripsie maklik te kraak en die data te steel.
XML External Entity-aanval is 'n aanval waarin die aanvaller voordeel trek uit 'n swak gekonfigureerde XML-ontleder, wat veroorsaak dat die toepassing XML-invoer ontleed wat afkomstig is van 'n onbetroubare bron.
Gebreekte toegangsbeheer verwys na bedreigings en kwesbaarhede in toegangsbeheer. Aanvallers benut hierdie kwesbaarhede om die verifikasie te ontduik en adminregte te verwerf.
Beveiligde verkeerde konfigurasie verwys na kwesbaarhede wat bestaan in toepassings met 'n swak ingestelde toepassingsstapel.
Sommige van die probleme wat kwesbaarhede in die verkeerde konfigurasie van die veiligheid veroorsaak, is:
Cross-Site Scripting-aanval is 'n aanval waarin die aanvaller skrifte in webbladsye inspuit wat op die teikenstelsel uitgevoer word.
Onveilige deserialisering verwys na 'n kwesbaarheid wat aanvallers uitbuit deur kwaadwillige kode in seriële data in te spuit wat dan na die teiken gestuur word.
Vanweë die onveilige kwesbaarheid van deserialisering word die kwaadwillige seriële data gedeserialiseer sonder dat die kwaadwillige kode opgespoor word, wat die aanvaller ongemagtigde toegang tot die stelsel moontlik maak.
Deur komponente met bekende kwesbaarhede te gebruik, kan aanvallers dit benut en aanvalle uitvoer.
Onvoldoende aanmelding en monitering vind plaas wanneer die toepassing nie kwaadwillige gebeure en aktiwiteite aanmeld nie. Dit veroorsaak probleme om aanvalle op die stelsel op te spoor.
Metodes vir hacking van webtoepassings bied aanvallers stappe om te volg om 'n suksesvolle aanval uit te voer.
Hierdie stappe is:
Voetafdruk-webinfrastruktuur help aanvaller om inligting oor die teikeninfrastruktuur te versamel en kwesbaarhede te identifiseer wat gebruik kan word.
In hierdie proses voer die aanvaller:
Die inligting wat in die voetafdrukstap versamel is, stel hackers in staat om dit te ontleed, kwesbaarhede te vind om te ontgin en verskillende tegnieke te gebruik om aanvalle op die bediener te loods.
Aanvallers ontleed die teikenwebtoepassing om die kwesbaarheid daarvan te identifiseer en te benut.
Om die toepassing te kap, moet aanvallers:
Aanvallers probeer om die kliënt se beheer van gebruikersinsette en interaksie te omseil.
Om die beheer van die kliënt te omseil, probeer aanvallers om:
Aanvallers probeer om kwesbaarhede wat in die verifikasiemeganismes voorkom, te benut.
Deur sulke kwesbaarhede te benut, kan aanvallers die volgende doen:
Magtigingsaanval is 'n aanval waarin die aanvaller toegang tot die toepassing verkry deur middel van 'n wettige rekening met beperkte regte en dan die rekening gebruik om die regte te verhoog.
Om 'n magtigingsaanval uit te voer, gebruik die aanvaller die volgende bronne:
Aanvallers ontleed die teikenwebwerf in 'n poging om die besonderhede oor die geïmplementeerde toegangsbeheer te leer.
Tydens hierdie proses probeer aanvallers te wete kom oor wie toegang het tot watter stelle data, wie het watter toegangsvlak en hoe om voorregte te verhoog.
Aanvallers benut kwesbaarhede in verifikasie en sessiebestuur om hul doelwitte na te boots.
Die proses om 'n geldige sessietoken te genereer bestaan uit twee stappe:
Met 'n geldige teken is aanvallers in staat om aanvalle uit te voer, soos MITM, kaping van sessies en herhaling van sessies.
Aanvallers maak gebruik van ongeldige vorminsette om kwaadwillige navrae en opdragte in te spuit.
Swak koderingsvaardighede kan die toepassing kwesbaar maak weens die logiese foute. As die aanvaller daarin slaag om sulke foute te identifiseer, kan hulle dit uitbuit en 'n aanval loods.
Aanvallers voer aanvalle uit op databasisverbinding om beheer oor die databasis te verkry en sodoende toegang tot sensitiewe inligting te verkry.
Aanvallers teiken webdienste wat in die webtoepassing geïntegreer is, om die kwesbaarhede van die besigheid se logika te vind en te benut.
Hulle gebruik dan verskillende tegnieke om 'n aanval op die toepassing uit te voer.